Consultar los detalles de los resultados - AWS Security Hub
Visualización de los detalles de los resultados (consola)Recuperación de los detalles de los resultados (mediante programación)Búsqueda del historial

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consultar los detalles de los resultados

Desde una lista de resultados en la consola de Security Hub, puede mostrar un panel de detalles para un resultado. El panel de detalles incluye el historial del resultado durante los últimos 90 días. También puedes obtener detalles de resultados y el historial de resultados mediante programación.

Visualización de los detalles de los resultados (consola)

Siga los pasos para ver los detalles de resultados en la consola de Security Hub.

Visualización del panel de detalles de resultados (consola)

  1. Abre la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de resultado, realice una de las acciones siguientes:

    • En el panel de navegación de Security Hub, elija Resultados.

    • En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.

    • En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.

  3. Seleccione un título de resultados.

La parte superior del panel de detalles de resultados contiene información general sobre los resultados, incluidos el origen, la gravedad, las fechas y el estado. Si te integras con una cuenta de miembro de la organización AWS Organizations y la cuenta en la que has iniciado sesión es una cuenta de miembro, el panel de detalles incluirá el nombre de la cuenta. En el caso de las cuentas de miembros que se invitan manualmente y no mediante la integración de Organizations, el panel de detalles solo incluye el ID de la cuenta. El panel de detalles de resultado también incluye la información siguiente información:

  • Investigar en detective contiene un enlace para investigar más a fondo el resultado en Detective. Esto solo se incluye para los resultados de Security Hub recibidos de otros Servicios de AWS.

  • Detalles de vulnerabilidades contiene información sobre el origen de una vulnerabilidad y los paquetes afectados. Se trata de una sección ampliable para una sola vulnerabilidad y una sección paginada para varias vulnerabilidades. Esta sección solo se aplica a los resultados que Amazon Inspector envía a Security Hub.

  • Tipos y resultados relacionados contiene información sobre el tipo de resultado.

  • Parámetros muestra los valores de los parámetros actuales de un control de seguridad. Security Hub utiliza estos valores de parámetros al hacer comprobaciones de seguridad del control.

  • Recursos contiene información sobre el recurso implicado en el resultado. En esta sección, también se incluyen el nombre y el nombre de recurso de Amazon (ARN) de la aplicación implicada en el resultado. El resultado solo incluye los metadatos de la aplicación si se creó una aplicación y se agregaron etiquetas de aplicación a los recursos involucrados en el resultado. Se recomienda crear aplicaciones y agregar etiquetas en AWS Service Catalog AppRegistry.

  • Aparece Corrección para ver los resultados de los controles. Proporciona un enlace a las instrucciones para solucionar el problema que provocó el resultado.

  • Los campos de proveedores de resultados muestran los valores de confianza, criticidad, resultados relacionados, gravedad y tipo de resultado que proporciona el proveedor de resultados.

En el panel de detalles de resultados, puede ver más detalles y añadir valores de campo al filtro.

  • Para mostrar el JSON completo del resultado, elija el ID del resultado. En Finding JSON (JSON del hallazgo) puede descargar el JSON del hallazgo en un archivo.

  • Para agregar un valor de campo al filtro de lista de resultados, elija ícono de búsqueda junto al campo.

  • Para ver los resultados que se basan en AWS Config reglas, para ver una lista de las reglas aplicables, selecciona Reglas.

  • Seleccione el panel Historial para ver el historial de resultados de hasta 90 días.

Recuperación de los detalles de los resultados (mediante programación)

Elige el método que prefieras y sigue los pasos para obtener mediante programación una lista de los resultados de Security Hub. Puede especificar filtros para acotar la lista de resultados a un subconjunto específico.

Las siguientes pestañas incluyen instrucciones en varios idiomas para recuperar los resultados. Para obtener soporte en otros idiomas, consulte Herramientas para crear en AWS.

nota

Al filtrar por CompanyName o ProductName, Security Hub utiliza los valores incluidos en ProductFields. No utiliza el nivel superior ni los campos CompanyName y ProductName.

Security Hub API

  1. Ejecute GetFindings.

  2. Si lo desea, rellene el parámetro Filters para restringir las conclusiones que quiera recuperar.

  3. Si lo desea, rellene el parámetro MaxResults para limitar los resultados a un número específico y el parámetro NextToken para paginar los resultados.

  4. Si lo desea, rellene el parámetro SortCriteria para ordenar los resultados por un campo específico.

Si ha activado la agregación entre regiones y llama a esta API desde la región de agregación, los resultados incluyen los resultados de la agregación y de las regiones vinculadas.

AWS CLI

  1. En la línea de comandos, ejecute el comando get-findings.

  2. Si lo desea, rellene el parámetro filters para restringir las conclusiones que quiera recuperar.

  3. Si lo desea, rellene el parámetro max-items para limitar los resultados a un número específico y el parámetro page-size para paginar los resultados.

  4. Si lo desea, rellene el parámetro sort-criteria para ordenar los resultados por un campo específico.

get-findings --filters <filter criteria JSON> --sort-criteria <sort criteria> --page-size <findings per page> --max-items <maximum number of results>

Ejemplo

aws securityhub get-findings --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Si ha activado la agregación entre regiones y llama a esta API desde la región de agregación, los resultados incluyen los resultados de la agregación y de las regiones vinculadas.

PowerShell

  1. Utilice el cmdlet Get-SHUBFinding.

  2. Si lo desea, rellene el parámetro Filter para restringir las conclusiones que quiera recuperar.

Ejemplo

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

Búsqueda del historial

El historial de resultados es una característica de Security Hub que le permite realizar un seguimiento de los cambios realizados en un resultado durante los últimos 90 días. Está disponible para los resultados activos y archivados. El historial de resultados proporciona un Registro inmutable de los cambios realizados en un resultado a lo largo del tiempo, incluido el cambio, cuándo se produjo y por qué usuario.

En concreto, puede realizar un seguimiento de los cambios realizados en los campos en AWS Formato de búsqueda de seguridad (ASFF). Security Hub rastrea los cambios que realiza manualmente y con reglas de automatización.

El historial de búsquedas está disponible en la consola, la API y la API de Security Hub AWS CLI.

Si ha iniciado sesión en una cuenta de administrador de Security Hub, puede obtener el historial de resultados de la cuenta de administrador y de todas las cuentas de los miembros.

Elige el método que prefiera y siga los pasos para obtener el historial de resultados.

Security Hub console
Visualización del historial de resultados (consola)

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación izquierdo, elija Resultados.

  3. Seleccione un resultado. En el panel que aparece, seleccione la pestaña Historial.

Security Hub API

  1. Ejecute GetFindings, utilizando los filtros adecuados según sea necesario, para identificar el resultado del que desea consultar el historial. La respuesta de la API le proporcionará ProductArn y Id para el resultado. En el tercer paso, necesitará los valores de estos campos.

  2. Ejecute GetFindingHistory.

  3. Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener más información sobre estos campos, consulte AwsSecurityFindingIdentifier. Solo puede obtener el historial de un resultado por solicitud.

  4. Proporciona valores para StartTime y EndTime para limitar el historial de resultados a un período de tiempo específico.

  5. Proporcione un valor MaxResults para limitar el historial de resultados a un número específico de resultados. Si no se proporciona, la respuesta de la API devuelve los primeros 100 resultados del historial de resultados.

  6. Indique un valor para NextToken para ver los siguientes 100 resultados (si corresponde) de un resultado. En su solicitud de API inicial, el valor NextToken debe ser NULL.

Ejemplo de solicitud de API:

{
"FindingIdentifier": {
  "ProductArn": "arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default",
  "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"MaxResults": 2,
"StartTime": "2021-09-30T15:53:35.573Z",
"EndTime": "2021-09-31T15:53:35.573Z"
}
AWS CLI

  1. Ejecute el comando get-findings, utilizando los filtros adecuados según sea necesario, para identificar el resultado del que desea ver el historial. La respuesta le dará ProductArn y Id del resultado. En el tercer paso, necesitará los valores de estos campos.

  2. Ejecute el comando get-finding-history.

  3. Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener más información sobre estos campos, consulte AwsSecurityFindingIdentifier. Solo puede obtener el historial de un resultado por solicitud.

  4. Proporciona valores para start-time y end-time para limitar el historial de resultados a un período de tiempo específico.

  5. Proporcione un valor max-results para limitar el historial de resultados a un número específico de resultados. Si no se proporciona, el comando devuelve los primeros 100 resultados del historial de resultados.

  6. Indique un valor para next-token para ver los siguientes 100 resultados (si corresponde) de un resultado. En su solicitud inicial, el valor next-token debe ser NULL.

    Comando de ejemplo:

    aws securityhub --region us-west-2 \
get-finding-history
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 --start-time "2021-09-30T15:53:35.573Z" --end-time "2021-09-31T15:53:35.573Z"