Configuración del estado de flujo de trabajo de hallazgos - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del estado de flujo de trabajo de hallazgos

En los hallazgos, el estado de flujo de trabajo realiza un seguimiento del progreso de la investigación sobre un hallazgo. El estado del flujo de trabajo es específico de un hallazgo individual. No afecta a la generación de nuevos hallazgos. Por ejemplo, establecer el estado del flujo de trabajo enSUPPRESSEDoRESOLVEDno impide que se produzca un nuevo hallazgo para el mismo problema.

El estado de flujo de trabajo incluye los siguientes valores:

NEW

Es el estado inicial de un hallazgo antes de revisarlo.

Security Hub también restablece el estado del flujo de trabajo desdeNOTIFIEDoRESOLVEDaNEWen los siguientes casos:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Statuscambia dePASSEDaFAILED,WARNING, o bienNOT_AVAILABLE.

Estos cambios implican que se requiere una investigación adicional.

NOTIFIED

Indica que informó sobre el problema de seguridad al propietario del recurso. Puede utilizar este estado cuando no sea el propietario del recurso y necesite la intervención del propietario para que se resuelva un problema de seguridad.

Si se produce una de las siguientes situaciones, el estado del flujo de trabajo cambia automáticamente deNOTIFIEDaNEW:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Statuscambia dePASSEDaFAILED,WARNING, o bienNOT_AVAILABLE.

SUPPRESSED

Indica que revisó la conclusión y no cree que sea necesaria ninguna acción.

El estado de flujo de trabajo de unSUPPRESSEDla búsqueda no cambia siRecordStatecambia deARCHIVEDaACTIVE.

RESOLVED

El hallazgo se ha revisado y se ha corregido. Ahora se considera resuelto.

El hallazgo permaneceRESOLVEDa menos que se producen alguna de las siguientes situaciones:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Statuscambia dePASSEDaFAILED,WARNING, o bienNOT_AVAILABLE.

En esos casos, el estado de flujo de trabajo se restablece automáticamente aNEW.

Para los resultados de los controles, siCompliance.StatusesPASSED, Security Hub establece automáticamente el estado del flujo de trabajo enRESOLVED.

Configuración del estado de flujo de trabajo (consola)

Para establecer el estado de flujo de trabajo desde un panel de detalles de hallazgos, desdeEstado del flujo de trabajo, elija el estado.

También puede establecer el estado de flujo de trabajo para varios hallazgos seleccionados en una lista de hallazgos.

Para establecer el estado de flujo de trabajo para varios hallazgos (consola)

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de hallazgos, realice alguna de las siguientes operaciones:

    • En el panel de navegación Security Hub, en el panel deHallazgos.

    • En el panel de navegación Security Hub, en el panel deInformación detallada. Seleccione un insight A continuación, en la lista de resultados, seleccione un resultado de insight.

    • En el panel de navegación Security Hub, en el panel deIntegraciones. ElegirVer hallazgospara una integración.

    • En el panel de navegación Security Hub, en el panel deEstándares de seguridad. ElegirVer los resultadospara mostrar una lista de controles. A continuación, elija el nombre del control.

  3. En la lista de hallazgos, active la casilla de verificación de cada hallazgo que desee actualizar.

  4. En la parte superior de la lista, paraEstado del flujo de trabajo, elija el estado.

Configuración del estado de flujo de trabajo (API de Security Hub,AWS CLI)

Para establecer el estado del flujo de trabajo, puedes usar una llamada a la API o elAWS Command Line Interface.

Para establecer el estado del flujo de trabajo de un hallazgo (API de Security Hub,AWS CLI)

  • API de Security HubUsarBatchUpdateFindings. Para identificar el hallazgo que se va a actualizar, debes proporcionar tanto el identificador de hallazgo como el ARN del producto que generó el hallazgo.

  • AWS CLI–En la línea de comandos, ejecute el comandobatch-update-findingscomando.

    batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

    Ejemplo

    aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"