Terminología y conceptos - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Terminología y conceptos

En este tema se describen los conceptos clave que le ayudarán a dar los primeros pasos con AWS Security Hub.

Cuenta

Cuenta estándar de Amazon Web Services (AWS) que contiene los recursos de AWS. Puede iniciar sesión en AWS con su cuenta y habilitar Security Hub.

Una cuenta puede invitar a otras cuentas a activar Security Hub y asociarse a esa cuenta en Security Hub. La aceptación de una invitación de suscripción es opcional. Si las invitaciones se aceptan, la cuenta se convierte en la cuenta de administrador, mientras que las cuentas añadidas se convierten en cuentas miembro. Las cuentas de administrador pueden ver los resultados de sus cuentas miembro.

Si está inscrito en AWS Organizations, su organización designa una cuenta de administrador de Security Hub para la organización. La cuenta de administrador de Security Hub puede habilitar otras cuentas de la organización como cuentas miembro.

Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo. Una cuenta solo puede tener una cuenta de administrador.

Para obtener más información, consulte Administración de cuentas de administrador y de miembros.

Cuenta de administrador

Una cuenta de Security Hub a la que se le concede acceso para ver los resultados de las cuentas miembro asociadas.

Una cuenta se convierte en cuenta de administrador de las siguientes formas:

  • La cuenta invita a otras cuentas a asociarse a ella en Security Hub. Cuando esas cuentas aceptan la invitación, pasan a ser cuentas miembro y la cuenta que las ha invitado se convierte en su cuenta de administrador.

  • Una cuenta de administración de la organización designa la cuenta como cuenta de administrador de Security Hub. La cuenta de administrador de Security Hub puede habilitar cualquier cuenta de la organización como cuenta miembro y también puede invitar a otras cuentas a convertirse en cuentas miembro.

Una cuenta solo puede tener una cuenta de administrador. Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo.

Región de agregación

La configuración de una región de agregación le permite ver los resultados de seguridad desde varias Regiones de AWS en un solo panel.

La región de agregación es la región desde la que se visualizan y administran los resultados. Los resultados se agregan a la región de agregación desde las regiones vinculadas. Las actualizaciones de los resultados se reproducen en todas las regiones.

En la Región de agregación, las páginas de Estándares de seguridad, Información y Resultados contienen datos de todas las Regiones vinculadas.

Consulte Agregación entre regiones.

Resultado archivado

Un resultado que tiene un RecordState establecido en ARCHIVED. Archivar un resultado indica que el proveedor del mismo cree que dicho resultado ya no es relevante. El estado del registro es independiente del estado del flujo de trabajo, que realiza el seguimiento del estado de una investigación sobre un resultado.

Los proveedores de resultados pueden utilizar la operación BatchImportFindings de la API de Security Hub para archivar los resultados que hayan creado. Security Hub archiva automáticamente los resultados de los controles si se deshabilita el control o se elimina el recurso asociado, según uno de los criterios siguientes.

  • El resultado no se actualiza en un plazo de tres a cinco días (tenga en cuenta que se hará todo lo posible y no está garantizado).

  • La evaluación asociada a AWS Config resulta en NOT_APPLICABLE.

Por defecto, los resultados archivados se excluyen de las listas de resultados en la consola de Security Hub. Puede actualizar el filtro para incluir los resultados archivados.

La operación GetFindings de la API de Security Hub devuelve resultados activos y archivados. Puede incluir un filtro para el estado del registro.

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWS Security Finding Format (ASFF)

Un formato estandarizado para el contenido de los resultados que Security Hub agrega o genera. El formato AWS Security Finding Format le permite utilizar Security Hub para ver y analizar resultados generados por los servicios de seguridad de AWS, soluciones de terceros o por Security Hub a partir de la ejecución de controles de seguridad. Para obtener más información, consulte AWS Formato de búsqueda de seguridad (ASFF).

Controlar

Una salvaguardia o contramedida prescrita para un sistema de información o una organización diseñada para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir un conjunto de requisitos de seguridad definidos. Un estándar de seguridad está asociado a un conjunto de controles.

El término control de seguridad se refiere a los controles que tienen un ID y un título de control únicos en todos los estándares. El término control estándar se refiere a los controles que tienen ID y títulos de control específicos del estándar. Actualmente, Security Hub solo admite controles estándar en las regiones de AWS GovCloud (US) Region y China. Los controles de seguridad son compatibles en todas las demás regiones.

Acción personalizada

Un mecanismo de Security Hub para enviar resultados seleccionados a EventBridge. Se crea una acción personalizada en Security Hub. A continuación, se vincula a una regla de EventBridge. La regla define una acción específica que se debe realizar cuando se recibe un resultado asociado al ID de la acción personalizada. Las acciones personalizadas se pueden utilizar, por ejemplo, para enviar un resultado específico o un pequeño conjunto de resultados a un flujo de trabajo de respuesta o corrección. Para obtener más información, consulte Creación de una acción personalizada (consola).

Cuenta de administrador delegado (Organizations)

En Organizations, la cuenta de administrador delegado de un servicio puede administrar el uso de un servicio para la organización.

En Security Hub, la cuenta de administrador de Security Hub también es la cuenta de administrador delegado de Security Hub. Cuando la cuenta de administración de la organización designa por primera vez una cuenta de administrador de Security Hub, Security Hub llama a las Organizations para convertir esa cuenta en la cuenta de administrador delegado.

A continuación, la cuenta de administración de la organización debe elegir la cuenta de administrador delegado como cuenta de administrador de Security Hub en todas las regiones.

Resultado

El registro observable de un control de seguridad o una detección relacionada con la seguridad. Security Hub genera un resultado tras completar el control de seguridad de un control. Estos se denominan resultados de control. Los resultados también pueden provenir de integraciones de productos de terceros.

Para obtener más información sobre los resultados de Security Hub, consulte Hallazgos en AWS Security Hub.

nota

Los resultados se eliminan al cabo 90 días de la última actualización o 90 días después de que se crearan si no hay actualizaciones. Para almacenar resultados durante más de 90 días, puede configurar una regla en EventBridge que dirija los resultados a su bucket de Amazon S3.

Agregación entre regiones

La agregación de resultados, información, estados de conformidad de los controles y puntuaciones de seguridad de las regiones vinculadas a una región de agregación. A continuación, puede ver todos los datos de la región de agregación y actualizar los resultados y la información de la región de agregación.

Consulte Agregación entre regiones.

Ingesta de resultados

La importación de los resultados a Security Hub desde otros servicios de AWS y desde proveedores asociados externos.

Los eventos de ingesta de resultados incluyen tanto resultados nuevos como actualizaciones de resultados existentes.

Información

Una recopilación de resultados relacionados definida por una instrucción de agregación y filtros opcionales. Una información identifica un área de seguridad que requiere atención e intervención. Security Hub ofrece varias informaciones administradas (predeterminadas) que no puede modificar. También puede crear información personalizada en Security Hub para realizar el seguimiento de problemas de seguridad que son exclusivos de su entorno y uso de AWS. Para obtener más información, consulte Informaciones en AWS Security Hub.

Región vinculada

Al habilitar la agregación entre regiones, una región vinculada es una región que agrega resultados, información, estados de conformidad de controles y puntuaciones de seguridad a la región de agregación.

En una región vinculada, las páginas de Resultados e información contienen únicamente resultados de esa región.

Consulte Agregación entre regiones.

Cuenta miembro

Una cuenta que ha concedido permiso a una cuenta de administrador para ver sus resultados y tomar medidas al respecto.

Una cuenta se convierte en cuenta miembro de las siguientes formas:

  • La cuenta acepta una invitación de otra cuenta.

  • La cuenta de administrador de Security Hub habilita la cuenta de la organización como cuenta miembro.

Requisitos relacionados

Un conjunto de requisitos reglamentarios o del sector asignados a un control.

Regla

Un conjunto de criterios automatizados que se utiliza para evaluar si se cumple un control. Cuando se evalúa una regla, puede superarse o devolver un error. Si la evaluación no puede determinar si la regla se supera o devuelve un error, la regla se encuentra en un estado de advertencia. Si la regla no se puede evaluar, está en un estado no disponible.

Control de seguridad

Una evaluación en un momento dado específico de una regla frente a un único recurso que da lugar a un estado aprobado, no aprobado, de advertencia o no disponible. La ejecución de un control de seguridad produce un resultado.

Cuenta de administrador de Security Hub

Una cuenta de la organización que administra la membresía de una organización a Security Hub.

La cuenta de administración de la organización designa la cuenta de administrador de Security Hub de cada región. La cuenta de administración de la organización debe elegir la misma cuenta de administrador de Security Hub en todas las regiones.

La cuenta de administrador de Security Hub también es la cuenta de administrador delegado de Security Hub en Organizations.

La cuenta de administrador de Security Hub puede habilitar cualquier cuenta de la organización como cuenta miembro. La cuenta de administrador de Security Hub también puede invitar a otras cuentas a convertirse en cuentas miembro.

Estándar de seguridad

Una instrucción publicada sobre un tema que especifica las características, normalmente medibles y en forma de controles, que deben cumplirse o lograrse para fines de conformidad. Los estándares de seguridad pueden basarse en marcos normativos, prácticas recomendadas o políticas internas de la empresa. Un control puede estar asociado a uno o más estándares compatibles en Security Hub. Para obtener más información sobre los estándares de seguridad en Security Hub, consulte Controles y estándares de AWS seguridad en Security Hub.

Gravedad

La gravedad asignada a un control de Security Hub identifica la importancia del control. La gravedad de un control puede ser Crítica, Alta, Media, Baja o Informativa. La gravedad asignada a los resultados del control es igual a la gravedad del propio control. Para obtener información sobre cómo asigna Security Hub la gravedad a un control, consulte Asignación de la gravedad a los resultados de los controles.

Estado del flujo de trabajo

El estado de una investigación sobre un resultado. Se realiza un seguimiento mediante el atributo Workflow.Status.

El estado del flujo de trabajo es inicialmente NEW. Si ha notificado al propietario del recurso que tome medidas sobre el resultado, puede establecer el estado del flujo de trabajo en NOTIFIED. Si el resultado no es un problema y no requiere ninguna acción, establezca el estado del flujo de trabajo en SUPPRESSED. Después de revisar y corregir un resultado, establezca el estado del flujo de trabajo en RESOLVED.

De forma predeterminada, la mayoría de las listas de resultados solo incluyen resultados con un estado de flujo de trabajo de NEW o NOTIFIED. Las listas de resultados para los controles también incluyen resultados RESOLVED.

Para la operación de GetFindings, puede incluir un filtro para el estado del flujo de trabajo.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

La consola de Security Hub proporciona una opción para establecer el estado del flujo de trabajo de los resultados. Los clientes (o herramientas SOAR, SIEM, de venta de tickets, de administración de incidentes que trabajan en nombre de un cliente para actualizar resultados de los proveedores de resultados) también pueden utilizar BatchUpdateFindings para actualizar el estado del flujo de trabajo.