Terminología y conceptos - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Terminología y conceptos

Este tema describe los conceptos clave enAWSSecurity Hub le ayudará a comenzar.

Cuenta

Cuenta estándar de Amazon Web Services (AWS) que contiene los recursos de AWS. Puede iniciar sesión enAWScon su cuenta y habilite Security Hub.

Una cuenta puede invitar a otras cuentas a habilitar Security Hub y asociarse con esa cuenta en Security Hub. La aceptación de una invitación de suscripción es opcional. Si aceptan las invitaciones, la cuenta se convierte en una cuenta de administrador y las cuentas añadidas son cuentas miembro. Las cuentas de administrador pueden ver los resultados de sus cuentas de miembro.

Si está inscrito enAWS Organizationsy, a continuación, su organización designa una cuenta de administrador de Security Hub para la organización. La cuenta de administrador de Security Hub puede habilitar otras cuentas de organización como cuentas miembro.

Una cuenta no puede ser una cuenta de administrador de y una cuenta miembro al mismo tiempo. Una cuenta solo puede tener una cuenta de administrador.

Para obtener más información, consulte Administración de cuentas de administrador y de miembros.

cuenta de administrador

Cuenta de Security Hub a la que se le concede acceso para ver los hallazgos de las cuentas de miembro asociadas.

Una cuenta se convierte en una cuenta de administrador de una de las formas siguientes:

  • La cuenta invita a otras cuentas a asociarse a ella en Security Hub. Cuando esas cuentas aceptan la invitación, se convierten en cuentas de miembro y la cuenta invitante se convierte en su cuenta de administrador.

  • La cuenta la designa una cuenta de administración de la organización como cuenta de administrador de Security Hub. La cuenta de administrador de Security Hub puede habilitar cualquier cuenta de organización como cuenta miembro de y también puede invitar a otras cuentas a ser cuentas miembro.

Una cuenta solo puede tener una cuenta de administrador. Una cuenta no puede ser una cuenta de administrador de y una cuenta miembro al mismo tiempo.

Región de agregación

La configuración de una región de agregación permite ver los resultados de seguridad de varias regiones en un único panel de cristal.

La región de agregación es la región desde la que ve y administra los hallazgos. Los hallazgos se agregan a la región de agregación de las regiones vinculadas. Las actualizaciones de los hallazgos se replican en todas las regiones.

En la región de agregación, elEstándares de seguridad,Información detallada, yHallazgoslas páginas incluyen datos de todas las regiones vinculadas.

Consulte Agregentre regiones.

Resultado archivado

Un hallazgo que tiene un RecordState establecido en ARCHIVED. El archivado de un hallazgo indica que el proveedor de hallazgos cree que el hallazgo ya no es relevante. El estado del registro es independiente del estado del flujo de trabajo, que realiza un seguimiento del estado de una investigación de un hallazgo.

La búsqueda de proveedores puede utilizar elBatchImportFindingsoperación de la API de Security Hub para archivar los hallazgos que ha creado. Security Hub archiva automáticamente las conclusiones de los controles si el control está deshabilitado o si se elimina el recurso asociado, según uno de los criterios siguientes.

  • El hallazgo no se actualiza en tres o cinco días (tenga en cuenta que este es el mejor esfuerzo y no está garantizado).

  • El asociadoAWS Configdevoluciones de evaluaciónNOT_APPLICABLE.

Por defecto, los hallazgos archivados se excluyen de las listas de hallazgos en la consola de Security Hub. Puede actualizar el filtro para incluir los hallazgos archivados.

LaGetFindingsLa operación de Security Hub API de Security Hub devuelve hallazgos activos y archivados. Puede incluir un filtro para el estado del registro.

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
Formato de los hallazgos de seguridad de AWS (ASFF)

Un formato estandarizado para el contenido de los hallazgos que Security Hub agrega o genera. LaAWSEl formato Security Finding Format le permite utilizar Security Hub para ver y analizar hallazgos generados porAWSservicios de seguridad de, soluciones de terceros o Security Hub por a partir de la ejecución de comprobaciones de seguridad. Para obtener más información, consulte Formato de los hallazgos de seguridad de AWS (ASFF).

Controlar

Una salvaguardia o contramedida prescrita para un sistema de información o una organización diseñada para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir un conjunto de requisitos de seguridad definidos. Un estándar de seguridad consta de controles.

Acción personalizada

Un mecanismo de Security Hub para enviar hallazgos seleccionados a EventBridge. Se crea una acción personalizada en Security Hub. A continuación, se vincula a un EventBridge regla. La regla define una acción específica que se debe realizar cuando se recibe un hallazgo asociado al ID de acción personalizada. Las acciones personalizadas se pueden utilizar, por ejemplo, para enviar un hallazgo específico o un pequeño conjunto de hallazgos, a un flujo de trabajo de respuesta o corrección. Para obtener más información, consulte Creación de una acción personalizada (consola).

Cuenta de administrador delegado (Organizations)

En Organizations, la cuenta de administrador delegado de un servicio puede administrar el uso de un servicio para la organización.

En Security Hub, la cuenta de administrador de Security Hub es también la cuenta de administrador delegada de Security Hub. Cuando la cuenta de administración de la organización designa por primera vez una cuenta de administrador de Security Hub, Security Hub llama a Organizations para convertir esa cuenta en la cuenta de administrador delegado.

A continuación, la cuenta de administración de la organización debe elegir la cuenta de administrador delegado como cuenta de administrador de Security Hub en todas las regiones.

Resultado

El registro observable de una comprobación de seguridad o detección relacionada con la seguridad.

Para obtener más información sobre los hallazgos en Security Hub, consulteHallazgos enAWSCentro de seguridad de.

nota

Los hallazgos se eliminan al cabo 90 días de la última actualización o 90 días después de que se crearan si no hay actualizaciones. Para almacenar hallazgos durante más de 90 días, puede configurar una regla en EventBridge que dirige los hallazgos a su bucket de Amazon S3.

Agregación entre regiones

La agregación de hallazgos, insights, estados de cumplimiento de control y puntuaciones de seguridad de las regiones vinculadas a una región de agregación. A continuación, puede ver todos los datos de la región de agregación y actualizar los hallazgos y los conocimientos de la región de agregación.

Consulte Agregentre regiones.

Encontrar incorporación

Importación de hallazgos en Security Hub desde otrosAWSservicios y de proveedores asociados externos.

La búsqueda de eventos de incorporación incluye nuevos hallazgos y actualizaciones de los hallazgos existentes.

Conocimiento

Una recopilación de hallazgos relacionados definida por una instrucción de agregación y filtros opcionales. Un conocimiento identifica un área de seguridad que requiere atención e intervención. Security Hub ofrece varios conocimientos administrados (predeterminados) que no se pueden modificar. También puede crear conocimientos personalizados de Security Hub para realizar un seguimiento de problemas de seguridad que son exclusivos de suAWSentorno y uso. Para obtener más información, consulte Conocimientos enAWSCentro de seguridad de.

Región vinculada

Cuando habilita la agregación entre regiones, una región vinculada es una región que agrupa hallazgos, información, estados de cumplimiento de control y puntuaciones de seguridad a la región de agregación.

En una región vinculada, elHallazgosyInformación detalladalas páginas contienen resultados únicamente de esa región.

Consulte Agregentre regiones.

cuenta miembro

Cuenta que ha concedido permiso a una cuenta de administrador para ver y tomar medidas al respecto.

Una cuenta se convierte en una cuenta miembro de una de las formas siguientes:

  • La cuenta acepta una invitación de otra cuenta.

  • Para una cuenta de organización, la cuenta de administrador de Security Hub habilita la cuenta como cuenta de miembro.

Requisitos relacionados

Un conjunto de requisitos reglamentarios o del sector asignados a un control.

Rule

Un conjunto de criterios automatizados que se utiliza para evaluar si se cumple un control. Cuando se evalúa una regla, puede superarse o devolver un error. Si la evaluación no puede determinar si la regla se supera o devuelve un error, la regla se encuentra en un estado de advertencia. Si la regla no se puede evaluar, está en un estado no disponible.

Comprobación de seguridad

Un específico point-in-time evaluación de una regla frente a un único recurso que da lugar a un estado aprobado, erróneo, de advertencia o no disponible. La ejecución de una comprobación de seguridad produce un hallazgo.

cuenta de administrador de Security Hub

Cuenta de organización que administra la membresía de Security Hub de una organización.

La cuenta de administración de la organización designa la cuenta de administrador de Security Hub de cada región. La cuenta de administración de la organización debe elegir la misma cuenta de administrador de Security Hub en todas las regiones.

La cuenta de administrador de Security Hub es también la cuenta de administrador delegada de Security Hub in Organizations.

La cuenta de administrador de Security Hub puede habilitar cualquier cuenta de organización como cuenta miembro. La cuenta de administrador de Security Hub también puede invitar a otras cuentas a ser cuentas miembro.

Estándar de seguridad

Una instrucción publicada sobre un tema que especifica las características, normalmente medibles y en forma de controles, que deben cumplirse o lograrse para fines de conformidad. Los estándares de seguridad pueden basarse en marcos normativos, prácticas recomendadas o políticas internas de la empresa. Para obtener más información sobre los estándares de seguridad en Security Hub, consulteEstándares y controles de seguridad enAWSCentro de seguridad de.

Gravedad

La gravedad asignada a un control de Security Hub identifica la importancia del control. La gravedad de un control puede serCrítica,Alto,Mediano,Bajo, o bienInformativo. La gravedad asignada a los hallazgos de control es igual a la gravedad del propio control. Para obtener más información sobre cómo Security Hub asigna la gravedad a un control, consulteGravedad.

Estado del flujo de trabajo

El estado de una investigación sobre un hallazgo. Se realiza un seguimiento mediante el atributo Workflow.Status.

El estado del flujo de trabajo es inicialmente NEW. Si ha notificado al propietario del recurso que tome medidas en la búsqueda, puede establecer el estado del flujo de trabajo en NOTIFIED. Si la búsqueda no es un problema y no requiere ninguna acción, establezca el estado del flujo de trabajo en SUPPRESSED. Después de revisar y corregir una búsqueda, establezca el estado del flujo de trabajo en RESOLVED.

De forma predeterminada, la mayoría de las listas de búsqueda solo incluyen conclusiones con un estado de flujo de trabajo de NEW o NOTIFIED. Las listas de búsqueda para los controles también incluyen hallazgos RESOLVED.

Para la operación de GetFindings, puede incluir un filtro para el estado del flujo de trabajo.

"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],

La consola de Security Hub proporciona una opción para establecer el estado del flujo de trabajo de los hallazgos. Los clientes (o herramientas SOAR, SIEM, de venta de tickets, de administración de incidentes que trabajan en nombre de un cliente para actualizar los hallazgos de la búsqueda de proveedores) también pueden utilizar BatchUpdateFindings para actualizar el estado del flujo de trabajo.