Registro deAWSllamadas a la API de Security Hub conAWS CloudTrail - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro deAWSllamadas a la API de Security Hub conAWS CloudTrail

AWSSecurity Hub está integrado conAWS CloudTrail, un servicio que proporciona un registro de las acciones que realiza un usuario, un rol o unAWSservicio en Security Hub. CloudTrail captura las llamadas a la API de Security Hub como eventos. Las llamadas capturadas incluyen las llamadas realizadas desde la consola de Security Hub y las llamadas de código a las operaciones de la API de Security Hub. Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos de Security Hub. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el Historial de eventos. Mediante la información que CloudTrail recopila, se puede determinar la solicitud que se realizó a Security Hub, la dirección IP desde la que se realizó la solicitud, quién la realizó y cuándo se realizó y detalles adicionales.

Para obtener más información acerca de CloudTrail, incluso cómo configurarlo y habilitarlo, consulte la Guía del usuario de AWS CloudTrail.

Información de Security Hub en CloudTrail

CloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce una actividad de eventos compatible en Security Hub, esta se registra en un evento de CloudTrail junto con otrosAWSeventos de servicio de enHistorial de eventos. Puede ver, buscar y descargar los últimos eventos de la cuenta de . Para obtener más información, consulte Visualización de eventos con el historial de eventos de CloudTrail.

Para mantener un registro continuo de los eventos de la cuenta de, incluidos los eventos de Security Hub, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, este se aplica a todas las regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. También es posible configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte los siguientes temas:

Security Hub admite el registro de todas las acciones de la API de Security Hub como eventos de los registros de CloudTrail. Para ver una lista de las operaciones de Security Hub, consulte laReferencia de la API del Centro de.

Cuando la actividad de las siguientes acciones se registra en CloudTrail, el valor deresponseElementstoma el valornull. Esto garantiza que no se incluya información confidencial en los registros de CloudTrail.

  • BatchImportFindings

  • GetFindings

  • GetInsights

  • GetMembers

  • UpdateFindings

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:

  • Si la solicitud se realizó con las credenciales raíz o del usuario de AWS Identity and Access Management (IAM).

  • Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado

  • Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Ejemplo: Entradas de archivos de registro de Security Hub

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos de registros en un bucket de Amazon S3 que especifique. Los archivos log de CloudTrail pueden contener una o varias entradas de log. Un evento representa una solicitud específica realizada desde un origen y contiene información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas públicas a la API, por lo que estas no aparecen en ningún orden específico.

En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail que ilustra la acción CreateInsight. En este ejemplo, se crea un conocimiento llamado Test Insight. Se especifica el atributo ResourceId como el agregador Group by (Agrupar por) y no se especifican filtros opcionales para este conocimiento. Para obtener más información acerca de los conocimientos, consulte Conocimientos enAWSCentro de seguridad de.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJK6U5DS22IAVUI7BW", "arn": "arn:aws:iam::012345678901:user/TestUser", "accountId": "012345678901", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "TestUser" }, "eventTime": "2018-11-25T01:02:18Z", "eventSource": "securityhub.amazonaws.com", "eventName": "CreateInsight", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39", "requestParameters": { "Filters": {}, "ResultField": "ResourceId", "Name": "Test Insight" }, "responseElements": { "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055" }, "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066", "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "012345678901" }