Información personalizada - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información personalizada

Además de los hallazgos administrados de AWS Security Hub, puede crear hallazgos personalizados para realizar un seguimiento de problemas y recursos específicos de su entorno. Los hallazgos personalizados proporcionan una forma de realizar un seguimiento de un subconjunto de problemas seleccionados.

Estos son algunos ejemplos de hallazgos personalizados que puede resultar útil configurar:

  • Si tiene una cuenta de administrador, puede configurar un hallazgo personalizado para hacer un seguimiento de los resultados críticos y de alta gravedad que estén afectando a las cuentas de los miembros.

  • Si confía en un determinado servicio integrado de AWS, puede configurar un análisis personalizado para realizar un seguimiento de los hallazgos críticos y de alta gravedad derivados de ese servicio.

  • Si confía en una integración de terceros, puede configurar un hallazgo personalizado para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese producto integrado.

Puede crear conocimientos personalizados completamente nuevos, o comenzar a partir de un conocimiento personalizado o administrado existente.

Cada conocimiento se configura con las siguientes opciones.

  • Atributo de agrupación: El atributo de agrupación determina los elementos que se muestran en la lista de resultados del hallazgo. Por ejemplo, si el atributo de agrupación es Nombre del producto, los resultados del hallazgo muestran el número de hallazgos asociados a cada proveedor.

  • Filtros opcionales: Los filtros opcionales afinan la cantidad de resultados que coinciden con los parámetros del hallazgo.

    Al consultar los resultados, Security Hub aplica la lógica booleana AND al conjunto de filtros. En otras palabras, una búsqueda solo coincide si coincide con todos los filtros proporcionados. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «El tipo de recurso es AwsS3Bucket», los resultados deben coincidir con ambos criterios.

    Sin embargo, Security Hub aplica la lógica booleana OR a los filtros que utilizan el mismo atributo pero valores distintos. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «El nombre del producto es Amazon Inspector», el resultado coincidirá si lo ha generado cualquiera de estos dos nombres.

Tenga en cuenta que si utiliza el identificador de recurso o el tipo de recurso como atributo de agrupación, los resultados de la información incluirán todos los recursos incluidos en los resultados. La lista no se limita a los recursos que coinciden con un filtro de tipo de recurso. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3 y los agrupa por identificador de recursos. Un resultado coincidente contiene un recurso de bucket de S3 y un recurso de clave de acceso de IAM. Los resultados del hallazgo incluyen ambos recursos.

Eliminación de un hallazgo personalizado (consola)

Desde la consola, puede crear un conocimiento completamente nuevo.

Para eliminar un hallazgo personalizado
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

  2. En el panel de navegación, elija Hallazgos.

  3. Seleccione Crear hallazgo.

  4. Para seleccionar el atributo de agrupación para el conocimiento:

    1. Seleccione el cuadro de búsqueda para ver las opciones de filtro.

    2. Elija Group by (Agrupar por).

    3. Seleccione el atributo que se va a utilizar para agrupar los resultados asociados a este hallazgo.

    4. Seleccione Aplicar.

  5. (Opcional) Elija los filtros adicionales que desee utilizar para este conocimiento. Para cada filtro, defina los criterios de filtro y, a continuación, elija Aplicar.

  6. Seleccione Crear hallazgo.

  7. Escriba un Insight name (Nombre del conocimiento) y elija Create insight (Crear conocimiento).

Crear un hallazgo personalizado (mediante programación)

Elija el método que prefiera y siga los pasos para crear un hallazgo personalizado mediante programación en Security Hub. Puede especificar filtros para limitar a un subconjunto específico la recopilación de resultados en el hallazgo.

Las siguientes pestañas incluyen instrucciones en varios idiomas para crear un hallazgo personalizado. Para obtener soporte en otros idiomas, consulte Herramientas para crear en AWS.

Security Hub API
  1. Ejecute la operación CreateInsight.

  2. Rellene el parámetro Name con un nombre para su hallazgo personalizado.

  3. Rellene el parámetro Filters para especificar qué resultados incluir en el hallazgo.

  4. Rellene el parámetro GroupByAttribute para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

  5. Si lo desea, complete el parámetro SortCriteria para ordenar los hallazgos según un campo específico.

Si ha habilitado la agregación entre regiones y llama a esta API desde la región de agregación, el hallazgo se aplica a los resultados en la agregación y en las regiones vinculadas.

AWS CLI
  1. En la línea de comandos, ejecute el comando create-insight.

  2. Rellene el parámetro name con un nombre para su hallazgo personalizado.

  3. Rellene el parámetro filters para especificar qué resultados incluir en el hallazgo.

  4. Rellene el parámetro group-by-attribute para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

Si ha habilitado la agregación entre regiones y ejecuta este comando desde la región de agregación, el hallazgo se aplica a los resultados de la agregación y las regiones vinculadas.

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

Ejemplo

aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
PowerShell
  1. Utilice el cmdlet New-SHUBInsight.

  2. Rellene el parámetro Name con un nombre para su hallazgo personalizado.

  3. Rellene el parámetro Filter para especificar qué resultados incluir en el hallazgo.

  4. Rellene el parámetro GroupByAttribute para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

Si ha habilitado la agregación entre regiones y utiliza este cmdlet desde la región de agregación, el hallazgo se aplica a los resultados de la agregación y las regiones vinculadas.

Ejemplo

$Filter = @{ AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = "XXX" } ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = 'FAILED' } } New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId

Modificación de hallazgos personalizados (consola)

Puede modificar un conocimiento personalizado existente para cambiar el valor de agrupación y los filtros. Después de realizar los cambios, puede guardar las actualizaciones en el conocimiento original o guardar la versión actualizada como un nuevo conocimiento.

Para modificar un conocimiento
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

  2. En el panel de navegación, elija Hallazgos.

  3. Elija el conocimiento personalizado que desea modificar.

  4. Edite la configuración de los hallazgos si es necesario.

    • Para cambiar el atributo utilizado para agrupar los resultados en el hallazgo:

      1. Para eliminar la agrupación existente, elija la X situada junto al ajuste Agrupar por.

      2. Seleccione la barra de búsqueda.

      3. Seleccione el atributo que desea utilizar para el agrupamiento.

      4. Seleccione Aplicar.

    • Para eliminar un filtro del hallazgo, elija la X rodeada de un círculo junto al filtro.

    • Para agregar un filtro al hallazgo:

      1. Seleccione la barra de búsqueda.

      2. Seleccione el atributo y el valor que desea utilizar como filtro.

      3. Seleccione Aplicar.

  5. Cuando complete las actualizaciones, elija Save insight (Guardar conocimiento).

  6. Cuando se le solicite, siga uno de estos procedimientos:

    • Para actualizar el conocimiento existente para que refleje los cambios, elija Update <Insight_Name> (Actualizar <nombre_conocimiento) y, a continuación, elija Save insight (Guardar conocimiento).

    • Para crear un nuevo conocimiento con las actualizaciones, elija Save new insight (Guardar nuevo conocimiento). Escriba un Insight name (Nombre del conocimiento) y elija Save insight (Guardar conocimiento).

Modificar un hallazgo personalizado (mediante programación)

Para modificar un hallazgo personalizado, elija el método que prefiera y siga las instrucciones.

Security Hub API
  1. Ejecute la operación UpdateInsight.

  2. Para identificar el hallazgo personalizado, debe indicar su nombre de recurso de Amazon (ARN). Para obtener el ARN de un hallazgo personalizado, ejecute la operación GetInsights.

  3. Actualice los parámetros Name, Filters y GroupByAttribute según sea necesario.

AWS CLI
  1. En la línea de comandos, ejecute el comando update-insight.

  2. Para identificar el hallazgo personalizado, debe indicar su nombre de recurso de Amazon (ARN). Para obtener el ARN de un hallazgo personalizado, ejecute el comando get-insights.

  3. Actualice los parámetros name, filters y group-by-attribute según sea necesario.

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

Ejemplo

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
PowerShell
  1. Utilice el cmdlet Update-SHUBInsight.

  2. Para identificar el hallazgo personalizado, debe indicar su nombre de recurso de Amazon (ARN). Para obtener el ARN de un hallazgo personalizado, utilice el cmdlet Get-SHUBInsight.

  3. Actualice los parámetros Name, Filter y GroupByAttribute según sea necesario.

Ejemplo

$Filter = @{ ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = "AwsIamRole" } SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{ Comparison = "EQUALS" Value = "HIGH" } } Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"

Cómo crear un nuevo hallazgo personalizado a partir de un hallazgo administrado (consola)

No puede guardar los cambios en un conocimiento administrado ni eliminarlo. Puede utilizar un conocimiento administrado como base para un nuevo conocimiento personalizado.

Para crear un nuevo conocimiento personalizado a partir de un conocimiento administrado
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

  2. En el panel de navegación, elija Hallazgos.

  3. Elija el conocimiento administrado desde el que trabajar.

  4. Edite la configuración de los hallazgos si es necesario.

    • Para cambiar el atributo utilizado para agrupar los resultados en el hallazgo:

      1. Para eliminar la agrupación existente, elija la X situada junto al ajuste Agrupar por.

      2. Seleccione la barra de búsqueda.

      3. Seleccione el atributo que desea utilizar para el agrupamiento.

      4. Seleccione Aplicar.

    • Para eliminar un filtro del hallazgo, elija la X rodeada de un círculo junto al filtro.

    • Para agregar un filtro al hallazgo:

      1. Seleccione la barra de búsqueda.

      2. Seleccione el atributo y el valor que desea utilizar como filtro.

      3. Seleccione Aplicar.

  5. Cuando se hayan completado las actualizaciones, elija Create insight (Crear conocimiento).

  6. Cuando se le solicite, escriba el Nombre del hallazgo; a continuación, elija Crear hallazgo.

Cómo eliminar un hallazgo personalizado (consola)

Cuando ya no desee un conocimiento personalizado, puede eliminarlo. No puede eliminar conocimientos administrados.

Para eliminar un conocimiento personalizado
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

  2. En el panel de navegación, elija Hallazgos.

  3. Localice el conocimiento personalizado que desea eliminar.

  4. Para obtener ese hallazgo, elija el icono de más opciones (los tres puntos en la esquina superior derecha de la tarjeta).

  5. Elija Eliminar (Delete).

Cómo eliminar un hallazgo personalizado (mediante programación)

Para eliminar un hallazgo personalizado, elija el método que prefiera y siga las instrucciones.

Security Hub API
  1. Ejecute la operación DeleteInsight.

  2. Para identificar el hallazgo personalizado que se va a eliminar, indique su ARN. Para obtener el ARN de un hallazgo personalizado, ejecute la operación GetInsights.

AWS CLI
  1. En la línea de comandos, ejecute el comando delete-insight.

  2. Para identificar el hallazgo personalizado, indique su ARN. Para obtener el ARN de un hallazgo personalizado, ejecute el comando get-insights.

aws securityhub delete-insight --insight-arn <insight ARN>

Ejemplo

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
PowerShell
  1. Utilice el cmdlet Remove-SHUBInsight.

  2. Para identificar el hallazgo personalizado, indique su ARN. Para obtener el ARN de un hallazgo personalizado, utilice el cmdlet Get-SHUBInsight.

Ejemplo

-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"