Administrar y revisar los detalles y el historial de las búsquedas - AWS Security Hub
Filtrado y agrupación de resultados (consola)Información de búsqueda disponibleRevisar el historial de búsquedasRevisando los detalles de la búsqueda

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar y revisar los detalles y el historial de las búsquedas

Existen varias formas de ver las listas de búsqueda en la AWS Security Hub consola:

  • Página de resultados: muestra una lista completa de los hallazgos de todos los controles e integraciones de productos habilitados. De forma predeterminada, se muestran los hallazgos activos con un estado de NOTIFIED flujo de trabajo NEW o de flujo de trabajo.

  • Página de detalles del control: muestra una lista de los hallazgos que se generaron en las últimas 24 horas para un control específico.

  • Página de información: muestra una lista de hallazgos para obtener información coincidente. Una información es una recopilación de hallazgos específicos. Para obtener más información, consulte Ver y tomar medidas sobre los hallazgos y resultados del conocimiento.

  • Página de integraciones: muestra una lista de los hallazgos generados por un producto integrado Servicio de AWS o de terceros.

Puede filtrar y agrupar las conclusiones de estas listas para centrarse en tipos específicos de conclusiones. También puede seleccionar un hallazgo específico en las páginas anteriores para ver los detalles al respecto.

Para ver una lista de hallazgos mediante programación, utilice el GetFindingsfuncionamiento de la API Security Hub. Puede incluir filtros para recuperar tipos específicos de hallazgos.

Si habilita la agregación entre regiones, puede recuperar los estados de control, las puntuaciones de seguridad, los conocimientos y los hallazgos de todas las regiones. En la región de agregación, la búsqueda de datos incluye datos de la región de agregación y de las regiones vinculadas. En otras regiones, la búsqueda de datos es específica únicamente de esa región. Para obtener información sobre la configuración de la agregación entre regiones, consulteAgregación entre regiones.

Filtrado y agrupación de resultados (consola)

Al mostrar una lista de resultados en las páginas Hallazgos, Integraciones o Estadísticas de la consola Security Hub, la lista se filtra previamente en función del estado del registro y del flujo de trabajo. Estos filtros complementan a los filtros de información o integración.

El estado del registro indica si un hallazgo está activo o archivado. De forma predeterminada, una lista de búsquedas solo muestra las búsquedas activas. El proveedor de búsquedas puede archivar las búsquedas. AWS Security Hub también archiva automáticamente los resultados de control si se elimina el recurso asociado.

El estado del flujo de trabajo indica el estado de una investigación sobre un hallazgo. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos con estado de flujo de trabajo NEW o NOTIFIED. Puede actualizar el estado del flujo de trabajo de un hallazgo.

Si has activado la búsqueda de agregación y has iniciado sesión en la región de agregación, puedes filtrar los hallazgos por región en las páginas de hallazgos e información.

Para obtener información sobre cómo trabajar con los hallazgos de los controles, consulteFiltrar, clasificar y descargar los resultados de los controles. La información de esta página se aplica a las listas de búsqueda en las páginas de hallazgos, perspectivas e integraciones.

Adición de filtros

Para cambiar el alcance de la lista, le puede agregar filtros.

Puede filtrar por hasta 10 atributos. Para cada atributo, puede proporcionar hasta 20 valores de filtro.

Al filtrar la lista de resultados, Security Hub aplica la lógica AND al conjunto de filtros. En otras palabras, una búsqueda solo coincide si coincide con todos los filtros proporcionados. Por ejemplo, si las agregas GuardDuty como filtro para el nombre del producto y AwsS3Bucket como filtro para el tipo de recurso, los resultados coincidentes deben cumplir ambos criterios.

Sin embargo, Security Hub aplica la lógica OR a los filtros que utilizan el mismo atributo pero valores distintos. Por ejemplo, añades Amazon Inspector GuardDuty y Amazon como valores de filtro para el nombre del producto. En ese caso, un hallazgo coincide si lo generó Amazon Inspector GuardDuty o si lo generó.

Para agregar un filtro a la lista de hallazgos

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de resultado, realice una de las acciones siguientes:

    • En el panel de navegación de Security Hub, elija Resultados.

    • En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.

    • En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.

  3. En el cuadro Añadir filtros, en Filtros, elija un filtro.

    Al filtrar por nombre de empresa o nombre de producto, la consola utiliza el nivel superior CompanyName y ProductName los campos. La API usa los valores incluidos en ProductFields.

  4. Elija el tipo de coincidencia de filtro.

    Para un filtro de cadena, puede elegir entre las siguientes opciones de comparación:

    • es: busca un valor que coincida exactamente con el valor del filtro.

    • empieza por: busca un valor que empiece por el valor del filtro.

    • no es: busca un valor que no coincida con el valor del filtro.

    • no empieza por: busca un valor que no empiece por el valor del filtro.

    Para un filtro numérico, puede elegir si desea proporcionar un solo número (Simple) o un rango de números (Range).

    Para un filtro de fecha y hora, puede elegir si desea proporcionar un período de tiempo a partir de la fecha y hora actuales (Rolling window) o de un intervalo de fechas específico (Fixed range).

    La adición de varios filtros tiene las siguientes interacciones:

    • Los filtros es y empieza por van unidos por O. Un valor coincide si contiene alguno de los valores del filtro. Por ejemplo, si especifica que la Etiqueta de gravedad es CRÍTICA y la Etiqueta de gravedad es ALTA, los resultados incluyen tanto los resultados de gravedad crítica como de gravedad alta.

    • Los filtros no es y no empieza por van unidos por AND. Un valor solo coincide si no contiene ninguno de esos valores de filtro. Por ejemplo, si especificas que la etiqueta de gravedad no es BAJA y la etiqueta de gravedad no es MEDIA, los resultados no incluyen los resultados de gravedad baja o media.

    Si tiene un filtro es en un campo, no puede tener un filtro que no sea o no comience con un filtro en el mismo campo.

  5. Especifique el valor del filtro.

    En el caso de los filtros de cadena, el valor del filtro distingue entre mayúsculas y minúsculas.

    Por ejemplo, para los resultados de Security Hub, el Nombre del producto es Security Hub. Si utiliza el operador EQUALS para ver los resultados de Security Hub, debe escribir Security Hub como valor de filtro. Si escribe security hub, no se mostrarán hallazgos.

    Del mismo modo, si utiliza el operador PREFIX y escribe Sec, se mostrarán los resultados de Security Hub. Si ingresa sec, no se muestran resultados de Security Hub.

  6. Seleccione Apply.

Agrupación de hallazgos

Además de cambiar los filtros, puede agrupar los resultados en función de los valores de un atributo seleccionado.

Al agrupar los resultados, la lista de resultados se reemplaza por una lista de valores para el atributo seleccionado en los resultados coincidentes. Para cada valor de campo, la lista muestra el número de resultados que coinciden con los otros criterios de filtrado.

Por ejemplo, si agrupa los resultados por Cuenta de AWS identificador, verá una lista de identificadores de cuenta con el número de resultados coincidentes de cada cuenta.

Tenga en cuenta que Security Hub solo puede mostrar 100 valores. Si hay más de 100 valores de agrupamiento, solo verá los primeros 100.

Al elegir un valor de campo, se muestra la lista de resultados coincidentes para ese valor de campo.

Para agrupar los hallazgos en una lista de hallazgos

  1. En la lista de resultados, seleccione la casilla Añadir filtros.

  2. Para Agrupar, selecciona Agrupar por.

  3. En la lista, elija el atributo que desea utilizar para la agrupación.

  4. Seleccione Apply.

Cambio de un valor de filtro o de un atributo de agrupación

Puede cambiar el valor del filtro de un filtro existente. También puede cambiar el atributo de agrupación.

Por ejemplo, puede cambiar el filtro Record state (Estado de registro) para buscar los hallazgos ARCHIVED en lugar de los hallazgos ACTIVE.

Cómo editar un filtro o atributo de agrupación

  1. En una lista de resultados filtrada, elija el atributo de filtro o agrupación.

  2. En Agrupar por, elija el nuevo atributo y, a continuación, elija Aplicar.

  3. Para un filtro, elija el nuevo valor y, a continuación, Aplicar.

Eliminación de un filtro o atributo de agrupación

Para eliminar un filtro o atributo de agrupación, elija el icono x.

La lista se actualiza automáticamente para reflejar el cambio. Al quitar el atributo de agrupación, la lista cambia de la lista de valores de campo a una lista de resultados.

Información de búsqueda disponible

Puede obtener una variedad de detalles de los hallazgos en la consola de Security Hub o llamando al GetFindingsfuncionamiento de la API de Security Hub. Esta es una lista parcial de los tipos de detalles de búsqueda que puede obtener.

  • Metadatos de la aplicación: proporcionan el nombre y el nombre del recurso de Amazon (ARN) de la aplicación implicada en la búsqueda si ha creado una aplicación y le ha añadido la etiqueta de la AWS aplicación. Se recomienda crear aplicaciones en. AWS Service Catalog AppRegistry

  • Historial de búsquedas: proporciona el historial del hallazgo en los últimos 90 días.

  • Búsqueda de investigaciones en Detective (solo para consolas): proporciona un enlace para investigar más a fondo un hallazgo en Detective mediante el uso de herramientas automatizadas de recopilación de registros, análisis de seguridad y exploración de Servicio de AWS recursos. Esta información solo se incluye para los hallazgos de Security Hub recibidos de otros usuarios Servicios de AWS si habilitas Detective.

  • Campos de búsqueda de proveedores: muestran los valores de confianza, criticidad, hallazgos relacionados, gravedad y tipo de búsqueda proporcionados por el proveedor de búsqueda.

  • Parámetros: muestra los valores de los parámetros actuales de un control de seguridad. Security Hub utiliza estos valores de parámetros al hacer comprobaciones de seguridad del control.

  • Remediación: proporciona un enlace a las instrucciones para corregir los errores detectados en el control.

  • Recurso: proporciona información sobre el AWS recurso implicado en un hallazgo.

  • Etiquetas de recursos: proporcionan información sobre la clave y el valor de las etiquetas de los recursos involucrados en un hallazgo. Puede etiquetar los recursos compatibles con el GetResources funcionamiento de la API de AWS Resource Groups etiquetado. Security Hub llama a esta operación a través del rol vinculado al servicio y recupera las etiquetas de recursos si el Resource.Id campo AWS Security Finding Format (ASFF) se rellena con el ARN del recurso. AWS Los identificadores de recursos no válidos se omiten. Para obtener más información sobre la inclusión de etiquetas de recursos en las conclusiones, consulteEtiquetas.

  • Tipos y hallazgos relacionados: contiene información sobre el tipo de hallazgo.

  • Detalles de la vulnerabilidad: información sobre una vulnerabilidad detectada en un hallazgo y en los paquetes afectados. Estos detalles están disponibles si habilitas Amazon Inspector para los hallazgos que Amazon Inspector envía a Security Hub.

Consulte las siguientes secciones para saber cómo acceder a estos detalles para obtener una conclusión.

Revisar el historial de búsquedas

El historial de resultados es una característica de Security Hub que le permite realizar un seguimiento de los cambios realizados en un resultado durante los últimos 90 días. Está disponible para los resultados activos y archivados. El historial de resultados proporciona un Registro inmutable de los cambios realizados en un resultado a lo largo del tiempo, incluido el cambio, cuándo se produjo y por qué usuario.

En concreto, puede realizar un seguimiento de los cambios realizados en los campos en AWS Formato de búsqueda de seguridad (ASFF). Security Hub rastrea los cambios que realiza manualmente y con reglas de automatización.

El historial de búsquedas está disponible en la consola, la API y la API de Security Hub AWS CLI.

Si ha iniciado sesión en una cuenta de administrador de Security Hub, puede obtener el historial de resultados de la cuenta de administrador y de todas las cuentas de los miembros.

Elija el método que prefiera y siga los pasos para revisar el historial de búsquedas.

Security Hub console
Revisar el historial de búsquedas

  1. Abre la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación izquierdo, elija Resultados.

  3. Seleccione un resultado. En el panel que aparece, seleccione la pestaña Historial.

Security Hub API
Revisando el historial de búsquedas

  1. Ejecute o GetFindings, si está usando el AWS CLI, ejecute el get-findingscomando. utilice los filtros adecuados, según sea necesario, para identificar el hallazgo del que desea consultar el historial. La respuesta de la API le proporcionará ProductArn y Id para el resultado. En el tercer paso, necesitará los valores de estos campos.

  2. Ejecute o GetFindingHistory, si está utilizando el AWS CLI, ejecute el get-finding-historycomando.

  3. Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener más información acerca de estos campos, consulte AwsSecurityFindingIdentifier. Solo puede obtener el historial de un resultado por solicitud.

  4. Proporcione valores paraStartTime. y EndTime para limitar el historial de búsquedas a un período de tiempo específico.

  5. Proporcione un valor MaxResults para limitar el historial de resultados a un número específico de resultados. Si no se proporciona, la respuesta de la API devuelve los primeros 100 resultados del historial de resultados.

  6. Indique un valor para NextToken para ver los siguientes 100 resultados (si corresponde) de un resultado. En su solicitud de API inicial, el valor NextToken debe ser NULL.

El siguiente comando CLI recupera el historial del hallazgo especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"

Revisando los detalles de la búsqueda

Elige el método que prefieras y sigue los pasos para ver los detalles de búsqueda en Security Hub.

Security Hub console
Revisando los detalles de búsqueda

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de búsquedas, lleve a cabo una de las siguientes acciones:

    • En el panel de navegación de Security Hub, elija Resultados. Añada los filtros de búsqueda necesarios para reducir la lista de búsquedas.

    • En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.

    • En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.

  3. Seleccione un título de resultados.

  4. Desde el panel de detalles de búsqueda, puede realizar las siguientes acciones adicionales:

    • Para mostrar el JSON completo del resultado, elija el ID del resultado. Desde Finding JSON, descarga el JSON de búsqueda.

    • Para ver los resultados que se basan en AWS Config reglas, para mostrar una lista de las reglas aplicables, selecciona Reglas.

    • Elige Investiga con Macie para investigar los datos confidenciales descubiertos en el hallazgo de la consola de Macie. Esta opción solo está disponible si habilita Amazon Macie y su función de descubrimiento automático de datos confidenciales.

    • Elija Recursos para ver información sobre el recurso implicado en un hallazgo.

    • Elige Investigate in Amazon Detective para investigar el hallazgo en la consola de Detectives. Esta opción solo está disponible si activas Amazon Detective.

    • Seleccione la pestaña Historial para ver el historial de búsquedas de hasta 90 días.

nota

La parte superior del panel de detalles de resultados contiene información general sobre los resultados, incluidos el origen, la gravedad, las fechas y el estado. Si te integras con una cuenta de miembro de la organización AWS Organizations y la cuenta en la que has iniciado sesión es una cuenta de miembro, el panel de detalles incluirá el nombre de la cuenta. En el caso de las cuentas de miembros que se invitan manualmente y no mediante la integración de Organizations, el panel de detalles solo incluye el ID de la cuenta.

Security Hub API

Revisar los detalles de la búsqueda

Utilice el GetFindingsfuncionamiento de la API de Security Hub o, si utiliza la AWS CLI, ejecute el comando get-findings.

Puede proporcionar uno o más valores para el Filters parámetro a fin de limitar los resultados que desea recuperar.

Si el volumen de resultados es demasiado grande, puede usar el MaxResults parámetro para limitar los hallazgos a un número específico y el NextToken parámetro para paginar los hallazgos. Utilice el SortCriteria parámetro para ordenar los resultados por un campo específico.

Si ha activado la agregación entre regiones e invoca esta operación desde la región de agregación, los resultados incluyen las conclusiones de la agregación y de las regiones vinculadas.

El siguiente comando CLI recupera los resultados que coinciden con los filtros proporcionados y los ordena en orden descendente del LastObservedAt campo. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
PowerShell
Revisando los detalles de la búsqueda

  1. Utilice el cmdlet Get-SHUBFinding.

  2. Si lo desea, rellene el parámetro Filter para restringir las conclusiones que quiera recuperar.

Ejemplo

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Al filtrar las conclusiones por CompanyName oProductName, Security Hub utiliza los valores que forman parte del objeto ProductFields ASFF. Security Hub no usa el nivel superior CompanyName y ProductName los campos.