Revisión de los detalles de resultados y el historial de resultados en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisión de los detalles de resultados y el historial de resultados en Security Hub

En AWS Security Hub, un hallazgo es un registro observable de un control de seguridad o una detección relacionada con la seguridad. Security Hub genera un hallazgo cuando completa una comprobación de seguridad de un control y cuando ingiere un hallazgo de un producto integrado Servicio de AWS o de terceros. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.

Puede revisar el historial de búsquedas y otros detalles de búsqueda en la consola de Security Hub y mediante programación a través del Security Hub API y. AWS CLI

Para ayudarlo a optimizar su análisis, la consola de Security Hub abre un panel de resultados cuando selecciona un resultado específico. El panel incluye diferentes menús y pestañas para visualizar diferentes detalles de resultados.

Menús de acciones

Desde este menú, puede revisar la totalidad JSON de un hallazgo o añadir notas. Un resultado no puede tener más de una nota adjunta a la vez. Este menú también ofrece opciones para configurar el estado del flujo de trabajo de una búsqueda o enviar una búsqueda a una acción personalizada en Amazon EventBridge.

Menú de investigación

Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades, como direcciones IP y AWS usuarios, de un hallazgo y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.

Pestaña Overview (Información general)

Esta pestaña proporciona un resumen del resultado. Por ejemplo, puede ver cuándo se creó y actualizó por última vez el hallazgo, en qué cuenta se encuentra y el origen del hallazgo. Para ver los resultados de control, también puedes ver el nombre de la AWS Config regla asociada y un enlace a las instrucciones de corrección en la documentación de Security Hub.

En la instantánea de los Recursos de la pestaña Descripción general, puede obtener una breve descripción de los recursos que intervienen en un resultado. En el caso de algunos recursos, incluimos la opción de abrir un recurso y ver directamente el recurso afectado en la Servicio de AWS consola correspondiente. La instantánea del Historial muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. La fecha debe estar dentro de los últimos 90 días. Por ejemplo, si hizo un cambio ayer y otro hoy, la instantánea mostrará solo el cambio de hoy. Para ver las entradas anteriores, cambie a la pestaña Historial.

La fila Conformidad se expande para mostrar más detalles. Por ejemplo, en el caso de los controles que incluyen parámetros, puede ver los valores de los parámetros actuales que utiliza Security Hub cuando lleva a cabo controles de seguridad.

Pestaña recursos

En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si has iniciado sesión en la cuenta propietaria de un recurso, puedes ver el recurso en la Servicio de AWS consola correspondiente. Si no eres el propietario de un recurso, la consola muestra el Cuenta de AWS ID del propietario.

La fila Detalles muestra los detalles específicos del recurso sobre el hallazgo al mostrar el ResourceDetailssección del hallazgo. JSON

La fila Etiquetas muestra la información clave y el valor de las etiquetas de los recursos involucrados en un resultado. Recursos respaldados por la GetResources el funcionamiento del AWS Resource Groups etiquetado se API puede etiquetar. Security Hub llama a esta operación a través del rol vinculado al servicio cuando procesa hallazgos nuevos o actualizados y recupera las etiquetas de recursos si el Resource.Id campo AWS Security Finding Format (ASFF) se rellena con el recurso. AWS ARN Security Hub ignora el recurso IDs no válido. Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte Tags.

Pestaña de historial de resultados

Esta pestaña hace un seguimiento del historial de un resultado en los últimos 90 días. El historial de resultados está disponible para los resultados activos y archivados. Proporciona un registro inmutable de los cambios realizados en un hallazgo a lo largo del tiempo, incluido el campo del formato de búsqueda de AWS seguridad (ASFF) que ha cambiado, cuándo se ha producido el cambio y qué usuario lo ha hecho. Los cambios más recientes se muestran primero. Si inició sesión en una cuenta de administrador de Security Hub, el historial de resultados que se muestra pertenece a la cuenta de administrador y a todas las cuentas de los miembros.

El historial de resultados incluye los cambios que un usuario realizó de forma manual o automática a través de las reglas de automatización de Security Hub. Sin embargo, el historial de resultados no incluye los cambios en los campos de fecha y hora de nivel superior, como CreatedAt y UpdatedAt.

Pestaña de amenazas

Esta pestaña incluye datos del Action, Malware, y ProcessDetailsobjetos delASFF, incluido el tipo de amenaza y si un recurso es el objetivo o el actor. Este objeto normalmente se aplica a las búsquedas que se originan en Amazon GuardDuty.

Pestaña de vulnerabilidades

En esta pestaña se muestran los datos del Vulnerabilityobjeto delASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un hallazgo. Este objeto normalmente se aplica a los resultados que se originan en Amazon Inspector.

Las filas de cada pestaña incluyen una opción de copia o filtro. Por ejemplo, si está en el panel de un resultado cuyo estado de flujo de trabajo es Notificado, puede elegir la opción de filtro situada junto a la fila de Estado del flujo de trabajo. Si selecciona Mostrar todos los resultados con este valor, se filtra la lista de búsquedas para que solo muestre los resultados con el mismo estado del flujo de trabajo.

Consulte la siguiente sección para saber cómo acceder a estos detalles para obtener un resultado.

Instrucciones para revisar los detalles y el historial de los resultados

Elija el método que prefiera y siga estos pasos para visualizar los detalles de los resultados en Security Hub.

Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte Descripción de agregación entre regiones en Security Hub.

Security Hub console
Revisión de los detalles y el historial de resultados (consola)
  1. Abre la AWS Security Hub consola en. https://console.aws.amazon.com/securityhub/

  2. Para mostrar una lista de resultados, lleve a cabo una de las siguientes acciones:

    • En el panel de navegación de Security Hub, elija Resultados. Agregue los filtros de búsqueda necesarios para reducir la lista de resultados.

    • En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.

    • En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.

    • En el panel de navegación de Security Hub, seleccione Controles.

  3. Seleccione un título de resultados.

  4. En el panel de resultados, realice una de las siguientes acciones:

    • Seleccione el menú Acciones para realizar una acción en relación con el resultado.

    • Seleccione el menú Investigar para investigar el resultado en Amazon Detective.

    • Seleccione una pestaña para ver más detalles sobre el resultado.

nota

Si te integras con una cuenta de miembro de la organización AWS Organizations y la cuenta en la que has iniciado sesión es una cuenta de miembro, el panel de búsqueda incluirá el nombre de la cuenta. En el caso de las cuentas de miembros que se invitan manualmente y no mediante Organizations, el panel de resultados solo incluye el ID de la cuenta.

Security Hub API

Revisar los detalles y el historial de búsquedas (API)

Utilizar GetFindingsfuncionamiento del Security Hub oAPI, si está utilizando el AWS CLI, ejecute el get-findingscomando

Puede proporcionar uno o varios valores para el parámetro Filters para restringir los resultados que quiera recuperar.

Si el volumen de resultados es demasiado grande, puede utilizar el parámetro MaxResults para limitar los resultados a un número específico y el parámetro NextToken para paginar los resultados. Use el parámetro SortCriteria para ordenar los resultados por un campo específico.

Si activó la agregación entre regiones e invoca esta operación desde la región de agregación, los resultados incluyen los resultados de la agregación y de las regiones vinculadas.

El siguiente CLI comando recupera los resultados que coinciden con los filtros proporcionados y los ordena en orden descendente del LastObservedAt campo. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar el historial de búsquedas, utilice la GetFindingHistoryoperación. Si está utilizando el AWS CLI, ejecute el get-finding-historycomando

Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener más información sobre estos campos, consulte AwsSecurityFindingIdentifier. Solo puedes obtener el historial de un hallazgo por solicitud.

El siguiente CLI comando recupera el historial del hallazgo especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

Revisando los detalles de la búsqueda () PowerShell

Utilice el cmdlet Get-SHUBFinding.

Si lo desea, rellene el parámetro Filter para restringir las conclusiones que quiera recuperar.

El siguiente cmdlet recupera los resultados que coinciden con los filtros proporcionados

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Al filtrar las conclusiones por CompanyName oProductName, Security Hub utiliza los valores que forman parte del ProductFields ASFF objeto. Security Hub no utiliza el nivel superior ni los campos CompanyName y ProductName.