Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Revisión de los detalles de resultados y el historial de resultados en Security Hub
En AWS Security Hub, un hallazgo es un registro observable de un control de seguridad o una detección relacionada con la seguridad. Security Hub genera un hallazgo cuando completa una comprobación de seguridad de un control y cuando ingiere un hallazgo de un producto integrado Servicio de AWS o de terceros. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.
Puede revisar el historial de búsquedas y otros detalles de búsqueda en la consola de Security Hub y mediante programación a través del Security Hub API y. AWS CLI
Para ayudarlo a optimizar su análisis, la consola de Security Hub abre un panel de resultados cuando selecciona un resultado específico. El panel incluye diferentes menús y pestañas para visualizar diferentes detalles de resultados.
- Menús de acciones
Desde este menú, puede revisar la totalidad JSON de un hallazgo o añadir notas. Un resultado no puede tener más de una nota adjunta a la vez. Este menú también ofrece opciones para configurar el estado del flujo de trabajo de una búsqueda o enviar una búsqueda a una acción personalizada en Amazon EventBridge.
- Menú de investigación
Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades, como direcciones IP y AWS usuarios, de un hallazgo y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.
- Pestaña Overview (Información general)
Esta pestaña proporciona un resumen del resultado. Por ejemplo, puede ver cuándo se creó y actualizó por última vez el hallazgo, en qué cuenta se encuentra y el origen del hallazgo. Para ver los resultados de control, también puedes ver el nombre de la AWS Config regla asociada y un enlace a las instrucciones de corrección en la documentación de Security Hub.
En la instantánea de los Recursos de la pestaña Descripción general, puede obtener una breve descripción de los recursos que intervienen en un resultado. En el caso de algunos recursos, incluimos la opción de abrir un recurso y ver directamente el recurso afectado en la Servicio de AWS consola correspondiente. La instantánea del Historial muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. La fecha debe estar dentro de los últimos 90 días. Por ejemplo, si hizo un cambio ayer y otro hoy, la instantánea mostrará solo el cambio de hoy. Para ver las entradas anteriores, cambie a la pestaña Historial.
La fila Conformidad se expande para mostrar más detalles. Por ejemplo, en el caso de los controles que incluyen parámetros, puede ver los valores de los parámetros actuales que utiliza Security Hub cuando lleva a cabo controles de seguridad.
- Pestaña recursos
En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si has iniciado sesión en la cuenta propietaria de un recurso, puedes ver el recurso en la Servicio de AWS consola correspondiente. Si no eres el propietario de un recurso, la consola muestra el Cuenta de AWS ID del propietario.
La fila Detalles muestra los detalles específicos del recurso sobre el hallazgo al mostrar el ResourceDetailssección del hallazgo. JSON
La fila Etiquetas muestra la información clave y el valor de las etiquetas de los recursos involucrados en un resultado. Recursos respaldados por la GetResources el funcionamiento del AWS Resource Groups etiquetado se API puede etiquetar. Security Hub llama a esta operación a través del rol vinculado al servicio cuando procesa hallazgos nuevos o actualizados y recupera las etiquetas de recursos si el
Resource.Id
campo AWS Security Finding Format (ASFF) se rellena con el recurso. AWS ARN Security Hub ignora el recurso IDs no válido. Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte Tags.- Pestaña de historial de resultados
Esta pestaña hace un seguimiento del historial de un resultado en los últimos 90 días. El historial de resultados está disponible para los resultados activos y archivados. Proporciona un registro inmutable de los cambios realizados en un hallazgo a lo largo del tiempo, incluido el campo del formato de búsqueda de AWS seguridad (ASFF) que ha cambiado, cuándo se ha producido el cambio y qué usuario lo ha hecho. Los cambios más recientes se muestran primero. Si inició sesión en una cuenta de administrador de Security Hub, el historial de resultados que se muestra pertenece a la cuenta de administrador y a todas las cuentas de los miembros.
El historial de resultados incluye los cambios que un usuario realizó de forma manual o automática a través de las reglas de automatización de Security Hub. Sin embargo, el historial de resultados no incluye los cambios en los campos de fecha y hora de nivel superior, como
CreatedAt
yUpdatedAt
.- Pestaña de amenazas
Esta pestaña incluye datos del Action, Malware, y ProcessDetailsobjetos delASFF, incluido el tipo de amenaza y si un recurso es el objetivo o el actor. Este objeto normalmente se aplica a las búsquedas que se originan en Amazon GuardDuty.
- Pestaña de vulnerabilidades
En esta pestaña se muestran los datos del Vulnerabilityobjeto delASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un hallazgo. Este objeto normalmente se aplica a los resultados que se originan en Amazon Inspector.
Las filas de cada pestaña incluyen una opción de copia o filtro. Por ejemplo, si está en el panel de un resultado cuyo estado de flujo de trabajo es Notificado, puede elegir la opción de filtro situada junto a la fila de Estado del flujo de trabajo. Si selecciona Mostrar todos los resultados con este valor, se filtra la lista de búsquedas para que solo muestre los resultados con el mismo estado del flujo de trabajo.
Consulte la siguiente sección para saber cómo acceder a estos detalles para obtener un resultado.
Instrucciones para revisar los detalles y el historial de los resultados
Elija el método que prefiera y siga estos pasos para visualizar los detalles de los resultados en Security Hub.
Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte Descripción de agregación entre regiones en Security Hub.
nota
Al filtrar las conclusiones por CompanyName
oProductName
, Security Hub utiliza los valores que forman parte del ProductFields
ASFF objeto. Security Hub no utiliza el nivel superior ni los campos CompanyName
y ProductName
.