Creación y actualización de los hallazgos en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación y actualización de los hallazgos en Security Hub

En AWS Security Hub, un hallazgo es un registro observable de un control de seguridad o una detección relacionada con la seguridad.

Un hallazgo puede provenir de una de las siguientes fuentes de Security Hub:

  • Comprobación de seguridad de un control activado en Security Hub

  • Una integración habilitada con otro servicio de AWS

  • Una integración habilitada con un producto de terceros

  • Una integración personalizada

Una vez creada una búsqueda, el proveedor de la búsqueda o un usuario de Security Hub pueden actualizarla de la siguiente manera:

  • El proveedor de búsqueda puede usar el BatchImportFindingsfuncionamiento del Security Hub API para actualizar la información general sobre un hallazgo. Los proveedores de hallazgos solo pueden actualizar los hallazgos que hayan creado.

  • El cliente puede utilizar el BatchUpdateFindingsfuncionamiento del Security Hub API para actualizar el estado de la investigación sobre un hallazgo. BatchUpdateFindingstambién se puede utilizar como herramienta de venta de entradas, gestión de incidentes, organización, remediación o SIEM herramienta en nombre del cliente.

    Los clientes también pueden actualizar los resultados en la consola de Security Hub.

Security Hub normaliza los hallazgos de todas las fuentes en una sintaxis y un formato estándar denominados AWS Formato de búsqueda de seguridad (ASFF). Para obtener más información sobreASFF, consulteAWS Formato de búsqueda de seguridad (ASFF).

Security Hub elimina automáticamente los hallazgos que no se hayan actualizado en los últimos 90 días. En concreto, Security Hub conserva un hallazgo existente en una cuenta durante 90 días después del valor más reciente del UpdatedAt ASFF campo. El hallazgo se conserva durante 90 días a partir de esta fecha, incluso si Security Hub está deshabilitado. Al final de este período de 90 días, Security Hub elimina permanentemente el hallazgo de la cuenta. Al buscar proveedores, se puede cambiar el valor del UpdatedAt campo mediante la BatchImportFindingsfuncionamiento del Security Hub API para actualizar un hallazgo.

Si habilita la agregación entre regiones, Security Hub agrega automáticamente los hallazgos nuevos y actualizados de las regiones vinculadas a la región de agregación. Para obtener más información, consulte Descripción de la agregación entre regiones en Security Hub.