Publicado en: Apr 16, 2020
AWS Security Hub lanzó una nueva acción de la API llamada BatchUpdateFindings. Además, planeamos dar de baja a la API actual UpdateFindings. La API UpdateFindings solo admitía algunos campos del formato de AWS Security Finding (ASFF) y no estaba integrada con los eventos de CloudWatch. La API BatchUpdateFindings soluciona esos problemas y es compatible con un conjunto mucho más grande de campos que ahora se pueden actualizar, como la gravedad, la criticidad, la confianza, los campos definidos por el usuario, las notas y el estado del flujo de trabajo. Además, los campos que BatchUpdateFindings puede actualizar no se pueden actualizar mediante los proveedores de hallazgos. Esos campos solo se pueden actualizar por el cliente o mediante herramientas de administración de eventos e información de seguridad (SIEM), de orquestación, automatización y respuestas de seguridad (SOAR) y de seguimiento de incidentes que cuenten con acceso a esta acción de la API. Esto evita que los proveedores de hallazgos sobrescriban las actualizaciones. Puede utilizar la API BatchUpdateFindings para concluir acciones como la creación de reglas propias de supresión, la modificación de puntuaciones de gravedad y la incorporación de notas a los hallazgos. Para obtener más información acerca de esta API, consulte nuestra documentación.
También se agregó un nuevo campo de estado de flujo de trabajo al formato de AWS Security Finding (ASFF) y a la consola. Antes, los clientes utilizaban el campo de estado del registro para hacer un seguimiento de los hallazgos a archivar. El objeto de estado del registro se conserva, pero ahora solo los proveedores de hallazgos actualizan este campo. Los clientes (o las herramientas de SIEM, seguimiento de incidentes y SOAR que actúan en su nombre) ahora utilizan el estado del flujo de trabajo para indicar si el estado del hallazgo es NUEVO, NOTIFICADO, SUPRIMIDO O RESUELTO. La segregación de estos campos elimina los conflictos entre las actualizaciones de los proveedores de hallazgos y las actualizaciones de los clientes. Por ejemplo, si un cliente actualiza el estado del registro y, a continuación, el proveedor de hallazgos sobrescribe la actualización. También se actualizaron las definiciones de la información predeterminada, las visualizaciones de hallazgos y los paneles para determinar el estado de la carga de trabajo. No se muestran los hallazgos SUPRIMIDOS en estas vistas predeterminadas. La nueva API BatchUpdateFindings se puede utilizar para crear reglas de supresión automática. Tenga en cuenta que el campo de estado de carga de trabajo es diferente del campo anterior de situación de carga de trabajo. Vamos a dar de bajo al campo de situación de carga de trabajo a favor de este nuevo campo. Para obtener más información acerca del estado de carga de trabajo, consulte nuestra documentación.
Con disponibilidad en todo el mundo, AWS Security Hub permite ver de manera integral las alertas de seguridad de alta prioridad y el estado de seguridad en todas las cuentas de AWS. Con Security Hub, ahora dispone de un único lugar donde se suman, organizan y priorizan las alertas de seguridad, o los hallazgos, a partir de múltiples servicios de AWS, como por ejemplo, Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS Firewall Manager y el análisis de acceso de IAM de AWS, así como a partir de las soluciones de más de 40 socios de AWS. También puede monitorear continuamente el entorno mediante comprobaciones de seguridad automatizadas basadas en los estándares, como CIS AWS Foundations Benchmark y el estándar de seguridad del sector de tarjetas de pago. También puede tomar medidas en respuesta a los hallazgos mediante la investigación de los hallazgos en Amazon Detective y mediante las reglas de eventos de Amazon CloudWatch para enviar los hallazgos a las herramientas de seguimiento de incidentes, a los chat, a las plataformas de administración de eventos e información de seguridad (SIEM), a los sistemas de orquestación, automatización y respuestas de seguridad (SOAR), y a las herramientas de administración de incidentes o a los manuales de corrección personalizados.
Puede habilitar una prueba gratuita de 30 días de AWS Security Hub con un solo clic en la consola de administración de AWS. Consulte la página de regiones de AWS para conocer todas las regiones en las que AWS Security Hub se encuentra disponible. Para obtener más información acerca de las capacidades de AWS Security Hub, consulte la documentación de AWS Security Hub. Para iniciar la prueba gratuita de 30 días, vaya a la página de la prueba gratuita de AWS Security Hub.