Documentacion
Cloud
AWS
Security Hub

Security Hub

AWS Security Hub es un servicio de seguridad en la nube proporcionado por Amazon Web Services (AWS). Su función principal es centralizar y gestionar las alertas de seguridad (también conocidas como findings) y los incidentes en todas tus cuentas y servicios de AWS. Básicamente, permite tener una visión unificada de la postura de seguridad de tu infraestructura en la nube.

Recoge los hallazgos generados por otros servicios de seguridad de AWS (como AWS GuardDuty, Amazon Inspector, AWS Config, etc.) y herramientas de terceros para ofrecer un único lugar donde se pueden ver todos los eventos y problemas de seguridad.

Se integra con otros servicios de AWS, como CloudTrail (para auditoría), GuardDuty (para detección de amenazas) y Inspector (para evaluación de vulnerabilidades), lo que te permite tener una visión global de la seguridad de tu entorno. También puedes integrar soluciones de seguridad externas o de otros proveedores a través de sus API.

Para funcionar primero se requiere de habilitar el servicio AWS Config.

Características

Cross-Region Aggregation

AWS Security Hub te permite agregar los hallazgos (findings), informes (insights) y puntajes de seguridad (security scores) de múltiples regiones de AWS y centralizarlos en una única región de agregación.

Si tienes infraestructura en varias regiones de AWS, esta característica te permite consolidar todos los datos de seguridad en un solo lugar, lo que facilita la gestión y monitoreo de la seguridad en toda tu infraestructura, sin tener que revisar cada región por separado.

AWS Organizations Integration

AWS Security Hub se integra con AWS Organizations, que es un servicio que permite gestionar múltiples cuentas de AWS desde un solo lugar.

Puedes gestionar la seguridad de todas las cuentas dentro de tu organización de AWS desde un único panel, lo que simplifica la administración de seguridad en entornos con múltiples cuentas.

  • Administrar todas las cuentas de la organización
  • Security Hub detecta automáticamente las nuevas cuentas
  • Por defecto, la cuenta de administración de la organización es la del administrador de Security Hub
  • Posibilidad de tener un administrador de Security Hub designado

AWS Config

AWS Config debe estar habilitado para que AWS Security Hub realice las verificaciones de seguridad. Es un servicio que permite rastrear las configuraciones de tus recursos de AWS y verificar si cumplen con las mejores prácticas de seguridad. Security Hub depende de AWS Config para realizar la evaluación continua de la seguridad.

Security Standards

Los Security Standards en AWS Security Hub son un conjunto de normas o mejores prácticas de seguridad que AWS Security Hub utiliza para evaluar y analizar la postura de seguridad de tu infraestructura en la nube. Estas normas definen las recomendaciones y requisitos para garantizar que tu entorno de AWS esté configurado de manera segura y cumpla con los estándares de seguridad aceptados en la industria.

AWS Security Hub ofrece varios estándares preconfigurados que pueden ser aplicados a tu infraestructura. Algunos de los más importantes son:

  • CIS AWS Foundations Benchmark
  • PCI DSS (Payment Card Industry Data Security Standard)
  • AWS Foundational Security Best Practices
  • AWS Well-Architected Framework - Security Pillar

Integración

GuardDuty

  • Cuando habilitas AWS Security Hub, GuardDuty se activa automáticamente como parte de la integración. Esto significa que, en el momento en que configures Security Hub, GuardDuty empezará a enviar hallazgos (findings) relacionados con amenazas de seguridad.
  • Los hallazgos enviados desde GuardDuty a Security Hub se entregan en un formato estándar conocido como AWS Security Finding Format (ASFF).
  • Los hallazgos de GuardDuty generalmente se envían a Security Hub en un plazo de cinco minutos después de que se detecta una amenaza o comportamiento sospechoso.
  • Si decides archivar un hallazgo en GuardDuty (lo que significa que estás marcando un hallazgo como “no relevante” o que no requiere acción inmediata), esto no actualizará ni eliminará el hallazgo en Security Hub.

Servicios

Security Hub se puede integrar con diferentes servicios como se muestra en la siguiente imagen.

Third Party

AWS Security Hub puede integrarse con productos de terceros, es decir, con herramientas de seguridad o soluciones que no son de AWS pero que deseas usar junto con AWS Security Hub para gestionar la seguridad de tu infraestructura en la nube.

  • Las herramientas de terceros pueden enviar hallazgos (findings) a AWS Security Hub
  • Las herramientas de terceros también pueden recibir hallazgos desde Security Hub
  • Las herramientas de terceros tienen la capacidad de actualizar los hallazgos dentro de Security Hub

Findings

AWS Security Hub consume (es decir, recibe y procesa) los hallazgos en un formato estandarizado llamado AWS Security Finding Format (ASFF). El ASFF es un esquema común para describir hallazgos de seguridad en AWS, utilizado por diferentes servicios de AWS (como GuardDuty, Inspector, Config, etc.) y productos de terceros.

Si un hallazgo en Security Hub se resuelve o cambia de estado (por ejemplo, si la amenaza ha sido mitigada o la configuración ha sido corregida), Security Hub actualizará automáticamente ese hallazgo para reflejar el nuevo estado. Además, si un hallazgo ya no es válido o no se necesita, Security Hub lo eliminará automáticamente para mantener la consola limpia y actualizada.

  • Los hallazgos que tienen más de 90 días de antigüedad se eliminarán automáticamente de Security Hub

Security Hub permite filtrar los hallazgos según diferentes criterios, como:

  • Región: Puedes filtrar los hallazgos según la región de AWS en la que se ha detectado la amenaza
  • Integración: Puedes filtrar los hallazgos según el origen del hallazgo
  • Security Standard: Puedes filtrar los hallazgos en función de los estándares de seguridad
  • Insights: Puedes filtrar los hallazgos por los Insights generados en Security Hub

Insights

Insights en AWS Security Hub son una herramienta que te ayuda a identificar patrones o áreas de seguridad dentro de tu infraestructura, basándote en los hallazgos de seguridad detectados por diversos servicios de AWS (como GuardDuty, Inspector, AWS Config, etc.) o incluso por herramientas de seguridad de terceros.

  • Son una forma de agrupar hallazgos relacionados que identifican un área de seguridad que necesita atención y corrección
  • Built-In Managed Insights son proporcionados por AWS y solo se activan si tienes habilitada una integración o un estándar de seguridad relacionado
  • Custom Insights te permiten crear agrupaciones específicas para hacer seguimiento de problemas que son relevantes para tu infraestructura

Puedes agrupar hallazgos según criterios específicos usando una declaración Group By y filtros opcionales, lo que te permite tener visibilidad específica y detallada de áreas clave de seguridad.

Estos Insights permiten una gestión más eficiente de los problemas de seguridad, ayudando a identificar y abordar áreas de preocupación antes de que se conviertan en incidentes mayores.

Custom Actions

Las Custom Actions (Acciones Personalizadas) en AWS Security Hub son una herramienta que permite automatizar respuestas y acciones de remediación frente a hallazgos de seguridad que se detectan en tu infraestructura de AWS. Estas acciones personalizadas están diseñadas para facilitar la gestión de incidentes de seguridad al permitirte ejecutar respuestas de forma automática o manual dentro de la consola de Security Hub.

Automatización con EventBridge
Las Custom Actions pueden ser automatizadas utilizando Amazon EventBridge, que es un servicio de eventos. EventBridge permite que puedas configurar flujos de trabajo automáticos para responder a ciertos hallazgos de seguridad.

EventBridge tiene un tipo de evento específico llamado Security Hub Findings - Custom Action, que está diseñado para capturar y manejar los eventos relacionados con acciones personalizadas en Security Hub.

Creación de Acciones para Respuesta y Remediación
Dentro de la consola de Security Hub, puedes crear acciones personalizadas que se pueden ejecutar como parte de la respuesta a un hallazgo de seguridad. Estas acciones pueden ser configuradas para que se ejecuten cuando un hallazgo es marcado o seleccionado.

Arquitecturas

Ejemplos de arquitecturas usando Security Hub Custom Actions.

GuardDuty