Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Descripción de las reglas de automatización en el CSPM de Security Hub
<a name="automation-rules"></a>

Puede usar reglas de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. A medida que se ingieren resultados, el CSPM de Security Hub puede aplicar diversas acciones de regla, como suprimir resultados, modificar su gravedad o agregar notas. Estas acciones de reglas modifican los resultados que coinciden con criterios específicos.

Algunos ejemplos de casos de uso de reglas de automatización son los siguientes:
+ Elevar la gravedad de un resultado a `CRITICAL` si el ID de recurso del resultado se refiere a un recurso crítico para la empresa.
+ Elevar la gravedad de un resultado de `HIGH` a `CRITICAL` si el resultado afecta a recursos en cuentas de producción específicas.
+ Asignar resultados específicos que tengan una gravedad `INFORMATIONAL` un estado de flujo de trabajo `SUPPRESSED`.

Solo puede crear y administrar reglas de automatización desde una cuenta de administrador del CSPM de Security Hub.

Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada desde cero o utilizar una plantilla de regla proporcionada por el CSPM de Security Hub. Además, puede empezar con una plantilla y modificarla según sea necesario.

## Definición de criterios de regla y acciones de regla
<a name="automation-rules-how-it-works"></a>

Desde una cuenta de administrador del CSPM de Security Hub, puede crear una regla de automatización mediante la definición de uno o más *criterios* de regla y una o más *acciones* de regla. Cuando un resultado coincide con los criterios definidos, el CSPM de Security Hub aplica las acciones de la regla al resultado. Para obtener más información sobre los criterios y acciones disponibles, consulte [Criterios de regla y acciones de regla disponibles](#automation-rules-criteria-actions).

El CSPM de Security Hub admite actualmente un máximo de 100 reglas de automatización por cada cuenta de administrador.

La cuenta de administrador del CSPM de Security Hub también puede editar, ver y eliminar reglas de automatización. Una regla se aplica a los resultados que coinciden en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar la cuenta de miembro IDs como criterio de regla, los administradores de CSPM de Security Hub también pueden usar reglas de automatización para actualizar o suprimir los hallazgos en cuentas de miembros específicas.

Una regla de automatización solo se aplica en el lugar Región de AWS en el que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer mediante la consola del CSPM de Security Hub, la API del CSPM de Security Hub o [AWS CloudFormation](creating-resources-with-cloudformation.md). Además, puede utilizar un un [script de implementación multirregión](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).

## Criterios de regla y acciones de regla disponibles
<a name="automation-rules-criteria-actions"></a>

Los siguientes campos del formato de búsqueda de AWS seguridad (ASFF) se admiten actualmente como criterios para las reglas de automatización:


| Criterios de reglas | Operadores de filtro | Tipo de campo | 
| --- | --- | --- | 
| AwsAccountId  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| AwsAccountName  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| CompanyName  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ComplianceAssociatedStandardsId  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ComplianceSecurityControlId  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ComplianceStatus  | Is, Is Not  | Selección: [FAILED, NOT\_AVAILABLE, PASSED, WARNING]  | 
| Confidence  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Número  | 
| CreatedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| Criticality  | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)  | Número  | 
| Description  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| FirstObservedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| GeneratorId  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| Id  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| LastObservedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| NoteText  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| NoteUpdatedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| NoteUpdatedBy  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ProductArn  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ProductName  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| RecordState  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| RelatedFindingsId  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| RelatedFindingsProductArn  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ResourceApplicationArn  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ResourceApplicationName  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ResourceDetailsOther  | CONTAINS, EQUALS, NOT\_CONTAINS, NOT\_EQUALS  | Asignación  | 
| ResourceId  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ResourcePartition  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ResourceRegion  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| ResourceTags  | CONTAINS, EQUALS, NOT\_CONTAINS, NOT\_EQUALS  | Asignación  | 
| ResourceType  | Is, Is Not  | Selección (consulte los [recursos](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) admitidos por ASFF)  | 
| SeverityLabel  | Is, Is Not  | Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]  | 
| SourceUrl  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| Title  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| Type  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| UpdatedAt  | Start, End, DateRange  | Fecha (formateada como 2022-12-01T21:47:39.269Z)  | 
| UserDefinedFields  | CONTAINS, EQUALS, NOT\_CONTAINS, NOT\_EQUALS  | Asignación  | 
| VerificationState  | CONTAINS, EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS  | Cadena  | 
| WorkflowStatus  | Is, Is Not  | Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]  | 

En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en un mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html) en la *Referencia de la API del CSPM de AWS Security Hub*.

Cada criterio admite una cantidad máxima de valores que se pueden utilizar para filtrar los resultados que coinciden. Para conocer los límites de cada criterio, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html) en la *Referencia de la API del CSPM de AWS Security Hub*.

Actualmente se admiten los siguientes campos ASFF como acciones para las reglas de automatización:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Para obtener más información sobre campos ASFF específicos, consulte [Sintaxis del formato de resultado de seguridad de AWS (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).

**sugerencia**  
 Si desea que el CSPM de Security Hub deje de generar resultados para un control específico, recomendamos desactivar el control en lugar de usar una regla de automatización. Cuando desactiva un control, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad correspondientes y deja de generar resultados, por lo que no se generan cargos asociados a ese control. Le recomendamos que utilice reglas de automatización para cambiar los valores de campos ASFF específicos para los resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte [Desactivación de controles en el CSPM de Security Hub](disable-controls-overview.md).

## Resultados que las reglas de automatización evalúan
<a name="automation-rules-findings"></a>

Una regla de automatización evalúa los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) *después* de que cree la regla. El CSPM de Security Hub actualiza los resultados de los controles cada 12 a 24 horas, o cuando el recurso asociado cambia de estado. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

Las reglas de automatización evalúan los resultados originales proporcionados por el proveedor. Los proveedores pueden aportar resultados nuevos y actualizar resultados existentes mediante la operación `BatchImportFindings` de la API del CSPM de Security Hub. Si los siguientes campos no existen en el resultado original, el CSPM de Security Hub completa automáticamente esos campos y utiliza los valores completados en la evaluación realizada por la regla de automatización.
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`

Después de crear una o más reglas de automatización, estas reglas no se desencadenan si actualiza los campos del resultado mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Si crea una regla de automatización y realiza una actualización `BatchUpdateFindings` que afecten al mismo campo de resultado, la última actualización establecerá el valor de ese campo. Vea el siguiente ejemplo:

1. Utilice la operación `BatchUpdateFindings` para cambiar el valor del campo `Workflow.Status` de un resultado de `NEW` a `NOTIFIED`.

1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `NOTIFIED`.

1. Se crea una regla de automatización que cambia el campo `Workflow.Status` del resultado de `NEW` a `SUPPRESSED`. (Recuerde que las reglas ignoran las actualizaciones realizadas mediante la operación `BatchUpdateFindings`).

1. El proveedor del resultado utiliza la operación `BatchImportFindings` para actualizar el resultado y cambia el valor del campo `Workflow.Status` del resultado a `NEW`.

1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `SUPPRESSED`. Esto ocurre porque se aplicó la regla de automatización y esa regla fue la última acción realizada sobre el resultado.

Cuando crea o edita una regla en la consola del CSPM de Security Hub, la consola muestra una vista preliminar de los resultados que coinciden con los criterios de la regla. Mientras que las reglas de automatización evalúan los resultados originales enviados por el proveedor del resultado, la vista preliminar de la consola refleja los resultados en su estado final tal como aparecerían en una respuesta a la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) (es decir, después de aplicar las acciones de la regla u otras actualizaciones al resultado).

## Cómo funciona el orden de las reglas
<a name="rule-order"></a>

Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en el que el CSPM de Security Hub aplica las reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o con el mismo campo del resultado.

Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.

Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. El CSPM de Security Hub aplica las reglas posteriores en orden ascendente.

Al crear una regla a través de la API CSPM de Security Hub o AWS CLI, Security Hub CSPM aplica primero la regla con el valor numérico más bajo. `RuleOrder` Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo valor de `RuleOrder`, el CSPM de Security Hub aplica primero la regla con un valor anterior en el campo `UpdatedAt` (es decir, la regla editada más recientemente se aplica al final).

Puede modificar el orden de las reglas en cualquier momento.

**Ejemplo de orden de reglas**:

**Regla A (el orden de la regla es`1`)**:
+ Criterios de la regla A
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type` es `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState` es `NEW`
  + `Workflow.Status` = `ACTIVE`
+ Acciones de la regla A
  + Actualizar `Confidence` a `95`
  + Actualizar `Severity` a `CRITICAL`

**Regla B (el orden de la regla es`2`)**:
+ Criterios de la regla B
  + `AwsAccountId` = `123456789012`
+ Acciones de la regla B
  + Actualizar `Severity` a `INFORMATIONAL`

Las acciones de la regla A se aplican primero a los resultados del CSPM de Security Hub que coinciden con los criterios de la regla A. Luego, se aplican las acciones de la regla B a los resultados del CSPM de Security Hub que coinciden con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de `Severity` en los resultados del ID de cuenta especificado es `INFORMATIONAL`. Según la acción de la regla A, el valor final de `Confidence` en los resultados coincidentes es `95`.