Visualización de controles de AWS Security Hub en AWS Trusted Advisor - AWS Support
Requisitos previosVer los hallazgos de Security HubActualizar los hallazgos de Security HubDesactivar Security Hub desde Trusted AdvisorSolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de controles de AWS Security Hub en AWS Trusted Advisor

Después de habilitar AWS Security Hub para la Cuenta de AWS, puede ver los controles de seguridad y sus hallazgos en el la consola de Trusted Advisor. Puede emplear los controles de Security Hub para identificar las vulnerabilidades de seguridad de la cuenta, de la misma forma que puede utilizar las verificaciones de Trusted Advisor. Puede ver el estado de la verificación, la lista de recursos afectados y, a continuación, seguir las recomendaciones de Security Hub para solucionar los problemas de seguridad. Puede utilizar esta característica a fin de buscar recomendaciones de seguridad de Trusted Advisor y Security Hub en una ubicación conveniente.

Notas

  • Desde Trusted Advisor, puede ver los controles del estándar de seguridad Prácticas de seguridad básicas recomendadas de AWS, excepto aquellos con Category: Recover > Resilience (Categoría: Recuperar > Resiliencia). Para obtener una lista de los controles admitidos, consulte Controles de las prácticas de seguridad básicas recomendadas de AWS en la Guía del usuario de AWS Security Hub.

    Para obtener más información sobre las categorías de Security Hub, consulte Categorías de control.

  • Actualmente, cuando Security Hub añade nuevos controles al estándar de seguridad de las Prácticas de seguridad básicas recomendadas de AWS, puede haber una demora de dos a cuatro semanas antes de poder verlas en Trusted Advisor. Este plazo es el máximo esfuerzo y no está garantizado.

Requisitos previos

Debe cumplir los siguientes requisitos para habilitar la integración de Security Hub con Trusted Advisor:

  • Para poder utilizar esta característica, debe contar con un plan de soporte Business, Enterprise On-Ramp o Enterprise. Puede encontrar su plan de soporte en AWS Support Center o en la página Planes de soporte. Para obtener más información, consulte Comparar planes de AWS Support.

  • Debe habilitar el registro de recursos en AWS Config para las Regiones de AWS que desea incluir en los controles de Security Hub. Para obtener más información, consulte Habilitación y configuración de AWS Config.

  • Debe habilitar Security Hub y seleccionar el estándar de seguridad Prácticas de seguridad básicas recomendadas de AWS v1.0.0. Si aún no lo ha hecho, consulte Configuración de AWS Security Hub en la Guía del usuario de AWS Security Hub.

nota

Si ya ha completado los requisitos previos, puede ir a Ver los hallazgos de Security Hub.

Acerca de las cuentas de AWS Organizations

Si ya ha completado los requisitos previos de una cuenta de administración, esta integración se habilita automáticamente para todas las cuentas miembro de la organización. Las cuentas miembro individuales no necesitan contactar a AWS Support para habilitar esta característica. Sin embargo, las cuentas miembro de la organización deben habilitar Security Hub si desean ver los hallazgos en Trusted Advisor.

Si desea desactivar esta integración para una cuenta miembro específica, consulte Desactivar esta característica para cuentas de AWS Organizations.

Ver los hallazgos de Security Hub

Una vez habilitado Security Hub para la cuenta, los hallazgos de Security Hub pueden tardar hasta 24 horas en aparecer en la página Security (Seguridad) de la consola de Trusted Advisor.

Para ver los resultados de Security Hub en Trusted Advisor

  1. Vaya a consola de Trusted Advisor y luego elija la categoría Security (Seguridad).

  2. En el campo Search by keyword (Buscar por palabra clave), introduzca el nombre o la descripción del control.

    sugerencia

    En Source (Fuente), puede elegir AWS Security Hub para filtrar los controles de Security Hub.

  3. Elija el nombre del control de Security Hub para ver la siguiente información:

    • Description (Descripción): describe cómo este control verifica si hay vulnerabilidades de seguridad en la cuenta.

    • Source (Fuente): determina si la verificación proviene de AWS Trusted Advisor o AWS Security Hub. Para los controles de Security Hub, puede buscar por ID de control.

    • Alert Criteria (Criterios de alerta): indica el estado del control. Por ejemplo, si Security Hub detecta un problema importante, el estado puede ser Red: Critical or High (Rojo: crítico o alto).

    • Recommended Action (Acción recomendada): utilice el enlace a la documentación de Security Hub para encontrar los pasos recomendados y solucionar el problema.

    • Security Hub resources (Recursos de Security Hub): puede encontrar los recursos de la cuenta en los que Security Hub ha detectado un problema.

Notas

  • Debe utilizar Security Hub para excluir recursos de los hallazgos. En la actualidad, no puede utilizar la consola de Trusted Advisor para excluir elementos de los controles de Security Hub. Para obtener más información, consulte Establecimiento del estado de flujo de trabajo de los hallazgos.

  • La característica de vista organizativa admite esta integración con Security Hub. Puede ver los hallazgos de los controles de Security Hub en toda la organización y, a continuación, crear y descargar informes. Para obtener más información, consulte Vista organizativa para AWS Trusted Advisor.

ejemplo Ejemplo: el control de Security Hub para la clave de acceso de usuario de IAM no debería existir

A continuación se muestra un ejemplo de búsqueda de un control de Security Hub en la consola de Trusted Advisor.

Captura de pantalla de un control de Security Hub para un problema de acceso raíz de IAM.

Actualizar los hallazgos de Security Hub

Una vez habilitado un estándar de seguridad, Security Hub puede tardar hasta dos horas en obtener hallazgos de los recursos. Luego, esos datos pueden tardar hasta 24 horas en aparecer en la consola de Trusted Advisor. Si ha habilitado recientemente el estándar de seguridad Prácticas de seguridad básicas recomendadas de AWS v1.0.0, vuelva a verificar la consola de Trusted Advisor más tarde.

nota

  • La programación de cada control de Security Hub es periódica o se activa por cambios. En la actualidad, no puede utilizar la consola de Trusted Advisor o la API de AWS Support para actualizar los controles de Security Hub. Para obtener más información, consulte Programar la ejecución de verificaciones de seguridad.

  • Debe utilizar Security Hub si desea excluir recursos de los hallazgos. En la actualidad, no puede utilizar la consola de Trusted Advisor para excluir elementos de los controles de Security Hub. Para obtener más información, consulte Establecimiento del estado de flujo de trabajo de los hallazgos.

Desactivar Security Hub desde Trusted Advisor

Siga este procedimiento si no desea que la información de Security Hub aparezca en la consola de Trusted Advisor. Este procedimiento solo desactiva la integración de Security Hub con Trusted Advisor. No afectará las configuraciones establecidas en Security Hub. Puede seguir utilizando la consola de Security Hub para ver los controles de seguridad, los recursos y las recomendaciones.

Para desactivar la integración de Security Hub

  1. Contacte a AWS Support y solicite la desactivación de la integración de Security Hub con Trusted Advisor.

    Después de que AWS Support deshabilita esta característica, Security Hub ya no envía datos a Trusted Advisor. Los datos de Security Hub se eliminarán de Trusted Advisor.

  2. Si desea volver a habilitar esta integración, contacte a AWS Support.

Desactivar esta característica para cuentas de AWS Organizations

Si ya ha completado los requisitos previos para una cuenta de administración, la integración de Security Hub se eliminará automáticamente de todas las cuentas miembro de la organización. Las cuentas miembro individuales de la organización no necesitan contactar a AWS Support por separado.

Si usted es una cuenta miembro de una organización, puede contactar a AWS Support para eliminar esta característica solo de su cuenta.

Solución de problemas

Si tiene problemas con esta integración, consulte la siguiente información para obtener una solución.

No veo los hallazgos de Security Hub en la consola de Trusted Advisor

Asegúrese de haber completado los siguientes pasos:

  • Usted cuenta con un plan Business, Enterprise On-Ramp o Enterprise.

  • Usted ha habilitado el registro de recursos en AWS Config dentro de la misma región que Security Hub.

  • Usted ha habilitado Security Hub y ha seleccionado el estándar de seguridad Prácticas de seguridad básicas recomendadas de AWS v1.0.0.

  • Los nuevos controles de Security Hub se añaden como comprobaciones en Trusted Advisor en un plazo de dos a cuatro semanas. Consulte la nota.

Para obtener más información, consulte Requisitos previos.

He configurado Security Hub y AWS Config correctamente, pero siguen faltando mis hallazgos

Obtener hallazgos de los recursos puede tardar hasta dos horas. Luego, esos datos pueden tardar hasta 24 horas en aparecer en la consola de Trusted Advisor. Vuelva a verificar la consola de Trusted Advisor más tarde.

Notas

  • Solo los hallazgos de los controles sobre las Prácticas de seguridad básicas recomendadas de AWS aparecerán en Trusted Advisor, excepto aquellos con Category: Recover > Resilience (Categoría: Recuperar > Resiliencia).

  • Si hay un problema de servicio con Security Hub o si Security Hub no está disponible, los resultados pueden tardar hasta 24 horas en aparecer en Trusted Advisor. Vuelva a verificar la consola de Trusted Advisor más tarde.

Quiero deshabilitar controles específicos de Security Hub

Security Hub envía los datos a Trusted Advisor automáticamente. Si desactiva un control de Security Hub o ya no tiene recursos para ese control, los hallazgos no aparecerán en Trusted Advisor.

Puede iniciar sesión en la consola de Security Hub y verificar si el control está habilitado o desactivado.

Si deshabilita un control de Security Hub o deshabilita todos los controles del estándar de seguridad Prácticas de seguridad básicas recomendadas de AWS, sus hallazgos se archivan en los próximos cinco días. Este periodo de cinco días para el archivo es aproximado y de mejor esfuerzo solamente, y no está garantizado. Cuando se archivan los resultados, se eliminan de Trusted Advisor.

Para obtener más información, consulte los siguientes temas:

Quiero encontrar los recursos de Security Hub excluidos

Desde la consola de Trusted Advisor, puede elegir el nombre del control de Security Hub y, a continuación, la opción Excluded items (Elementos excluidos). Esta opción muestra todos los recursos que se suprimieron en Security Hub.

Si el estado de flujo de trabajo de un recurso se establece en SUPPRESSED, ese recurso es un elemento excluido en Trusted Advisor. No se pueden suprimir los recursos de Security Hub desde la consola de Trusted Advisor. Para ello, utilice la consola de Security Hub. Para obtener más información, consulte Establecimiento del estado de flujo de trabajo de los hallazgos.

Quiero habilitar o desactivar esta característica para una cuenta miembro que pertenece a una organización de AWS

De forma predeterminada, las cuentas miembro heredan la característica de la cuenta de administración para AWS Organizations. Si la cuenta de administración ha habilitado la característica, todas las cuentas de la organización también la tendrán. Si tiene una cuenta miembro y desea realizar cambios específicos en esta, debe contactar a AWS Support.

Veo múltiples Regiones de AWS para el mismo recurso afectado para una comprobación de Security Hub

Algunos Servicios de AWS son globales y no son específicos de una región, como IAM y Amazon CloudFront. De forma predeterminada, los recursos globales como los buckets de Amazon S3 aparecen en la región Este de EE. UU. (Norte de Virginia).

Para las comprobaciones de Security Hub que evalúan los recursos de los servicios globales, es posible que vea más de un elemento para los recursos afectados. Por ejemplo: si la comprobación Hardware MFA should be enabled for the root user identifica que su cuenta no ha activado esta característica, verá varias regiones en la tabla para el mismo recurso.

Puede configurar Security Hub y AWS Config para que no aparezcan varias regiones para el mismo recurso. Para mayor información, consulte AWS Controles de prácticas básicas recomendadas que quizás desee desactivar.

He desactivado Security Hub o AWS Config en una región

Si detiene el registro de recursos con AWS Config o desactiva Security Hub en una Región de AWS, Trusted Advisor ya no recibirá datos de ningún control en esa región. Trusted Advisor elimina los resultados de Security Hub en un plazo de 7 a 9 días. Este plazo es el máximo esfuerzo y no está garantizado. Para obtener más información, consulte Deshabilitar Security Hub.

Para deshabilitar esta característica de la cuenta, consulte Desactivar Security Hub desde Trusted Advisor.

Mi control está archivado en Security Hub, pero sigo viendo los resultados en Trusted Advisor

Cuando el estado de RecordState cambia a ARCHIVED correspondiente a una búsqueda, Trusted Advisor elimina la búsqueda de ese control de Security Hub de su cuenta. Es posible que siga viendo el resultado en Trusted Advisor hasta 7 a 9 días antes de que se elimine. Este plazo es el máximo esfuerzo y no está garantizado.

Aún no puedo ver los hallazgos de Security Hub

Si sigue teniendo problemas con esta característica, puede crear un caso de soporte técnico en AWS Support Center.