Desactivación de estándares de seguridad habilitados automáticamente - AWS Security Hub

Desactivación de estándares de seguridad habilitados automáticamente

Si la organización no utiliza la configuración centralizada, emplea un tipo de configuración denominada configuración local. Con la configuración local, el CSPM de AWS Security Hub puede habilitar automáticamente los estándares de seguridad predeterminados para las nuevas cuentas de miembro cuando esas cuentas se integran a la organización. Todos los controles que se aplican a estos estándares predeterminados también se habilitan automáticamente.

Actualmente, los estándares de seguridad predeterminados son el estándar Prácticas recomendadas de seguridad básica (FSBP) de AWS y el estándar Indicador de referencia de AWS de CIS v1.2.0. Para obtener información sobre estos estándares, consulte Referencia de estándares para el CSPM de Security Hub.

Si prefiere habilitar manualmente los estándares de seguridad para las nuevas cuentas de miembro, puede desactivar la habilitación automática de los estándares predeterminados. Solo puede hacerlo si se integra con AWS Organizations y utiliza la configuración local. Si utiliza la configuración centralizada, en su lugar puede crear una política de configuración que habilite los estándares predeterminados y asociar esa política con la raíz. Todas las cuentas y UO de la organización heredan esta política de configuración, a menos que estén asociadas a una política diferente o sean autoadministradas. Si no se integra con AWS Organizations, puede desactivar un estándar predeterminado al habilitar inicialmente el CSPM de Security Hub, o en un momento posterior. Para aprender a hacerlo, consulte Desactivación de un estándar.

Para desactivar la habilitación automática de los estándares predeterminados para las nuevas cuentas de miembro, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub.

Security Hub CSPM console

Siga estos pasos para desactivar la habilitación automática de los estándares predeterminados a través de la consola del CSPM de Security Hub.

Desactivación de la habilitación automática de estándares predeterminados

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

    Inicie sesión en las credenciales de una cuenta del administrador.

  2. En el panel de navegación, en Configuración, elija Configuración.

  3. En la sección Información general, seleccione Editar.

  4. En Configuración de nuevas cuentas, desmarque la casilla Habilitar los estándares de seguridad predeterminados.

  5. Elija Confirmar.

Security Hub CSPM API

Para desactivar la habilitación automática de los estándares predeterminados mediante programación, desde la cuenta de administrador del CSPM de Security Hub utilice la operación UpdateOrganizationConfiguration de la API del CSPM de Security Hub. En la solicitud, especifique NONE para el parámetro AutoEnableStandards.

Si utiliza AWS CLI, ejecute el comando update-organization-configuration para desactivar la habilitación automática de los estándares predeterminados. En el parámetro auto-enable-standards, especifique NONE. Por ejemplo, el siguiente comando habilita automáticamente el CSPM de Security Hub para las nuevas cuentas de miembro y desactiva la habilitación automática de los estándares predeterminados para esas cuentas.

$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE