Habilitación de Security Hub

Hay dos formas de habilitar AWS Security Hub: mediante la integración con AWS Organizations o manualmente.

Se recomienda encarecidamente la integración con Organizations para entornos con varias cuentas y regiones. Si tiene una cuenta independiente, es necesario configurar Security Hub manualmente.

Verificación de los permisos necesarios

Después de registrarse en Amazon Web Services (AWS), debe habilitar Security Hub para utilizar sus capacidades y características. Para habilitar Security Hub, se deben configurar antes los permisos que permitan acceder a la consola de Security Hub y a las operaciones de la API. Para ello, usted o su administrador de AWS pueden utilizar AWS Identity and Access Management (IAM) para asociar la política administrada por AWS denominada AWSSecurityHubFullAccess a su identidad de IAM.

Para habilitar y administrar Security Hub a través de la integración con Organizations, también debe asociar la política administrada por AWS denominada AWSSecurityHubOrganizationsAccess.

Para obtener más información, consulte AWS políticas gestionadas para AWS Security Hub.

Habilitación de la integración de Security Hub con Organizations

Cuando comienza a utilizar Security Hub con AWS Organizations, la cuenta de administración de AWS Organizations correspondiente a la organización puede designar una cuenta de la organización como la cuenta de administrador delegado de Security Hub. Security Hub se habilita automáticamente en la cuenta de administrador delegado de la región actual.

Seleccione el método que prefiera y siga los pasos para designar el administrador delegado.

Security Hub console

Designación del administrador delegado de Security Hub al incorporarse

1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

2. Seleccione Ir a Security Hub. Se le solicitará que inicie sesión en la cuenta de administración de Organizations.

3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS.

4. Elija Establecer administrador delegado.

Security Hub API

Invoque la API EnableOrganizationAdminAccount desde la cuenta de administración de Organizations. Proporcione el ID de la Cuenta de AWS para la cuenta de administrador delegado de Security Hub.

AWS CLI

Ejecute el comando enable-organization-admin-account desde la cuenta de administración de Organizations. Proporcione el ID de la Cuenta de AWS para la cuenta de administrador delegado de Security Hub.

Comando de ejemplo:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obtener más información acerca de la integración con Organizations, consulte Integración de Security Hub con AWS Organizations.

Tras designar al administrador delegado, se recomienda que continúe configurando Security Hub con una configuración centralizada. La consola le solicitará que lo haga. Al utilizar la configuración centralizada, puede simplificar el proceso de habilitación y configuración de Security Hub para su organización y garantizar que esta cuente con una cobertura de seguridad adecuada.

La configuración centralizada permite al administrador delegado personalizar Security Hub en varias cuentas y regiones de la organización en lugar de configurarlo región por región. Puede crear una política de configuración para toda la organización o diferentes políticas de configuración para las distintas cuentas y unidades organizativas. Las políticas especifican si Security Hub está habilitado o deshabilitado en las cuentas asociadas y qué estándares y controles de seguridad están habilitados.

El administrador delegado puede designar las cuentas como administradas de manera centralizada o autoadministradas. Las cuentas administradas de manera centralizada solo las puede configurar el administrador delegado. Las cuentas autoadministradas pueden especificar su propia configuración.

Si no utiliza la configuración centralizada, el administrador delegado tiene una capacidad más limitada para configurar Security Hub. Para obtener más información, consulte Administrar cuentas con AWS Organizations.

Habilitación manual de Security Hub

Debe habilitar Security Hub manualmente si tiene una cuenta independiente o si no se ha integrado con AWS Organizations. Las cuentas independientes no se pueden integrar con AWS Organizations y deben utilizar habilitación manual.

Al habilitar Security Hub manualmente, designa una cuenta de administrador de este servicio e invita a otras cuentas a convertirse en cuentas de miembros. La relación entre administrador y miembros se establece cuando una potencial cuenta de miembro acepta la invitación.

Elija el método que prefiera y siga estos pasos para habilitar Security Hub. Al habilitar Security Hub desde la consola, también tiene la opción de habilitar los estándares de seguridad admitidos.

Security Hub console

1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

2. Al abrir la consola de Security Hub por primera vez, seleccione Vaya a Security Hub.

3. En la página de bienvenida, la sección Estándares de seguridad enumera los estándares de seguridad que admite Security Hub.

   Seleccione la casilla de verificación de un estándar para habilitarlo y quite la selección de la casilla para deshabilitarlo.

   Puede habilitar o deshabilitar un estándar o sus controles individuales en cualquier momento. Para obtener información sobre la administración de los estándares y controles de seguridad, consulte Controles y estándares de seguridad en AWS Security Hub.

4. Seleccione Habilitar Security Hub.

Security Hub API

Invoque la API EnableSecurityHub. Al habilitar Security Hub desde la API, se habilitan automáticamente los siguientes estándares de seguridad predeterminados:

• Prácticas recomendadas de seguridad básica de AWS

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Si no deseas habilitar estos estándares, establece EnableDefaultStandards como false.

También puede usar el parámetro Tags para asignar valores de etiqueta al recurso del hub.

AWS CLI

Ejecute el comando .enable-security-hub Para habilitar los estándares predeterminados, incluya --enable-default-standards. Para no habilitar los estándares predeterminados, incluya --no-enable-default-standards. Los estándares de seguridad predeterminados son los siguientes:

• Prácticas recomendadas de seguridad básica de AWS

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Ejemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitación de múltiples cuentas

nota

En lugar de este script, se recomienda utilizar la configuración centralizada para habilitar y configurar Security Hub en varias cuentas y regiones.

El script de habilitación de múltiples cuentas de Security Hub en GitHub le permite habilitar Security Hub en todas las cuentas y regiones. El script también automatiza el proceso de envío de invitaciones a las cuentas miembro y de activación de AWS Config.

El script habilita de forma automática el registro de recursos para todos los recursos, incluyendo los globales, en todas las regiones. No limita el registro de recursos globales a una única región.

Existe el correspondiente script que permite deshabilitar Security Hub en todas las cuentas y regiones.

Pasos siguientes posteriores a la habilitación de Security Hub

Tras habilitar Security Hub, se recomienda que habilite los estándares y controles de seguridad que sean importantes para sus necesidades de seguridad. Tras habilitar los controles, Security Hub comienza a ejecutar controles de seguridad y a generar los resultados correspondientes. También puede aprovechar las integraciones entre Security Hub, otros Servicios de AWS y soluciones de terceros para ver sus resultados en Security Hub.