Habilitación y deshabilitación de de los controles en todos los estándares - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación y deshabilitación de de los controles en todos los estándares

AWS Security Hub genera resultados para los controles habilitados y tiene en cuenta todos los controles habilitados al calcular las puntuaciones de seguridad. Puede optar por habilitar y deshabilitar los controles en todos los estándares de seguridad o configurar el estado de habilitación de forma diferente en los distintos estándares. Recomendamos la opción anterior, en la que el estado de habilitación de un control se alinea en todos los estándares habilitados. En esta sección se explica cómo habilitar y deshabilitar los controles en los estándares. Para habilitar o deshabilitar un control en uno o varios estándares específicos, consulte Habilitación y deshabilitación de los controles en estándares específicos.

Si estableció una región de agregación, la consola de Security Hub muestra los controles de todas las regiones vinculadas. Si un control está disponible en una región vinculada, pero no en la región de agregación, no podrá habilitar ni deshabilitar ese control desde la región de agregación.

nota

Las instrucciones para habilitar y deshabilitar los controles varían en función de si se utiliza o no la configuración centralizada. En esta sección, se describen las diferencias. La configuración central está disponible para los usuarios que integran Security Hub y AWS Organizations. Recomendamos utilizar la configuración centralizada para simplificar el proceso de habilitación y deshabilitación de los controles en entornos de varias cuentas y regiones.

Habilitación de controles

Al habilitar un control en un estándar, Security Hub comienza a ejecutar controles de seguridad para el control y generar los resultados del control.

Security Hub incluye el estado de control en el cálculo de la puntuación de seguridad general y de las puntuaciones de seguridad estándar. Si activa los resultados de control consolidados, recibirá un único resultado para un control de seguridad, incluso si habilitó un control en varios estándares. Para obtener más información, consulte Resultados de control consolidados.

Habilitación de un control en todos los estándares en varias cuentas y regiones

Para habilitar un control de seguridad en varias cuentas Regiones de AWS, debe usar la configuración central.

Cuando se utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración de Security Hub que habiliten controles especificados en los estándares habilitados. A continuación, puedes asociar la política de configuración a cuentas y unidades organizativas específicas (OUs) o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por habilitar todos los controles en una OU y puede optar por habilitar solo los controles de Amazon Elastic Compute Cloud (EC2) en otra OU. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que habilite controles especificados en estándares, consulte Creación y asociación de políticas de configuración.

nota

El administrador delegado puede crear políticas de configuración para administrar los controles en todos los estándares, excepto en el estándar de administración de servicios:. AWS Control Tower Los controles de este estándar deben configurarse en el servicio. AWS Control Tower

Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.

Habilitación de un control en todos los estándares en una sola cuenta y región

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para habilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para habilitar un control en una sola cuenta y región.

Security Hub console
Para habilitar un control en los estándares en una cuenta y región
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Controles.

  3. Seleccione la pestaña Deshabilitado.

  4. Seleccione la opción situada junto a un control.

  5. Seleccione Habilitar el control (esta opción no aparece en los controles que ya están activados).

  6. Repítalo en cada región en la que quiere habilitar el control.

Security Hub API
Para habilitar un control en los estándares en una cuenta y región
  1. Invoca el ListStandardsControlAssociationsAPI. Proporcione un ID de control de seguridad.

    Ejemplo de solicitud:

    { "SecurityControlId": "IAM.1" }
  2. Invoca el. BatchUpdateStandardsControlAssociationsAPI Proporcione el nombre del recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener el estándarARNs, ejecute DescribeStandards.

  3. Defina el parámetro AssociationStatus equivalente a ENABLED. Si sigue estos pasos para un control que ya está activado, API devuelve una respuesta con el código de HTTP estado 200.

    Ejemplo de solicitud:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}] }
  4. Repítalo en cada región en la que quiere habilitar el control.

AWS CLI
Para habilitar un control en los estándares en una cuenta y región
  1. Ejecute el comando list-standards-control-associations. Proporcione un ID de control de seguridad.

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. Ejecute el comando batch-update-standards-control-associations. Proporcione el nombre del recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener el estándarARNs, ejecute el describe-standards comando.

  3. Defina el parámetro AssociationStatus equivalente a ENABLED. Si sigue estos pasos para un control que ya está activado, el comando devuelve una respuesta con el código de HTTP estado 200.

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
  4. Repítalo en cada región en la que quiere habilitar el control.

Habilitación automática de nuevos controles en estándares habilitados

Security Hub publica periódicamente nuevos controles de seguridad y los agrega a uno o varios estándares. Puede elegir si quiere habilitar automáticamente nuevos controles en sus estándares habilitados.

nota

Recomendamos utilizar una configuración centralizada para habilitar automáticamente los nuevos controles. Si la política de configuración incluye una lista de controles que deshabilitar (mediante programación, esto refleja el parámetro DisabledSecurityControlIdentifiers), Security Hub habilita automáticamente todos los demás controles en los estándares, incluidos los controles recién lanzados. Si la política incluye una lista de controles que habilitar (mediante programación, esto refleja el parámetro EnabledSecurityControlIdentifiers), Security Hub deshabilita automáticamente todos los demás controles en los estándares, incluidos los recién lanzados. Para obtener más información, consulte Cómo funcionan las políticas de configuración en Security Hub.

Elija el método de acceso que prefiera y siga los pasos para activar automáticamente los nuevos controles en los estándares habilitados. Las siguientes instrucciones solo se aplican si no utiliza la configuración centralizada.

Security Hub console
Habilitación automática de nuevos controles
  1. Abre la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Configuración y luego elija la pestaña General.

  3. En Controles, seleccione Editar.

  4. Active la Activación automática de nuevos controles en los estándares habilitados.

  5. Seleccione Guardar.

Security Hub API
Habilitación automática de nuevos controles
  1. Invoca el UpdateSecurityHubConfigurationAPI.

  2. Para activar automáticamente los nuevos controles para los estándares habilitados, establezca AutoEnableControls como true. Si no desea habilitar automáticamente los nuevos controles, establezca AutoEnableControls como falso.

AWS CLI
Habilitación automática de nuevos controles
  1. Ejecute el comando update-security-hub-configuration.

  2. Para activar automáticamente los nuevos controles para los estándares habilitados, especifique --auto-enable-controls. Si no desea habilitar automáticamente los nuevos controles, especifique --no-auto-enable-controls.

    aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

    Comando de ejemplo:

    aws securityhub update-security-hub-configuration --auto-enable-controls

Deshabilitación de controles

Al deshabilitar un control en todos los estándares, ocurre lo siguiente:

  • Los controles de seguridad del control ya no se realizan.

  • No se generan hallazgos adicionales para ese control.

  • Los resultados existentes se archivan automáticamente después de 3 a 5 días (tenga en cuenta que esto es lo mejor).

  • Se quitan todas AWS Config las reglas relacionadas que haya creado Security Hub.

En lugar de deshabilitar un control en todos los estándares, puede simplemente deshabilitarlo en uno o varios estándares específicos. Si lo hace, Security Hub no ejecuta controles de seguridad para el control de los estándares en los que lo deshabilitó, por lo que no afecta a la puntuación de seguridad de esos estándares. Sin embargo, Security Hub mantiene la AWS Config regla y sigue realizando comprobaciones de seguridad para el control si está habilitado en otros estándares. Esto puede afectar a la puntuación de seguridad resumida. Para instrucciones sobre cómo configurar los controles en estándares específicos, consulte Habilitación y deshabilitación de los controles en estándares específicos.

Para reducir el ruido que se produce al detectar ruidos, puede resultar útil deshabilitar los controles que no sean relevantes para su entorno. Para recomendaciones sobre qué controles deshabilitar, consulte Controles de Security Hub que quizás quiera deshabilitar.

Al deshabilitar un estándar, se deshabilitan todos los controles que se le aplican (sin embargo, es posible que esos controles sigan habilitados en otros estándares). Para obtener información acerca de la desactivación de un estándar, consulte Activación y desactivación de los estándares en Security Hub.

Al deshabilitar un estándar, Security Hub no rastrea cuáles de sus controles aplicables estaban deshabilitados. Si posteriormente vuelves a activar el mismo estándar, todos los controles que se le apliquen se habilitarán automáticamente. Además, deshabilitar un control no es una acción permanente. Supongamos que deshabilita un control y, a continuación, habilita un estándar que estaba deshabilitado anteriormente. Si el estándar incluye ese control, se habilitará en ese estándar. Al habilitar un estándar en Security Hub, todos los controles que se aplican a ese estándar se habilitan automáticamente. Puede optar por deshabilitar controles específicos.

Deshabilitación de un control en todos los estándares en varias cuentas y regiones

Para deshabilitar un control de seguridad en varias cuentas Regiones de AWS, debe usar la configuración central.

Cuando se utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración de Security Hub que deshabiliten controles especificados en los estándares habilitados. A continuación, puede asociar la política de configuración a cuentas específicas o a la raíz. OUs La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por deshabilitar todos los AWS CloudTrail controles de una unidad organizativa y puede optar por deshabilitar todos los IAM controles de otra unidad organizativa. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que deshabilite controles especificados en estándares, consulte Creación y asociación de políticas de configuración.

nota

El administrador delegado puede crear políticas de configuración para administrar los controles en todos los estándares, excepto en el estándar de administración de servicios:. AWS Control Tower Los controles de este estándar deben configurarse en el servicio. AWS Control Tower

Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.

Deshabilitación de un control en todos los estándares en una sola cuenta y región

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para deshabilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para deshabilitar un control en una sola cuenta y región.

Security Hub console
Deshabilitación de un control en los estándares en una cuenta y región
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Controles.

  3. Seleccione la opción situada junto a un control.

  4. Selecciona Deshabilitar el control (esta opción no aparece en los controles que ya están deshabilitados).

  5. Seleccione un motivo para deshabilitar el control y confírmelo seleccionando Deshabilitar.

  6. Repítalo en cada región en la que quiere deshabilitar el control.

Security Hub API
Deshabilitación de un control en los estándares en una cuenta y región
  1. Invoca el ListStandardsControlAssociationsAPI. Proporcione un ID de control de seguridad.

    Ejemplo de solicitud:

    { "SecurityControlId": "IAM.1" }
  2. Invoca el. BatchUpdateStandardsControlAssociationsAPI Indique ARN cualquier estándar en el que esté habilitado el control. Para obtener el estándarARNs, ejecute DescribeStandards.

  3. Defina el parámetro AssociationStatus equivalente a DISABLED. Si sigue estos pasos para un control que ya está desactivado, API devuelve una respuesta con el código de HTTP estado 200.

    Ejemplo de solicitud:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}] }
  4. Repítalo en cada región en la que quiere deshabilitar el control.

AWS CLI
Deshabilitación de un control en los estándares en una cuenta y región
  1. Ejecute el comando list-standards-control-associations. Proporcione un ID de control de seguridad.

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. Ejecute el comando batch-update-standards-control-associations. Indique ARN cualquier estándar en el que esté activado el control. Para obtener el estándarARNs, ejecute el describe-standards comando.

  3. Defina el parámetro AssociationStatus equivalente a DISABLED. Si sigue estos pasos para un control que ya está deshabilitado, el comando devuelve una respuesta con el código de HTTP estado 200.

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
  4. Repítalo en cada región en la que quiere deshabilitar el control.