Deshabilitación y habilitación de controles individuales - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Deshabilitación y habilitación de controles individuales

Cuando se habilita un estándar, todos los controles de dicho estándar se habilitan de forma predeterminada. A continuación, puede deshabilitar y habilitar controles específicos dentro de un estándar habilitado.

Cuando deshabilita un control, ocurre lo siguiente:

  • Ya no se realiza la comprobación del control.

  • No se generan hallazgos adicionales para ese control.

  • Los hallazgos existentes se archivan automáticamente después de tres a cinco días (tenga en cuenta que este es el mejor esfuerzo y no está garantizado).

  • La información relacionada conAWS ConfigSe quitan las reglas que Security Hub ha creado.

Puede resultar útil desactivar las comprobaciones de estándares para aquellos controles que no sean relevantes para su entorno. Por ejemplo, podría ser necesario utilizar Amazon GuardDuty en lugar de CloudWatch alarmas para controlar si hay actividad anómala asociada a suAWS CloudTrailregistros. A continuación, puede deshabilitar el CISAWSFoundations Benchmark controla 3.1-3.14, que se centran en CloudWatch Alarmas de .

La deshabilitación de controles irrelevantes reduce el número de hallazgos irrelevantes. También elimina la comprobación no superada de la puntuación de seguridad para la norma asociada.

Recuerde que Security Hub es regional. Cuando se deshabilita o se habilita un control, este solo se deshabilita en la región actual o en la región que se especifique en la solicitud de API.

Además, cuando deshabilita un estándar completo, Security Hub no realiza un seguimiento de los controles que se deshabilitaron. Si posteriormente vuelve a habilitar el estándar, todos los controles estarán habilitados. Para obtener más información, consulte Deshabilitación o habilitación de un estándar de seguridad.

nota

Habilita y deshabilita los controles en un region-by-region base a través de la consola de Security Hub, la API o la CLI. Si ha establecido una región de agregación, verá los controles de todas las regiones vinculadas. Si hay un control disponible en una región vinculada pero no en la región de agregación, no puede habilitar o deshabilitar dicho control desde la región de agregación. Para los scripts de deshabilitación de controles de cuentas y regiones múltiples y regiones, consulteDesactivación de Security Hub Controls en un entorno de varias cuentas

Deshabilitación de un control (consola)

Desde la consola de Security Hub, puede deshabilitar los controles de la lista de controles de la página de detalles estándar o desde la página de detalles de control.

Para deshabilitar un control (consola)

  1. Abra el iconoAWS Security HubConsola de enhttps://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea deshabilitar el control.

  3. En el panel de navegación de Security Hub, elijaEstándares de seguridad.

  4. Para el estándar para el que desea deshabilitar un control, elijaVer los resultados.

  5. Si eres una cuenta de administrador, eligeHabilitado para esta cuenta.

    Otras cuentas pueden habilitar los controles desde cualquier pestaña que no sea laDiscapacitadoTabulador.

  6. Realice alguna de las siguientes acciones:

    • En la lista de control, elija el control que desea deshabilitar. A continuación, eligeDeshabilitar.

    • Elige el título del control. A continuación, en la página de detalles de control, elijaDeshabilitar.

  7. Especifique el motivo por el que va a deshabilitar el control. Esto puede ayudar a otros miembros de su organización a saber por qué el control está deshabilitado.

  8. Elija Disable.

Desactivación de un control (API de Security Hub,AWS CLI)

Para deshabilitar un control, puede utilizar una llamada a la API o laAWS Command Line Interface.

Para deshabilitar un control (API de Security Hub,AWS CLI)

  • API de Security Hub— Usa laUpdateStandardsControl. Para identificar el control que se va a deshabilitar, proporcione el ARN de control. Para recuperar los ARN de los controles en un estándar, utilice laDescribeStandardsControls.

  • AWS CLI— En la línea de comandos, ejecute laupdate-standards-controlcomando.

    aws securityhub update-standards-control --standards-control-arn <control ARN> --control-status "DISABLED" --disabled-reason <description of reason to disable>

    Ejemplo

    aws securityhub update-standards-control --standards-control-arn "arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/ACM.1" --control-status "DISABLED" --disabled-reason "Not applicable for my service"

Habilitación de un control (consola)

En la página de detalles estándar, los controles deshabilitados se muestran en elDiscapacitadoTabulador.

Para las cuentas de administrador, elDiscapacitadocontiene una lista agregada en todas las cuentas. Los controles deshabilitados de la cuenta de administrador individual se muestran en elDeshabilitado para esta cuentaTabulador.

Puede habilitar un control desde la lista de controles delDiscapacitadoo desde la página de detalles del control.

Para habilitar un control deshabilitado (consola)

  1. Abra el iconoAWS Security HubConsola de enhttps://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea deshabilitar el control.

  3. En el panel de navegación de Security Hub, elijaEstándares de seguridad.

  4. Para el estándar para el que desea habilitar el control, elijaVer los resultados.

  5. Muestra la lista de controles deshabilitados.

    Para una cuenta de miembro o una cuenta independiente, elijaDiscapacitado.

    Para una cuenta de administrador de administrador, elijaDeshabilitado para esta cuenta.

  6. Realice alguna de las siguientes acciones:

    • En la lista de control delDiscapacitadooDeshabilitado para esta cuenta, elija el control que desea habilitar. A continuación, elija Enable.

    • Elige un título de control. A continuación, en la página de detalles de control, elijaHabilitar.

Habilitación de un control (API de Security Hub,AWS CLI)

Para habilitar un control, puede utilizar una llamada a la API o laAWS Command Line Interface.

Para habilitar un control (API de Security Hub,AWS CLI)

  • API de Security Hub— Usa laUpdateStandardsControl. Para identificar el control que se va a habilitar, proporcione el ARN de control. Para recuperar los ARN de los controles en un estándar, utilice laDescribeStandardsControls.

  • AWS CLI— En la línea de comandos, ejecute laupdate-standards-controlcomando.

    aws securityhub update-standards-control--standards-control-arn <control ARN> --control-status "ENABLED"

    Ejemplo

    aws securityhub update-standards-control --standards-control-arn "arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/ACM.1" --control-status "ENABLED"