Deshabilitación o habilitación de un estándar de seguridad - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Deshabilitación o habilitación de un estándar de seguridad

Puede deshabilitar cada estándar de seguridad compatible en Security Hub. Algunos estándares de seguridad están activados de forma predeterminada, pero puede excluirse de los estándares activados automáticamente.

Security Hub es regional. Cuando habilita un estándar de seguridad, solo se habilita ta ta ta ta ta a la región actual o en las regiones que especifique.

Cuando se habilita un estándar de seguridad, ocurre lo siguiente:

  • Las comprobaciones de sus controles ya no se realizan.

  • No se generan hallazgos adicionales para sus controles.

  • Los hallazgos existentes se archivan automáticamente después de tres a cinco días (tenga en cuenta que este es el mejor esfuerzo y no está garantizado).

  • El relacionadoAWS Configse quitan las reglas que Security Hub ha creado.

    Por lo general, esto ocurre unos minutos después de desactivar el estándar, pero puede tardar más.

    Si la primera solicitud para eliminar elAWS Configlas reglas fallan y, a continuación, Security Hub vuelve a intentarlo cada 12 horas. Sin embargo, si deshabilitó Security Hub o no tiene ningún otro estándar habilitado, Security Hub no puede volver a intentar la solicitud, lo que significa que no puede eliminar elAWS Configreglas. Si ocurre esto, y necesitaAWS Configreglas eliminadas, contactoAWS Support.

Antes de habilitar cualquier estándar de seguridad, asegúrese de que ha habilitadoAWS Configy registro de recursos configurado. Consulte Habilitación y configuraciónAWS Config.

Cuando habilita un estándar de seguridad, todos los controles de dicho estándar están habilitados de forma predeterminada. A continuación, puede deshabilitar controles individuales. Consulte Deshabilitación y habilitación de controles individuales.

Cuando habilita Security Hub, Security Hub calcula la puntuación de seguridad inicial de un estándar en un plazo de 30 minutos después de su primera visita alResumen(Se puede encontrarEstándares de seguridaden la consola de Security Hub. Las puntuaciones solo se generan para los estándares que están habilitados cuando visita esas páginas. Además,AWS Configla grabación de recursos debe estar configurada para que aparezcan las partituras. Tras la generación de la puntuación por primera vez, Security Hub actualiza la puntuación de seguridad cada 24 horas. Security Hub muestra una marca de tiempo para indicar cuándo se actualizó por última vez una puntuación de seguridad. Para ver una lista de normas que están activadas actualmente, utilice laGetEnabledStandardsOperación de la API.

nota

Los puntajes de seguridad por primera vez pueden tardar hasta 24 horas en generarse en las regiones de China yAWS GovCloud (US) Region.

Estándares de seguridad activados automáticamente

Security Hub habilita automáticamente los estándares de seguridad predeterminados para las cuentas nuevas. Además, si utilizas la integración conAWS Organizations, Security Hub habilita automáticamente los estándares de seguridad predeterminados para las cuentas de los nuevos miembros. Puede optar por los estándares activados automáticamente.

Actualmente, los estándares de seguridad predeterminados que se activan automáticamente son losAWSEstándar de Mejores Prácticas de Seguridad Fundamentales (FSBP) y Center for Internet Security (CIS) v1.2.0.AWS Indicador de referencia de referencia

Exclusión de los estándares habilitados automáticamente

Los siguientes pasos de exclusión solo se aplican si utiliza la integración conAWS Organizations. Si no utiliza esta integración, puede excluirse de un estándar predeterminado cuando active Security Hub por primera vez, o puede seguir los pasos paradeshabilitar un estándar.

Para excluirse de los estándares de activación automática (consola)

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. Inicie sesión en la cuenta de administrador de.

  3. En la barra de navegación de Security Hub, elijaConfiguración.

  4. En la páginaCuentas(Se ha creado el certificado)Estándares de habilitación automática.

Para excluirse de los estándares habilitados automáticamente (API de Security Hub,AWS CLI)

  • API de Security Hub: UsarUseUpdateOrganizationConfigurationoperación desde la cuenta de administrador de Security Hub. El valor predeterminado deAutoEnabledStandardsel parámetro es igual queDEFAULT. Para excluirse de los estándares activados automáticamente en las cuentas de miembros nuevos, configureAutoEnableStandardsigual queNONE.

  • AWS CLI: En la línea de comandos, ejecute laupdate-organization-configurationcomando.

    aws securityhub update-organization-configuration --auto-enable-standards

Deshabilitación de un estándar de seguridad

En la página Security standards (Estándares de seguridad), cada estándar habilitado incluye una opción para deshabilitar el estándar. Siga estos pasos para deshabilitar un estándar.

Para deshabilitar un estándar de seguridad (consola)

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea deshabilitar la norma.

  3. En el panel de navegación de Security Hub, elijaEstándares de seguridad.

  4. Para el estándar que desea deshabilitar, elija Disable (Deshabilitar).

Para deshabilitar un estándar de seguridad (API de Security Hub,AWS CLI)

  • API de Security Hub: UsarUseBatchDisableStandards. Para deshabilitar cada estándar, debe proporcionar el ARN de su suscripción al estándar. Para obtener los ARN de suscripción para los estándares habilitados, utilice laGetEnabledStandards.

  • AWS CLI: En la línea de comandos, ejecute labatch-disable-standardscomando.

    aws securityhub batch-disable-standards --standards-subscription-arns <subscription ARN>

    Ejemplo

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

Habilitación del estándar de seguridad

En la página Security standards (Estándares de seguridad), cada estándar deshabilitado incluye una opción para habilitar el estándar. Siga estos pasos para habilitar un estándar.

Para habilitar un estándar de seguridad (consola)

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea habilitar la norma.

  3. En el panel de navegación de Security Hub, elijaEstándares de seguridad.

  4. Para el estándar que desea habilitar, elija Enable (Habilitar).

Para habilitar un estándar de seguridad (API de Security Hub,AWS CLI)

  • API de Security Hub: UsarUseBatchEnableStandards. Para identificar un estándar que se va a habilitar, debe proporcionar el ARN estándar. Para obtener el ARN estándar, utilice elDescribeStandards.

  • AWS CLI: En la línea de comandos, ejecute labatch-enable-standardscomando.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "<standard ARN>"}'

    Ejemplo

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'