Habilitación de Security Hub - AWSSecurity Hub
Habilitar Security Hub para una AWS organizaciónHabilitación de Security Hub en una cuenta independiente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de Security Hub

Puede habilitar Security Hub para cualquier Cuenta de AWS. En esta sección de la documentación se describen todos los pasos necesarios para habilitar Security Hub para una AWS organización o una cuenta independiente.

Habilitar Security Hub para una AWS organización

Esta sección incluye tres pasos:

  • En el paso 1, la cuenta de administración de la AWS organización designa un administrador delegado para su AWS organización, crea la política de administrador delegado y, de forma opcional, habilita Security Hub para su propia cuenta.

  • En el paso 2, el administrador delegado de la organización habilita Security Hub para su propia cuenta.

  • En el paso 3, el administrador delegado de la organización configura todas las cuentas de los miembros de la organización, para Security Hub y otros servicios de seguridad compatibles.

Paso 1. Delegar una cuenta de administrador y habilitar opcionalmente Security Hub en la cuenta de administración de la AWS organización

nota

Este paso solo debe completarse en una región de la cuenta de administración de la organización.

Al asignar la cuenta de administrador delegado para Security Hub, la cuenta que puede elegir para su administrador delegado dependerá de cómo haya configurado un administrador delegado para Security Hub CSPM. Si ha configurado un administrador delegado para Security Hub CSPM y esa cuenta no es la cuenta de administración de la organización, esa cuenta se configurará automáticamente como administrador delegado del Security Hub y no podrá elegir una cuenta diferente. Si la cuenta de administrador delegado de Security Hub CSPM está configurada como la cuenta de administración de la organización o no está configurada en absoluto, puede elegir qué cuenta será su cuenta de administrador delegado de Security Hub, excepto la cuenta de administración de la organización.

Para obtener información sobre cómo designar un administrador delegado en Security Hub, consulte Cómo designar una cuenta de administrador delegado en Security Hub. Para obtener información sobre cómo crear la política del administrador delegado en Security Hub, consulte Creación de la política del administrador delegado en Security Hub.

Para designar un administrador para Security Hub

  1. Inicie sesión en su AWS cuenta con las credenciales de la cuenta de administración de su AWS organización. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.

  2. En la página principal de Security Hub, seleccione Security Hub y, a continuación, elija Introducción.

  3. En la sección Administrador delegado, elija una cuenta de administrador en función de las opciones proporcionadas. Como práctica recomendada, sugerimos utilizar el mismo administrador delegado en los servicios de seguridad para mantener una gobernanza uniforme.

  4. Seleccione la casilla de verificación Acceso confiable. Si selecciona esta opción, su cuenta de administrador delegado podrá configurar determinadas funciones, como la protección contra GuardDuty malware, en las cuentas de los miembros. Si desmarcas esta opción, Security Hub no podrá habilitar estas funciones en tu nombre y tendrás que habilitarlas directamente a través del servicio al que está asociada la función.

  5. (Opcional) Para habilitar la cuenta, selecciona la casilla para habilitar Security Hub en tu AWS cuenta.

  6. En el caso de la política de administrador delegado, elija una de las siguientes opciones para añadir la declaración de política.

    1. (Opción 1) Seleccione Actualizar esto por mí. Seleccione la casilla bajo la declaración de política para confirmar que Security Hub creará automáticamente una política de delegación que otorgue todos los permisos necesarios al administrador delegado.

    2. (Opción 2): Elija Quiero asociar esto manualmente. Elija Copiar y asociar. En la AWS Organizations consola, en Administrador delegado para AWS Organizations, elija Delegar y pegue la política de recursos en el editor de políticas de delegación. Seleccione Crear política. Abra la pestaña donde se encuentra en la consola de Security Hub.

  7. Elija Configurar.

Paso 2. Habilitación de Security Hub en la cuenta del administrador delegado

La cuenta de administrador delegado completa este paso. Una vez que la cuenta de administración de la AWS organización designa un administrador delegado para su organización, el administrador delegado debe habilitar Security Hub para su propia cuenta antes de habilitarlo para toda la organización. AWS

Para habilitar Security Hub en la cuenta del administrador delegado

  1. Inicie sesión en su AWS cuenta con sus credenciales de administrador delegado. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.

  2. Desde la página de inicio de Security Hub, selecciona Comenzar.

  3. La sección de capacidades de seguridad describe las capacidades que se habilitan automáticamente y se incluyen en el precio base por recurso de Security Hub.

  4. (Opcional) En Etiquetas, determine si desea agregar un par clave–valor durante la configuración de la cuenta.

  5. Elija Enable Security Hub para terminar de habilitar Security Hub.

  6. (Recomendado) en la ventana emergente, seleccione Configurar mi organización y continúe con el paso 3.

Tras activar Security Hub, se crean en su cuenta un rol vinculado a un servicio denominado AWSServiceRoleForSecurityHubV2 y un grabador vinculado a un servicio. La grabadora vinculada a un servicio es un tipo de AWS Config grabadora gestionada por un AWS servicio que puede registrar datos de configuración en recursos específicos del servicio. Con un registrador vinculado al servicio, Security Hub ofrece un enfoque basado en eventos para obtener los elementos de configuración de recursos que se requieren para el análisis de exposición, la cobertura y la creación de inventarios de recursos. Un grabador vinculado a un servicio se configura por separado. Cuenta de AWS Región de AWS Para los tipos de recursos globales, se crea automáticamente un grabador adicional vinculado a un servicio en la región de origen para registrar los cambios de configuración de los recursos globales, ya que AWS Config solo registra los tipos de recursos globales en la región de origen designada. Para obtener más información, consulte Consideraciones sobre las grabadoras de configuración vinculadas a servicios y los recursos regionales y globales sobre grabación.

Paso 3. Creación de una política que habilite Security Hub en todas las cuentas de miembro

Después de habilitar Security Hub en la cuenta de administrador delegado de una organización, debe crear una política que defina qué servicios y capacidades están habilitados en las cuentas de los miembros de la organización. Para obtener más información, consulte Habilitar una configuración con un tipo de política.

Habilitación de Security Hub en una cuenta independiente

Este procedimiento describe cómo habilitar Security Hub en una cuenta independiente. Una cuenta independiente es aquella Cuenta de AWS que no tiene AWS organizaciones habilitadas.

Para habilitar Security Hub en una cuenta independiente

  1. Inicie sesión en su AWS cuenta con las credenciales de su cuenta. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.

  2. En la página de inicio de Security Hub, selecciona Comenzar.

  3. En la sección Capacidades de seguridad, realice una de las siguientes acciones:

    1. (Opción 1) Seleccione Habilitar todas las capacidades. Esto activará todas las capacidades esenciales del Security Hub, el análisis de amenazas y las capacidades adicionales.

    2. (Opción 2) Elija Personalizar las capacidades. Seleccione el análisis de amenazas y las capacidades adicionales que deben activarse. No puede anular la selección de ninguna funcionalidad que forme parte de las funciones esenciales del plan Security Hub.

  4. En la sección Regiones, selecciona Habilitar todas las regiones o Habilitar regiones específicas. Si selecciona Habilitar todas las regiones, puede decidir si desea habilitar automáticamente las nuevas regiones. Si eliges Activar regiones específicas, debes elegir qué regiones quieres activar.

  5. (Opcional) En el caso de las etiquetas de recursos, añada etiquetas como pares clave-valor para identificar fácilmente la configuración.

  6. Seleccione Habilitar Security Hub.

Tras activar Security Hub, se crean en su cuenta un rol vinculado a un servicio denominado AWSServiceRoleForSecurityHubV2 y un grabador vinculado a un servicio. La grabadora vinculada a un servicio es un tipo de AWS Config grabadora gestionada por un AWS servicio que puede registrar datos de configuración en recursos específicos del servicio. Con un registrador vinculado al servicio, Security Hub ofrece un enfoque basado en eventos para obtener los elementos de configuración de recursos que se requieren para el análisis de exposición, la cobertura y la creación de inventarios de recursos. Un grabador vinculado a un servicio se configura por separado. Cuenta de AWS Región de AWS Para los tipos de recursos globales, se crea automáticamente un grabador adicional vinculado a un servicio en la región de origen para registrar los cambios de configuración de los recursos globales, ya que AWS Config solo registra los tipos de recursos globales en la región de origen designada. Para obtener más información, consulte Consideraciones sobre las grabadoras de configuración vinculadas a servicios y los recursos regionales y globales sobre grabación.