Recomendaciones de Security Hub

nota

Security Hub se encuentra en versión preliminar y está sujeto a cambios.

Los siguientes servicios de seguridad AWS envían los resultados a Security Hub en formato OCSF. Después de activar Security Hub, te recomendamos que los habilites Servicios de AWS para mayor seguridad.

Security Hub (CSPM)

Cuando habilita Security Hub CSPM, obtiene una visión completa del estado de su seguridad. AWS Esto le ayuda a evaluar su entorno en función de los estándares y las mejores prácticas del sector de la seguridad. Aunque puede empezar a utilizar Security Hub sin activar Security Hub CSPM, le recomendamos que active Security Hub CSPM porque Security Hub correlaciona las señales de seguridad del Security Hub CSPM para mejorar la gestión de la postura.

Si habilitas Security Hub CSPM, también te recomendamos que habilites el estándar AWS Foundational Security Best Practices para tu cuenta. Este estándar consiste en un conjunto de controles que detectan cuándo usted Cuentas de AWS y sus recursos se desvían de las mejores prácticas de seguridad. Al habilitar el estándar AWS Foundational Security Best Practices para su cuenta, AWS Security Hub CSPM habilita automáticamente todos sus controles, incluidos los controles para los siguientes tipos de recursos:

• Controles de cuenta

• Controles de DynamoDB

• EC2 Controles de Amazon

• Controles de IAM

• AWS Lambda controles

• Controles de Amazon RDS

• Controles de Amazon S3

Puede deshabilitar cualquiera de los controles de esta lista. Sin embargo, si deshabilita alguno de estos controles, no podrá recibir los resultados de exposición de los recursos compatibles. Para obtener información sobre los controles que se aplican al estándar AWS Foundational Security Best Practices v1.0.0 (FSBP), consulte el estándar AWS Foundational Security Best Practices v1.0.0 (FSBP).

GuardDuty

Cuando lo habilitas GuardDuty, puedes ver todas las amenazas y los resultados de cobertura de seguridad en el panel de control de la consola de Security Hub. Si lo habilita GuardDuty, comienza a enviar datos GuardDuty automáticamente a Security Hub en formato OCSF.

Amazon Inspector

Al activar Amazon Inspector, puede ver todas sus exposiciones y los resultados de cobertura de seguridad en el panel de control de la consola de Security Hub. Si habilitas Amazon Inspector, Amazon Inspector empezará automáticamente a enviar datos a Security Hub en formato OCSF.

Recomendamos activar el EC2 escaneo de Amazon y el escaneo estándar Lambda. Cuando activas el EC2 escaneo de Amazon, Amazon Inspector escanea EC2 las instancias de Amazon de tu cuenta para detectar vulnerabilidades en los paquetes y problemas de accesibilidad de la red. Al activar el escaneo estándar de Lambda, Amazon Inspector analiza las funciones de Lambda en busca de vulnerabilidades de software en las dependencias de los paquetes. Para obtener más información, consulte Activación de un tipo de escaneo en la Guía del usuario de Amazon Inspector.

Macie

Al activar Macie, puede detectar exposiciones adicionales para sus buckets de Amazon S3. Recomendamos configurar la detección automática de datos confidenciales para que Macie pueda evaluar su inventario de cubos de Amazon S3 a diario.