Habilitación de un control en un estándar específico - AWS Security Hub

Habilitación de un control en un estándar específico

Cuando habilita un estándar en el CSPM de AWS Security Hub, todos los controles que se aplican al estándar se habilitan de forma automática en ese estándar (la excepción son los estándares administrados por el servicio). Puede deshabilitar y rehabilitar controles específicos dentro del estándar. Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares, consulte Habilitación de un control en todos los estándares.

La página de detalles de un estándar contiene la lista de los controles aplicables al estándar e información sobre los controles que están actualmente habilitados y deshabilitados en ese estándar.

En la página de detalles de los estándares, también puede habilitar controles en estándares específicos. Debe habilitar los controles en estándares específicos por separado en cada Cuenta de AWS y Región de AWS. Cuando habilita un control en estándares específicos, solo afecta a la cuenta y a la región actuales.

Para habilitar un control en un estándar, primero debe habilitar al menos un estándar al que se aplique el control. Para obtener instrucciones sobre cómo habilitar un estándar, consulte Habilitación de un estándar de seguridad. Cuando habilita un control en uno o más estándares, el CSPM de Security Hub comienza a generar resultados para ese control. El CSPM de Security Hub incluye el estado del control en el cálculo del puntaje de seguridad general y de los puntajes de seguridad de los estándares. Incluso si habilita un control en varios estándares, recibirá un único resultado por control de seguridad en todos los estándares si activa los resultados de control consolidados. Para obtener más información, consulte Resultados de control consolidados.

Para habilitar un control en un estándar, el control debe estar disponible en su región actual. Para obtener más información, consulte Disponibilidad de controles por región.

Siga estos pasos para habilitar un control del CSPM de Security Hub en un estándar específico. En lugar de los siguientes pasos, también puede usar la acción de la API de UpdateStandardsControl para habilitar los controles en un estándar específico. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares, consulte Habilitación entre estándares en una sola cuenta y región.

Security Hub CSPM console
Habilitación de un control en un estándar específico

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. Elija Estándares de seguridad en el panel de navegación.

  3. Seleccione Ver resultados para el estándar correspondiente.

  4. Seleccione un control.

  5. Seleccione Habilitar el control (esta opción no aparece en los controles que ya están activados). Confirme seleccionando Habilitar.

Security Hub CSPM API
Habilitación de un control en un estándar específico

  1. Ejecute ListSecurityControlDefinitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute DescribeStandards. Esta API devuelve los identificadores de control de seguridad independientes del estándar, no los identificadores de control específicos del estándar.

    Ejemplo de solicitud:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Ejecute ListStandardsControlAssociations y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.

    Ejemplo de solicitud:

    {
    "SecurityControlId": "IAM.1"
}

  3. Ejecuta BatchUpdateStandardsControlAssociations. Indique el ARN del estándar en el que desee habilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a ENABLED.

    Ejemplo de solicitud:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
AWS CLI
Habilitación de un control en un estándar específico

  1. Ejecute el comando list-security-control-definitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute describe-standards. Este comando devuelve los identificadores de control de seguridad independientes del estándar, no los identificadores de control específicos del estándar.

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Ejecute el comando list-standards-control-associations y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Ejecute el comando batch-update-standards-control-associations. Indique el ARN del estándar en el que desee habilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a ENABLED.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'