Efecto de la modificación de los valores de parámetros de control Controles que admiten parámetros personalizados

Comprensión de los parámetros de control en el CSPM de Security Hub

Algunos controles en el CSPM de AWS Security Hub usan parámetros que afectan la forma en que se evalúa el control. Por lo general, dichos controles se evalúan con los valores predeterminados de parámetros que define el CSPM de Security Hub. Sin embargo, para un subconjunto de estos controles, puede modificar los valores de los parámetros. Cuando modifica el valor de un parámetro de control, el CSPM de Security Hub evalúa el control con el valor que especifique. Si el recurso que subyace el control cumple el valor personalizado, el CSPM de Security Hub genera un resultado PASSED. Si el recurso no cumple el valor personalizado, el CSPM de Security Hub genera un resultado FAILED.

Al personalizar los parámetros de control, puede ajustar las prácticas recomendadas de seguridad que supervisa y recomienda el CSPM de Security Hub para alinearlas con los requisitos empresariales y expectativas de seguridad. En lugar de suprimir los resultados de un control, puede personalizar uno o varios de sus parámetros para obtener los resultados que se adapten a sus necesidades de seguridad.

Estos son algunos ejemplos de casos de uso para modificar los parámetros de control y establecer valores personalizados:

[CloudWatch.16]: los grupos de registros de CloudWatch deben retenerse durante un periodo específico

Puede especificar el periodo de retención.
[IAM.7]: las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

Puede especificar parámetros relacionados con la seguridad de la contraseña.
[EC2.18]: los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados

Puede especificar qué puertos están autorizados para permitir el tráfico entrante sin restricciones.
[Lambda.5]: las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad

Puede especificar el número mínimo de zonas de disponibilidad que generará un resultado válido.

En esta sección, se describen los aspectos que se deben tener en cuenta al modificar los parámetros de control.

Efecto de la modificación de los valores de parámetros de control

Al cambiar el valor de un parámetro, también se desencadena un nuevo control de seguridad que evalúa el control en función del nuevo valor. El CSPM de Security Hub genera entonces nuevos resultados del control con base en el nuevo valor. Durante las actualizaciones periódicas de los resultados del control, el CSPM de Security Hub también usa el nuevo valor del parámetro. Si modifica los valores de un parámetro de control pero no habilita ningún estándar que incluya ese control, el CSPM de Security Hub no ejecuta comprobaciones de seguridad con los nuevos valores. Debe habilitar al menos un estándar pertinente para que el CSPM de Security Hub evalúe el control con base en el nuevo valor del parámetro.

Un control puede tener uno o varios parámetros personalizables. Entre los tipos de datos posibles para cada parámetro de control se encuentran los siguientes:

Booleano
Doble
Enum
EnumList
Entero
IntegerList
Cadena
StringList

Los valores personalizados de los parámetros se aplican a los estándares habilitados. No puede personalizar los parámetros de un control que no sea compatible en su región actual. Para obtener una lista de los límites regionales para los controles individuales, consulte Límites regionales de los controles del CSPM de Security Hub.

En algunos controles, los valores de los parámetros aceptables deben estar dentro de un rango especificado para ser válidos. En estos casos, el CSPM de Security Hub proporciona el intervalo aceptable.

El CSPM de Security Hub selecciona los valores predeterminados de los parámetros y en ocasiones puede actualizarlos. Después de personalizar un parámetro de control, su valor sigue siendo el valor que especificó para el parámetro, a menos que lo cambie. Es decir, el parámetro deja de adoptar las actualizaciones del valor predeterminado del CSPM de Security Hub, incluso si el valor personalizado coincide con el valor predeterminado vigente definido por el CSPM de Security Hub. Este es un ejemplo del control [ACM.1]: los certificados importados y emitidos por ACM deben renovarse después de un periodo de tiempo específico:


{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

En el ejemplo anterior, el parámetro daysToExpiration tiene un valor personalizado de 30. El valor predeterminado actual para este parámetro también es 30. Si el CSPM de Security Hub cambia el valor predeterminado a 14, el parámetro de este ejemplo no adopta ese cambio. Retendrá un valor de 30.

Si desea adoptar las actualizaciones del valor predeterminado del CSPM de Security Hub para un parámetro, establezca el campo ValueType en DEFAULT, en lugar de CUSTOM. Para obtener más información, consulte Reversión a los parámetros de control predeterminados en una sola cuenta y región.

Controles que admiten parámetros personalizados

Para obtener una lista de los controles de seguridad que admiten parámetros personalizados, consulte la página Controls de la consola del CSPM de Security Hub o la Referencia de controles para el CSPM de Security Hub. Para recuperar esta lista mediante programación, puede utilizar la operación ListSecurityControlDefinitions. En la respuesta, el objeto CustomizableProperties indica qué controles admiten parámetros personalizables.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Controles de filtrado y clasificación

Revisión de los valores actuales de los parámetros de control