Habilitación de un control en todos los estándares - AWS Security Hub
Habilitación entre estándares en entornos de varias cuentas y varias regionesHabilitación entre estándares en una sola cuenta y región

Habilitación de un control en todos los estándares

Recomendamos habilitar un control del CSPM de AWS Security Hub en todos los estándares a los que se aplica el control. Si activa los resultados de control consolidados, recibirá un resultado por comprobación de control, incluso si un control pertenece a más de un estándar.

Habilitación entre estándares en entornos de varias cuentas y varias regiones

Para habilitar un control de seguridad en varias Cuentas de AWS y Regiones de AWS, debe iniciar sesión en la cuenta de administrador delegado del CSPM de Security Hub y usar la configuración centralizada.

En la configuración centralizada, el administrador delegado puede crear políticas de configuración del CSPM de Security Hub que habilitan los controles especificados en los estándares habilitados. A continuación, puede asociar la política de configuración a cuentas y unidades organizativas (OU) específicas o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por habilitar todos los controles en una unidad organizativa y puede optar por habilitar solo los controles de Amazon Elastic Compute Cloud (EC2) en otra unidad organizativa. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que habilite controles especificados en estándares, consulte Creación y asociación de políticas de configuración.

nota

El administrador delegado puede crear políticas de configuración para administrar controles en todos los estándares, excepto el estándar administrado por servicios: AWS Control Tower. Los controles de este estándar deben configurarse en el servicio AWS Control Tower.

Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.

Habilitación entre estándares en una sola cuenta y región

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para habilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para habilitar un control en una sola cuenta y región.

Security Hub CSPM console
Para habilitar un control en los estándares en una cuenta y región

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, elija Controles.

  3. Seleccione la pestaña Deshabilitado.

  4. Seleccione la opción situada junto a un control.

  5. Seleccione Habilitar el control (esta opción no aparece en los controles que ya están activados).

  6. Repítalo en cada región en la que quiere habilitar el control.

Security Hub CSPM API
Para habilitar un control en los estándares en una cuenta y región

  1. Invoque la API ListStandardsControlAssociations. Proporcione un ID de control de seguridad.

    Ejemplo de solicitud:

    {
    "SecurityControlId": "IAM.1"
}

  2. Invoque la API BatchUpdateStandardsControlAssociations. Proporcione el nombre de recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener los ARN estándar, ejecute DescribeStandards.

  3. Defina el parámetro AssociationStatus equivalente a ENABLED. Si sigue estos pasos para un control que ya está habilitado, la API devuelve una respuesta con el código de estado HTTP 200.

    Ejemplo de solicitud:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. Repítalo en cada región en la que quiere habilitar el control.

AWS CLI
Para habilitar un control en los estándares en una cuenta y región

  1. Ejecute el comando list-standards-control-associations. Proporcione un ID de control de seguridad.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Ejecute el comando batch-update-standards-control-associations. Proporcione el nombre de recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener los ARN estándar, ejecute el comando describe-standards.

  3. Defina el parámetro AssociationStatus equivalente a ENABLED. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. Repítalo en cada región en la que quiere habilitar el control.