Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Estándar de gestión de servicios: AWS Control Tower

Esta sección proporciona información sobre el estándar gestionado por el servicio:. AWS Control Tower

¿Qué es Service-Managed Standard:? AWS Control Tower

Estándar gestionado por servicios: AWS Control Tower es un estándar gestionado por servicios que AWS Control Tower gestiona y admite un subconjunto de controles de Security Hub. Este estándar está diseñado para los usuarios de AWS Security Hub CSPM y. AWS Control Tower Permite configurar los controles de detección del Security Hub CSPM desde el AWS Control Tower servicio.

Los controles de Detective detectan el incumplimiento de los recursos (por ejemplo, errores de configuración) dentro de su Cuentas de AWS.

Cuando habilitas el control CSPM de un Security HubAWS Control Tower, Control Tower también habilita el Security Hub CSPM para ti en esas cuentas y regiones específicas, si aún no está habilitado. En la consola y la API de CSPM de Security Hub, puede ver Service-Managed Standard: junto con otros estándares CSPM de AWS Control Tower Security Hub, una vez que el estándar esté habilitado desde. AWS Control Tower

Para obtener más información sobre este estándar, consulte Controles del CSPM de Security Hub en la Guía del usuario de AWS Control Tower.

Creación del estándar

Este estándar está disponible en Security Hub CSPM solo si habilita los controles CSPM de Security Hub desde. AWS Control Tower AWS Control Towercrea el estándar al habilitar por primera vez un control aplicable mediante uno de los métodos siguientes:

Al habilitar un Security Hub, el control CSPMAWS Control Tower, si aún no lo ha hecho, también habilita el AWS Control Tower Security Hub CSPM para usted en esas cuentas y regiones específicas.

Para identificar un control CSPM de Security Hub por su ID de control en Control Catalog, puede utilizar el campo Implementation.Identifier de. AWS Control Tower Este campo se asigna al ID de control CSPM de Security Hub y se puede utilizar para filtrar un ID de control específico. Para recuperar los metadatos de control de un control CSPM específico de Security Hub (por ejemplo, «CodeBuild.1") enAWS Control Tower, puedes usar la API: ListControls

aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'

No puede ver este estándar ni acceder a él en la consola CSPM de Security Hub, en la API CSPM de Security Hub o AWS CLI sin configurar y habilitar primero los controles CSPM de AWS Control Tower Security Hub AWS Control Tower mediante uno de los métodos anteriores.

Este estándar solo está disponible en los lugares donde está disponible. Regiones de AWSAWS Control Tower

Habilitación y deshabilitación de de los controles en el estándar

Una vez que haya activado los controles CSPM de Security Hub AWS Control Tower y se haya creado el estándar Service-Managed AWS Control Tower Standard: standard, podrá ver el estándar y sus controles disponibles en Security Hub CSPM.

Cuando Security Hub CSPM agrega nuevos controles al estándar Service-Managed Standard: AWS Control Tower standard, no se habilitan automáticamente para los clientes que tienen el estándar habilitado. Debe activar y desactivar los controles del estándar AWS Control Tower mediante uno de los siguientes métodos:

Al cambiar el estado de activación de un control enAWS Control Tower, el cambio también se refleja en Security Hub CSPM.

Sin embargo, si se desactiva un control en Security Hub CSPM que está activado, se AWS Control Tower produce una desviación del control. El estado del control se muestra como. AWS Control Tower Drifted Para resolver este problema, utilice la ResetEnabledControlAPI para restablecer el control que está desviado, o bien seleccionando Volver a registrar la unidad organizativa en la AWS Control Tower consola, o bien deshabilitando y volviendo a activar el control AWS Control Tower mediante uno de los métodos anteriores.

Si completa las acciones de activación y desactivación, podrá evitar que el control se desvíe. AWS Control Tower

Al activar o desactivar los controlesAWS Control Tower, la acción se aplica a todas las cuentas y regiones reguladas por ellos. AWS Control Tower Si habilita y deshabilita los controles en Security Hub CSPM (no se recomienda para este estándar), la acción solo se aplica a la cuenta corriente y la región.

Visualización del estado de activación y el estado de control

Puede ver el estado de habilitación de un control mediante uno de los métodos siguientes:

Un control que se deshabilita AWS Control Tower tiene un estado de activación Disabled en Security Hub CSPM, a menos que se habilite explícitamente ese control en Security Hub CSPM.

El CSPM de Security Hub calcula el estado del control según el estado del flujo de trabajo y el estado de cumplimiento de los resultados del control. Para obtener más información sobre el estado de activación y el estado de control, consulte Cómo revisar los detalles de los controles en el CSPM de Security Hub.

En función de los estados de control, Security Hub CSPM calcula una puntuación de seguridad para Service-Managed Standard:. AWS Control Tower Este puntaje solo está disponible en el CSPM de Security Hub. Además, solo puede ver los resultados de control en el CSPM de Security Hub. La puntuación de seguridad estándar y los resultados de control no están disponibles en. AWS Control Tower

Eliminación de la norma

Puede eliminar este servicio gestionado de forma estándar deshabilitando todos los controles aplicables AWS Control Tower mediante uno de los siguientes métodos:

Al deshabilitar todos los controles, se elimina el estándar en todas las cuentas administradas y regiones gobernadas de AWS Control Tower. Al eliminar el estándar, se AWS Control Tower elimina de la página de estándares de la consola CSPM de Security Hub y ya no se puede acceder a él mediante la API CSPM de Security Hub o. AWS CLI

Al deshabilitar el servicio CSPM de Security Hub, se elimina Service-Managed Standard: AWS Control Tower y cualquier otro estándar que haya activado.

Búsqueda del formato de campo para Service-Managed Standard: AWS Control Tower

Cuando cree Service-Managed Standard: AWS Control Tower y habilite los controles para él, empezará a recibir los resultados de control en Security Hub CSPM. El CSPM de Security Hub informa de los resultados de control en el AWSFormato de búsqueda de seguridad (ASFF). Estos son los valores ASFF del nombre de recurso de Amazon (ARN) de este estándar y GeneratorId:

Para ver un ejemplo de los resultados de Service-Managed Standard:, consulte. AWS Control Tower Ejemplos de resultados de controles

Controles que se aplican a Service-Managed Standard: AWS Control Tower

Estándar gestionado por el servicio: AWS Control Tower admite un subconjunto de controles que forman parte del estándar de mejores prácticas de seguridad AWS fundamentales (FSBP). Elija un control para ver información al respecto, incluidos los pasos para remediar los resultados fallidos.

Para ver qué controles CSPM de Security Hub son compatiblesAWS Control Tower, puede usar uno de los siguientes métodos:

Los límites regionales de los controles CSPM de Security Hub, cuando se habilitan mediante el estándar de la Torre de Control, pueden no coincidir con los límites regionales de los controles subyacentes.

En Security Hub CSPM, si las conclusiones de control consolidadas están desactivadas en su cuenta, el ProductFields.ControlId campo de las conclusiones generadas utiliza el ID de control basado en estándares. El ID de control basado en estándares tiene el formato CT. ControlId(por ejemplo, CT. CodeBuild.1).

Para obtener más información sobre este estándar, consulte Controles del CSPM de Security Hub en la Guía del usuario de AWS Control Tower.