En los siguientes ejemplos de código se muestra cómo realizar acciones e implementar escenarios comunes usando AWS Command Line Interface con Security Hub.
Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las distintas funciones de servicio, es posible ver las acciones en contexto en los escenarios relacionados.
En cada ejemplo se incluye un enlace al código de origen completo, con instrucciones de configuración y ejecución del código en el contexto.
Temas
Acciones
En el siguiente ejemplo de código, se muestra cómo utilizar accept-administrator-invitation.
- AWS CLI
-
Para aceptar una invitación de una cuenta de administrador
En el siguiente ejemplo de
accept-administrator-invitation, se acepta la invitación especificada de la cuenta de administrador indicada.aws securityhub accept-invitation \ --administrator-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebEste comando no genera ninguna salida.
Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte AcceptAdministratorInvitation
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar accept-invitation.
- AWS CLI
-
Para aceptar una invitación de una cuenta de administrador
En el siguiente ejemplo de
accept-invitation, se acepta la invitación especificada de la cuenta de administrador indicada.aws securityhub accept-invitation \ --master-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebEste comando no genera ninguna salida.
Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte AcceptInvitation
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-delete-automation-rules.
- AWS CLI
-
Para eliminar reglas de automatización
En el siguiente ejemplo de
batch-delete-automation-rules, se elimina la regla de automatización especificada. Puede eliminar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Salida:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Para obtener más información, consulte Deleting automation rules en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte BatchDeleteAutomationRules
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-disable-standards.
- AWS CLI
-
Para deshabilitar un estándar
En el siguiente ejemplo de
batch-disable-standards, se desactiva el estándar asociado al ARN de suscripción especificado.aws securityhub batch-disable-standards \ --standards-subscription-arns"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obtener más información sobre este estándar, consulte Disabling or enabling a security standard en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte BatchDisableStandards
en la Referencia de comandos de AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-enable-standards.
- AWS CLI
-
Para habilitar un estándar
En el siguiente ejemplo de
batch-enable-standards, se habilita el estándar PCI DSS para la cuenta solicitante.aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obtener más información sobre este estándar, consulte Disabling or enabling a security standard en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte BatchEnableStandards
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-get-automation-rules.
- AWS CLI
-
Para obtener detalles de las reglas de automatización
En el siguiente ejemplo de
batch-get-automation-rules, se obtiene detalles para la regla de automatización especificada. Puede obtener detalles de una o más reglas de automatización con un solo comando.aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Salida:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte BatchGetAutomationRules
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-get-configuration-policy-associations.
- AWS CLI
-
Para obtener los detalles de la asociación de configuración de un lote de objetivos
En el siguiente ejemplo de
batch-get-configuration-policy-associations, se recuperan los detalles de asociación de los destinos especificados. Puede proporcionar los ID de cuenta, los ID de las unidades organizativas o el ID raíz del destino.aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Para obtener más información, consulte Ver el estado y los detalles de la política de configuración en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte BatchGetConfigurationPolicyAssociations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-get-security-controls.
- AWS CLI
-
Para obtener los detalles del control de seguridad
En el siguiente ejemplo de
batch-get-security-controls, se obtienen los detalles de los controles de seguridad ACM.1 e IAM.1 de la cuenta de AWS y la región de AWS actuales.aws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'Salida:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }Para obtener más información sobre este estándar, consulte Visualización de los detalles de un control en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte BatchGetSecurityControls
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-get-standards-control-associations.
- AWS CLI
-
Para obtener el estado de habilitación de un control
En el siguiente ejemplo de
batch-get-standards-control-associations, se identifica si los controles especificados están habilitados en los estándares indicados.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'Salida:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }Para obtener más información, consulte Habilitación de un control en un estándar específico en la Guía del usuario AWS de Security Hub.
-
Para obtener más información sobre la API, consulte BatchGetStandardsControlAssociations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-import-findings.
- AWS CLI
-
Para actualizar un hallazgo
En el siguiente ejemplo de
batch-import-findings, se actualiza un resultado.aws securityhub batch-import-findings \ --findings '[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'Salida:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }Para obtener más información, consulte BatchImportFindings para proveedores de resultados en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte BatchImportFindings
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-update-automation-rules.
- AWS CLI
-
Para actualizar reglas de automatización
En el siguiente ejemplo de
batch-update-automation-rules, se actualiza la regla de automatización especificada. Puede actualizar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'Salida:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Para obtener más información, consulte Edición de reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte BatchUpdateAutomationRules
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-update-findings.
- AWS CLI
-
Ejemplo 1: actualización de un resultado
En el siguiente ejemplo de
batch-update-findings, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos.aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'Salida:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Para obtener más información, consulte BatchUpdateFindings para clientes en la Guía del usuario de AWS Security Hub.
Ejemplo 2: actualización de un resultado con una sintaxis abreviada
En el siguiente ejemplo de
batch-update-findings, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos con la sintaxis abreviada.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"Salida:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Para obtener más información, consulte BatchUpdateFindings para clientes en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte BatchUpdateFindings
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar batch-update-standards-control-associations.
- AWS CLI
-
Para actualizar el estado de habilitación de un control en los estándares habilitados
En el siguiente ejemplo de
batch-update-standards-control-associations, se desactiva CloudTrail.1 en los estándares especificados.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'Este comando no genera ninguna salida si se realiza correctamente.
Para obtener más información, consulte Habilitación de un control en un estándar específico y Habilitación de un control en todos los estándares en la Guía del usuario AWS de Security Hub.
-
Para obtener información sobre la API, consulte BatchUpdateStandardsControlAssociations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar create-action-target.
- AWS CLI
-
Para crear una acción personalizada
En el siguiente ejemplo de
create-action-target, se crea una acción personalizada. Proporciona el nombre, la descripción y el identificador de la acción.aws securityhub create-action-target \ --name"Send to remediation"\ --description"Action to send the finding for remediation tracking"\ --id"Remediation"Salida:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Para obtener más información, consulte Creating a custom action and associating it with a CloudWatch Events rule en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte CreateActionTarget
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar create-automation-rule.
- AWS CLI
-
Para crear una regla de automatización
En el siguiente ejemplo de
create-automation-rule, se crea una regla de automatización en la cuenta de AWS y la región de AWS actuales. Security Hub filtra los resultados en función de los criterios especificados y aplica las acciones a los resultados que coinciden. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description"A sample rule"\ --no-is-terminal \ --rule-name"sample rule"\ --rule-order1\ --rule-status"ENABLED"Salida:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obtener más información, consulte Creación de reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte CreateAutomationRule
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar create-configuration-policy.
- AWS CLI
-
Para crear una política de configuración
En el siguiente ejemplo de
create-configuration-policy, se crea una política de configuración con los ajustes especificados.aws securityhub create-configuration-policy \ --name"SampleConfigurationPolicy"\ --description"SampleDescription"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Para obtener más información, consulte Usar EventBridge para la respuesta y la corrección automatizadas en la Guía del usuario AWS de Security Hub.
-
Para obtener información sobre la API, consulte CreateConfigurationPolicy
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar create-finding-aggregator.
- AWS CLI
-
Para habilitar la agregación de hallazgos
En el siguiente ejemplo de
create-finding-aggregator, se configura la agregación de resultados. Se ejecuta desde Este de EE. UU. (Virginia), que designa Este de EE. UU. (Virginia) como región de agregación. Indica que solo se deben vincular las regiones especificadas y que no se deben vincular automáticamente regiones nuevas. Las regiones vinculadas son Oeste de EE. UU. (Norte de California) y Oeste de EE. UU. (Oregón).aws securityhub create-finding-aggregator \ --regionus-east-1\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Salida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Para obtener más información, consulte Habilitación de agregación entre regiones en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte CreateFindingAggregator
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar create-insight.
- AWS CLI
-
Para eliminar un hallazgo personalizado
En el siguiente ejemplo de
create-insight, se crea información personalizada denominada Critical role Findings que devuelve los resultados esenciales relacionadas con los roles de AWS.aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute"ResourceId"\ --name"Critical role findings"Salida:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obtener más información, consulte Información personalizada en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte CreateInsight
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar create-members.
- AWS CLI
-
Para añadir cuentas como cuentas de miembros
En el siguiente ejemplo de
create-members, se agregan dos cuentas como cuentas de miembro a la cuenta de administrador solicitante.aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'Salida:
{ "UnprocessedAccounts": [] }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte CreateMembers
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar decline-invitations.
- AWS CLI
-
Para rechazar una invitación a ser miembro de la cuenta
En el siguiente ejemplo de
decline-invitations, se rechaza una invitación para ser una cuenta miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.aws securityhub decline-invitations \ --account-ids"123456789012"Salida:
{ "UnprocessedAccounts": [] }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DeclineInvitations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar delete-action-target.
- AWS CLI
-
Para eliminar una acción personalizada
En el siguiente ejemplo de
delete-action-target, se elimina la acción personalizada identificada por el ARN especificado.aws securityhub delete-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Salida:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Para obtener más información, consulte Creating a custom action and associating it with a CloudWatch Events rule en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DeleteActionTarget
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar delete-configuration-policy.
- AWS CLI
-
Eliminación de una política de configuración
En el siguiente ejemplo de
delete-configuration-policy, se elimina la política de configuración especificada.aws securityhub delete-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Este comando no genera ninguna salida.
Para obtener más información, consulte Eliminación de políticas de configuración en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DeleteConfigurationPolicy
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar delete-finding-aggregator.
- AWS CLI
-
Para detener la agregación de hallazgos
En el siguiente ejemplo de
delete-finding-aggregator, se detiene la agregación de resultados. El comando se ejecuta desde la región de agregación, que es Este de EE. UU. (Virginia).aws securityhub delete-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Este comando no genera ninguna salida.
Para obtener más información, consulte Detención de la agregación en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DeleteFindingAggregator
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar delete-insight.
- AWS CLI
-
Para eliminar información personalizada
En el siguiente ejemplo de
delete-insight, se elimina la información personalizada con el ARN especificado.aws securityhub delete-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obtener más información, consulte Información personalizada en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DeleteInsight
en la Referencia de comandos de AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar delete-invitations.
- AWS CLI
-
Para eliminar una invitación a ser miembro de la cuenta
En el siguiente ejemplo de
delete-invitations, se elimina una invitación para ser una cuenta miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.aws securityhub delete-invitations \ --account-ids"123456789012"Salida:
{ "UnprocessedAccounts": [] }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DeleteInvitations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar delete-members.
- AWS CLI
-
Para eliminar cuentas de miembro
En el siguiente ejemplo de
delete-members, se eliminan las cuentas de miembro especificadas de la cuenta de administrador solicitante.aws securityhub delete-members \ --account-ids"123456789111""123456789222"Salida:
{ "UnprocessedAccounts": [] }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte DeleteMembers
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar describe-action-targets.
- AWS CLI
-
Para recuperar detalles sobre las acciones personalizadas
En el siguiente ejemplo de
describe-action-targets, se recupera información sobre la acción personalizada identificada por el ARN especificado.aws securityhub describe-action-targets \ --action-target-arns"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Salida:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }Para obtener más información, consulte Creating a custom action and associating it with a CloudWatch Events rule en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DescribeActionTargets
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar describe-hub.
- AWS CLI
-
Para obtener información sobre un recurso de hub
En el siguiente ejemplo de
describe-hub, se devuelve la fecha de suscripción del recurso de hub especificado. El recurso de hub se identifica mediante su ARN.aws securityhub describe-hub \ --hub-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Salida:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }Para obtener más información, consulte AWS::SecurityHub::Hub en la Guía del usuario de AWS CloudFormation.
-
Para obtener información sobre la API, consulte DescribeHub
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar describe-organization-configuration.
- AWS CLI
-
Para ver cómo se configura Security Hub para una organización
En el siguiente ejemplo de
describe-organization-configuration, se devuelve información sobre la forma en que se configura una organización en Security Hub. En este ejemplo, la organización utiliza la configuración central. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub describe-organization-configurationSalida:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }Para obtener más información, consulte Administración de cuentas de administrador y de miembro de Security Hub con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DescribeOrganizationConfiguration
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar describe-products.
- AWS CLI
-
Para devolver información sobre las integraciones de productos disponibles
En el siguiente ejemplo de
describe-products, se devuelven las integraciones de productos disponibles de una en una.aws securityhub describe-products \ --max-results1Salida:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }Para obtener más información, consulte Comprensión de las integraciones en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DescribeProducts
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar describe-standards-controls.
- AWS CLI
-
Para solicitar la lista de controles de un estándar habilitado
En el siguiente ejemplo de
describe-standards-controls, se solicita la lista de controles de la suscripción de la cuenta solicitante a la norma PCI DSS. La solicitud devuelve dos controles a la vez.aws securityhub describe-standards-controls \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"\ --max-results2Salida:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }Para obtener más información sobre este estándar, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DescribeStandardsControls
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar describe-standards.
- AWS CLI
-
Para devolver una lista de los estándares disponibles
En el siguiente ejemplo de
describe-standards, se devuelve la lista de normas disponibles.aws securityhub describe-standardsSalida:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }Para obtener más información, consulte Descripción de los estándares de seguridad en AWS Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DescribeStandards
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar disable-import-findings-for-product.
- AWS CLI
-
Para dejar de recibir los hallazgos de la integración de un producto
En el siguiente ejemplo de
disable-import-findings-for-product, se desactiva el flujo de resultados para la suscripción especificada de una integración de productos.aws securityhub disable-import-findings-for-product \ --product-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"Este comando no genera ninguna salida.
Para obtener más información, consulte Comprensión de las integraciones en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DisableImportFindingsForProduct
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar disable-organization-admin-account.
- AWS CLI
-
Para eliminar una cuenta de administrador de Security Hub
En el siguiente ejemplo de
disable-organization-admin-account, se revoca la asignación de la cuenta especificada como cuenta de administrador de Security Hub para AWS Organizations.aws securityhub disable-organization-admin-account \ --admin-account-id777788889999Este comando no genera ninguna salida.
Para obtener obtener más información, consulte Integración de Security Hub con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DisableOrganizationAdminAccount
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar disable-security-hub.
- AWS CLI
-
Para deshabilitar AWS Security Hub
En el siguiente ejemplo de
disable-security-hub, se deshabilita AWS Security Hub para la cuenta solicitante.aws securityhub disable-security-hubEste comando no genera ninguna salida.
Para obtener más información, consulte Deshabilitación de AWS Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DisableSecurityHub
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar disassociate-from-administrator-account.
- AWS CLI
-
Para desvincularse de una cuenta de administrador
En el siguiente ejemplo de
disassociate-from-administrator-account, se desvincula la cuenta solicitante de su cuenta de administrador actual.aws securityhub disassociate-from-administrator-accountEste comando no genera ninguna salida.
Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DisassociateFromAdministratorAccount
en la Referencia de comandos de AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar disassociate-from-master-account.
- AWS CLI
-
Para desvincularse de una cuenta de administrador
En el siguiente ejemplo de
disassociate-from-master-account, se desvincula la cuenta solicitante de su cuenta de administrador actual.aws securityhub disassociate-from-master-accountEste comando no genera ninguna salida.
Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DisassociateFromMasterAccount
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar disassociate-members.
- AWS CLI
-
Desasociación de cuentas de miembros
En el siguiente ejemplo de
disassociate-members, se desvinculan las cuentas de miembro especificadas de la cuenta de administrador solicitante.aws securityhub disassociate-members \ --account-ids"123456789111""123456789222"Este comando no genera ninguna salida.
Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte DisassociateMembers
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar enable-import-findings-for-product.
- AWS CLI
-
Para empezar a recibir los hallazgos de la integración de un producto
En el siguiente ejemplo de
enable-import-findings-for-product, se activa el flujo de resultados de la integración de productos especificada.aws securityhub enable-import-findings-for-product \ --product-arn"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"Salida:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }Para obtener más información, consulte Comprensión de las integraciones en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte EnableImportFindingsForProduct
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar enable-organization-admin-account.
- AWS CLI
-
Para designar una cuenta de organización como cuenta de administrador de Security Hub
En el siguiente ejemplo de
enable-organization-admin-account, se designa la cuenta especificada como cuenta de administrador de Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id777788889999Este comando no genera ninguna salida.
Para obtener obtener más información, consulte Integración de Security Hub con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte EnableOrganizationAdminAccount
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar enable-security-hub.
- AWS CLI
-
Para habilitar AWS Security Hub
En el siguiente ejemplo de
enable-security-hub, se activa AWS Security Hub para la cuenta solicitante. Configura Security Hub para habilitar los estándares predeterminados. En el caso del recurso de hub, asigna el valorSecuritya la etiquetaDepartment.aws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Habilitar y configurar Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre las API, consulte EnableSecurityHub
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-administrator-account.
- AWS CLI
-
Para recuperar información sobre una cuenta de administrador
En el siguiente ejemplo de
get-administrator-account, se recupera información sobre la cuenta de administrador para la cuenta solicitante.aws securityhub get-administrator-accountSalida:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetAdministratorAccount
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-configuration-policy-association.
- AWS CLI
-
Para obtener los detalles de la asociación de configuración para un objetivo
En el siguiente ejemplo de
get-configuration-policy-association, se recuperan los detalles de asociación para el destino especificado. Puede proporcionar un ID de cuenta, un ID de las unidades organizativas o el ID raíz del destino.aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Para obtener más información, consulte Viewing Security Hub configuration policies en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetConfigurationPolicyAssociation
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-configuration-policy.
- AWS CLI
-
Para ver los detalles de la política de configuración
En el siguiente ejemplo de
get-configuration-policy, se recuperan detalles sobre la política de configuración especificada.aws securityhub get-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Para obtener más información, consulte Viewing Security Hub configuration policies en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la APl, consulte GetConfigurationPolicy
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-enabled-standards.
- AWS CLI
-
Para recuperar información sobre un estándar habilitado
En el siguiente ejemplo de
get-enabled-standards, se recupera información sobre la normativa PCI DSS.aws securityhub get-enabled-standards \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obtener más información, consulte Descripción de los estándares de seguridad en AWS Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetEnabledStandards
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-finding-aggregator.
- AWS CLI
-
Para recuperar la configuración de agregación de hallazgos actual
En el siguiente ejemplo de
get-finding-aggregator, se recupera la configuración de agregación de resultados actual.aws securityhub get-finding-aggregator \ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Salida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Para obtener más información, consulte Visualización de la configuración de agregación en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetFindingAggregator
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-finding-history.
- AWS CLI
-
Para obtener el historial de hallazgos
En el siguiente ejemplo de
get-finding-history, se obtiene el historial de los últimos 90 días del resultado especificado. En este ejemplo, los resultados se limitan a dos registros del historial de resultados.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"Salida:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }Para obtener más información, consulte Finding history en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetFindingHistory
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-findings.
- AWS CLI
-
Ejemplo 1: devolución de los resultados generados para un estándar específico
En el siguiente ejemplo de
get-findings, se devuelven los resultados de la normativa PCI DSS.aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items1Salida:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }Ejemplo 2: devolución de los resultados de gravedad crítica cuyo estado de flujo de trabajo es NOTIFIED
En el siguiente ejemplo de
get-findings, se devuelven los resultados cuyo valor en la etiqueta de gravedad es CRITICAL y el estado del flujo de trabajo es NOTIFIED. Los resultados están ordenados de manera descendente por valor de confianza.aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items1Salida:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }Para obtener más información, consulte Filtering and grouping findings en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetFindings
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-insight-results.
- AWS CLI
-
Para recuperar los resultados para la información
En el siguiente ejemplo de
get-insight-results, se devuelve la lista de los resultados de la información con el ARN especificado.aws securityhub get-insight-results \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }Para obtener más información, consulte Ver y tomar medidas sobre los hallazgos y resultados del conocimiento en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetInsightResults
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-insights.
- AWS CLI
-
Para recuperar los detalles de la información
En el siguiente ejemplo de
get-insights, se recuperan los detalles de la configuración para la información con el ARN especificado.aws securityhub get-insights \ --insight-arns"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }Para obtener más información, consulte Visualizar información en AWS Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetInsights
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-invitations-count.
- AWS CLI
-
Para recuperar el número de invitaciones que no se ha aceptado
En el siguiente ejemplo de
get-invitations-count, se recupera el número de invitaciones que la cuenta solicitante ha rechazado o que no ha respondido.aws securityhub get-invitations-countSalida:
{ "InvitationsCount": 3 }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetInvitationsCount
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-master-account.
- AWS CLI
-
Para recuperar información sobre una cuenta de administrador
En el siguiente ejemplo de
get-master-account, se recupera información sobre la cuenta de administrador para la cuenta solicitante.aws securityhub get-master-accountSalida:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetMasterAccount
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-members.
- AWS CLI
-
Para recuperar información sobre las cuentas de miembros seleccionadas
En el siguiente ejemplo de
get-members, se recupera información sobre las cuentas de miembro especificadas.aws securityhub get-members \ --account-ids"444455556666""777788889999"Salida:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte GetMembers
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar get-security-control-definition.
- AWS CLI
-
Para obtener los detalles de la definición de control de seguridad
En el siguiente ejemplo de
get-security-control-definition, se recuperan los detalles de la definición de un control de seguridad de Security Hub. Los detalles incluyen el título del control, la descripción, la disponibilidad regional, los parámetros y otra información.aws securityhub get-security-control-definition \ --security-control-idACM.1Salida:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }Para obtener más información, consulte Personalización de parámetros de control en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte GetSecurityControlDefinition
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar invite-members.
- AWS CLI
-
Para enviar invitaciones a las cuentas de miembros
En el siguiente ejemplo de
invite-members, se envían invitaciones a las cuentas de miembro especificadas.aws securityhub invite-members \ --account-ids"123456789111""123456789222"Salida:
{ "UnprocessedAccounts": [] }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener más información sobre la API, consulte InviteMembers
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-automation-rules.
- AWS CLI
-
Para ver una lista de reglas de automatización
En el siguiente ejemplo de
list-automation-rules, se enumeran las reglas de automatización de una cuenta de AWS. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub list-automation-rules \ --max-results3\ --next-tokenNULLSalida:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte ListAutomationRules
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-configuration-policies.
- AWS CLI
-
Para enumerar los resúmenes de las políticas de configuración
En el siguiente ejemplo de
list-configuration-policies, se enumera un resumen de las políticas de configuración de la organización.aws securityhub list-configuration-policies \ --max-items3Salida:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }Para obtener más información, consulte Viewing Security Hub configuration policies en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte ListConfigurationPolicies
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-configuration-policy-associations.
- AWS CLI
-
Para enumerar las asociaciones de configuración
En el siguiente ejemplo de
list-configuration-policy-associations, se enumera un resumen de las asociaciones de configuración de la organización. La respuesta incluye asociaciones con políticas de configuración y el comportamiento autoadministrado.aws securityhub list-configuration-policy-associations \ --filters '{"AssociationType": "APPLIED"}' \ --max-items4Salida:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }Para obtener más información, consulte Visualización de los detalles y el estado de la política de configuración en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte ListConfigurationPolicyAssociations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-enabled-products-for-import.
- AWS CLI
-
Para devolver la lista de integraciones de productos habilitadas
En el siguiente ejemplo de
list-enabled-products-for-import, se devuelve la lista de ARN de suscripción para las integraciones de productos habilitadas actualmente.aws securityhub list-enabled-products-for-importSalida:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }Para obtener más información, consulte Comprensión de las integraciones en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte ListEnabledProductsForImport
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-finding-aggregators.
- AWS CLI
-
Para enumerar los widgets disponibles
En el siguiente ejemplo de
list-finding-aggregators, se devuelve el ARN de la configuración de agregación de resultados.aws securityhub list-finding-aggregatorsSalida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }Para obtener más información, consulte Visualización de la configuración de agregación en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte ListFindingAggregators
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-invitations.
- AWS CLI
-
Para mostrar una lista de invitaciones
En el siguiente ejemplo de
list-invitations, se recupera la lista de invitaciones enviadas a la cuenta solicitante.aws securityhub list-invitationsSalida:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte ListInvitations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-members.
- AWS CLI
-
Para recuperar una lista de cuentas de miembros
En el siguiente ejemplo de
list-members, se devuelve la lista de cuentas miembro para la cuenta de administrador solicitante.aws securityhub list-membersSalida:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }Para obtener información, consulte Administración de cuentas de administrador y de miembro en Security Hub en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte ListMembers
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-organization-admin-accounts.
- AWS CLI
-
Para enumerar las cuentas de administrador de Security Hub
En el siguiente ejemplo de
list-organization-admin-accounts, se enumeran las cuentas de administrador de Security Hub para una organización.aws securityhub list-organization-admin-accountsSalida:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }Para obtener obtener más información, consulte Integración de Security Hub con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte ListOrganizationAdminAccounts
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-security-control-definitions.
- AWS CLI
-
Ejemplo 1: lista de todos los controles de seguridad disponibles
En el siguiente ejemplo de
list-security-control-definitions, se enumeran los controles de seguridad disponibles en todos los estándares de Security Hub. En este ejemplo, los resultados se limitan a tres controles.aws securityhub list-security-control-definitions \ --max-items3Salida:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }Para obtener más información sobre este estándar, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.
Ejemplo 2: lista de los controles de seguridad disponibles para un estándar específico
En el siguiente ejemplo de
list-security-control-definitions, se enumeran los controles de seguridad disponibles para CIS AWS Foundations Benchmark versión 1.4.0. En este ejemplo, los resultados se limitan a tres controles.aws securityhub list-security-control-definitions \ --standards-arn"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"\ --max-items3Salida:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }Para obtener más información sobre este estándar, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte ListSecurityControlDefinitions
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-standards-control-associations.
- AWS CLI
-
Para obtener el estado de habilitación de un control en los estándares habilitados
En el siguiente ejemplo de
list-standards-control-associations, se enumera el estado de activación de CloudTrail.1 en cada estándar habilitado.aws securityhub list-standards-control-associations \ --security-control-idCloudTrail.1Salida:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }Para obtener más información, consulte Habilitación de un control en un estándar específico en la Guía del usuario AWS de Security Hub.
-
Para obtener información sobre la API, consulte ListStandardsControlAssociations
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar list-tags-for-resource.
- AWS CLI
-
Para recuperar las etiquetas asignadas a un recurso
En el ejemplo siguiente de
list-tags-for-resource, se devuelven las etiquetas asignadas al recurso de hub especificado.aws securityhub list-tags-for-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Salida:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }Para obtener más información, consulte AWS::SecurityHub::Hub en la Guía del usuario de AWS CloudFormation.
-
Para ver los detalles de la API, consulte ListTagsForResource
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar start-configuration-policy-association.
- AWS CLI
-
Ejemplo 1: desasociación de una política de configuración
En el siguiente ejemplo de
start-configuration-policy-association, se asocia la política de configuración especificada a la unidad organizativa indicada. Una configuración puede estar asociada a una cuenta de destino, a una unidad organizativa o a la raíz.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Para obtener más información, consulte Usar EventBridge para la respuesta y la corrección automatizadas en la Guía del usuario AWS de Security Hub.
Ejemplo 2: asociación de una configuración autoadministrada
En el siguiente ejemplo de
start-configuration-policy-association, se asocia una configuración autoadministrada a la cuenta especificada.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"OrganizationalUnitId": "123456789012"}'Salida:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Para obtener más información, consulte Usar EventBridge para la respuesta y la corrección automatizadas en la Guía del usuario AWS de Security Hub.
-
Para obtener detalles sobre la API, consulte StartConfigurationPolicyAssociation
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar start-configuration-policy-disassociation.
- AWS CLI
-
Ejemplo 1: desasociación de una política de configuración
En el siguiente ejemplo de
start-configuration-policy-disassociation, se desvincula la política de configuración de la unidad organizativa indicada. Una configuración se puede desasociar de una cuenta de destino, una unidad organizativa o a la raíz.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Eliminación de políticas de configuración en la Guía del usuario de AWS Security Hub.
Ejemplo 2: asociación de una configuración autoadministrada
En el siguiente ejemplo de
start-configuration-policy-disassociation, se desvincula una configuración autoadministrada de la cuenta especificada.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"AccountId": "123456789012"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Eliminación de políticas de configuración en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte StartConfigurationPolicyDisassociation
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar tag-resource.
- AWS CLI
-
Para asociar una etiqueta a un recurso
En el ejemplo siguiente de
tag-resource, se asignan los valores de las etiquetas Department y Area al recurso de hub especificado.aws securityhub tag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tags '{"Department":"Operations", "Area":"USMidwest"}'Este comando no genera ninguna salida.
Para obtener más información, consulte AWS::SecurityHub::Hub en la Guía del usuario de AWS CloudFormation.
-
Para ver los detalles de la API, consulte TagResource
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar untag-resource.
- AWS CLI
-
Para eliminar un valor de etiqueta de un recurso
En el siguiente ejemplo de
untag-resource, se elimina una etiqueta Department de un recurso de hub especificado.aws securityhub untag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tag-keys"Department"Este comando no genera ninguna salida.
Para obtener más información, consulte AWS::SecurityHub::Hub en la Guía del usuario de AWS CloudFormation.
-
Para ver los detalles de la API, consulte UntagResource
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-action-target.
- AWS CLI
-
Para actualizar una acción personalizada
En el siguiente ejemplo de
update-action-target, se actualiza el nombre de la acción personalizada identificada por el ARN especificado.aws securityhub update-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"\ --name"Send to remediation"Este comando no genera ninguna salida.
Para obtener más información, consulte Creating a custom action and associating it with a CloudWatch Events rule en la Guía del usuario de AWS Security Hub.
-
Para obtener información acerca de la API, consulte UpdateActionTarget
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-configuration-policy.
- AWS CLI
-
Para actualizar una política de configuración
En el siguiente ejemplo de
update-configuration-policy, se actualiza una política de configuración existente para usar los ajustes especificados.aws securityhub update-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"\ --name"SampleConfigurationPolicyUpdated"\ --description"SampleDescriptionUpdated"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }Para obtener más información, consulte Actualización de las políticas de configuración en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte UpdateConfigurationPolicy
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-finding-aggregator.
- AWS CLI
-
Para actualizar la configuración de agregación de hallazgos actual
En el siguiente ejemplo de
update-finding-aggregator, se cambia la configuración de agregación de resultados para vincular desde las regiones seleccionadas. El comando se ejecuta desde la región de agregación, que es Este de EE. UU. (Virginia). Las regiones vinculadas son Oeste de EE. UU. (Norte de California) y Oeste de EE. UU. (Oregón).aws securityhub update-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Este comando no genera ninguna salida.
Para obtener más información, consulte Actualización de la configuración de agregación entre regiones en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte UpdateFindingAggregator
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-insight.
- AWS CLI
-
Ejemplo 1: cambio del filtro para obtener información personalizada
En el siguiente ejemplo de
update-insight, se cambian los filtros para información personalizada. La información actualizada busca hallazgos de gran gravedad relacionados con los roles de AWS.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name"High severity role findings"Ejemplo 2: cambio del atributo de agrupación para obtener información personalizada
En el siguiente ejemplo de
update-insight, se cambia el atributo de agrupación de la información personalizada con el ARN especificado. El nuevo atributo de agrupación es el ID del recurso.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --group-by-attribute"ResourceId"\ --name"Critical role findings"Salida:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }Para obtener más información, consulte Información personalizada en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte UpdateInsight
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-organization-configuration.
- AWS CLI
-
Para actualizar cómo se configura Security Hub para una organización
En el siguiente ejemplo de
update-organization-configuration, se especifica que Security Hub debe usar una configuración central para configurar una organización. Después de ejecutar este comando, el administrador delegado de Security Hub puede crear y administrar políticas de configuración para configurar la organización. El administrador delegado también puede usar este comando para cambiar de la configuración central a la local. Si el tipo de configuración es local, el administrador delegado puede elegir si activar Security Hub automáticamente y los estándares de seguridad predeterminados en las nuevas cuentas de la organización.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Administración de cuentas de administrador y de miembro de Security Hub con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para obtener detalles sobre la API, consulte UpdateOrganizationConfiguration
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-security-control.
- AWS CLI
-
Para actualizar las propiedades de control de seguridad
En el siguiente ejemplo de
update-security-control, se especifican valores personalizados para un parámetro de control de seguridad de Security Hub.aws securityhub update-security-control \ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"Este comando no genera ninguna salida.
Para obtener más información, consulte Personalización de parámetros de control en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte UpdateSecurityControl
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-security-hub-configuration.
- AWS CLI
-
Para actualizar la configuración de Security Hub
En el siguiente ejemplo de
update-security-hub-configuration, se configura Security Hub para activar automáticamente los nuevos controles para los estándares habilitados.aws securityhub update-security-hub-configuration \ --auto-enable-controlsEste comando no genera ninguna salida.
Para obtener más información, consulte Habilitación automática de nuevos controles en la Guía del usuario de AWS Security Hub.
-
Para obtener información sobre la API, consulte UpdateSecurityHubConfiguration
en la Referencia de comandos de la AWS CLI.
-
En el siguiente ejemplo de código, se muestra cómo utilizar update-standards-control.
- AWS CLI
-
Ejemplo 1: desactivación de un control
En el siguiente ejemplo de
update-standards-control, se desactiva el control PCI.AutoScaling.1.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"DISABLED"\ --disabled-reason"Not applicable for my service"Este comando no genera ninguna salida.
Ejemplo 2: activación de un control
En el siguiente ejemplo de
update-standards-control, se activa el control PCI.AutoScaling.1.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"ENABLED"Este comando no genera ninguna salida.
Para obtener más información, consulte Habilitación de controles en la Guía del usuario AWS de Security Hub.
-
Para obtener información sobre la API, consulte UpdateStandardsControl
en la Referencia de comandos de la AWS CLI.
-
