Esta documentación es AWS CLI únicamente para la versión 1 de la versión. Para ver la documentación relacionada con la versión 2 de AWS CLI, consulte la Guía del usuario de la versión 2.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de Security Hub que utilizan AWS CLI
Los siguientes ejemplos de código muestran cómo realizar acciones e implementar escenarios comunes mediante el uso de AWS Command Line Interface with Security Hub.
Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las funciones de servicio individuales, es posible ver las acciones en contexto en los escenarios relacionados.
Cada ejemplo incluye un enlace al código fuente completo, donde puede encontrar instrucciones sobre cómo configurar y ejecutar el código en su contexto.
Temas
Acciones
El siguiente ejemplo de código muestra cómo usarloaccept-administrator-invitation
.
- AWS CLI
-
Para aceptar una invitación de una cuenta de administrador
El siguiente
accept-administrator-invitation
ejemplo acepta la invitación especificada de la cuenta de administrador especificada.aws securityhub accept-invitation \ --administrator-id
123456789012
\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4eb
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte AcceptAdministratorInvitation
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloaccept-invitation
.
- AWS CLI
-
Para aceptar una invitación de una cuenta de administrador
El siguiente
accept-invitation
ejemplo acepta la invitación especificada de la cuenta de administrador especificada.aws securityhub accept-invitation \ --master-id
123456789012
\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4eb
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte AcceptInvitation
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-delete-automation-rules
.
- AWS CLI
-
Para eliminar las reglas de automatización
En el siguiente
batch-delete-automation-rules
ejemplo, se elimina la regla de automatización especificada. Puede eliminar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '
["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]
'Salida:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }
Para obtener más información, consulte Eliminar reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchDeleteAutomationRules
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-disable-standards
.
- AWS CLI
-
Para deshabilitar un estándar
En el siguiente
batch-disable-standards
ejemplo, se deshabilita el estándar asociado a la suscripción ARN especificada.aws securityhub batch-disable-standards \ --standards-subscription-arns
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Para obtener más información, consulte Deshabilitar o habilitar un estándar de seguridad en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte BatchDisableStandards
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-enable-standards
.
- AWS CLI
-
Para habilitar un estándar
El siguiente
batch-enable-standards
ejemplo habilita el PCI DSS estándar para la cuenta solicitante.aws securityhub batch-enable-standards \ --standards-subscription-requests '
{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}
'Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Para obtener más información, consulte Deshabilitar o habilitar un estándar de seguridad en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte BatchEnableStandards
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-get-automation-rules
.
- AWS CLI
-
Para obtener detalles de las reglas de automatización
En el siguiente
batch-get-automation-rules
ejemplo, se obtienen detalles de la regla de automatización especificada. Puede obtener detalles de una o más reglas de automatización con un solo comando.aws securityhub batch-get-automation-rules \ --automation-rules-arns '
["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]
'Salida:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }
Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchGetAutomationRules
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-get-configuration-policy-associations
.
- AWS CLI
-
Para obtener los detalles de la asociación de configuración de un lote de objetivos
En el siguiente
batch-get-configuration-policy-associations
ejemplo, se recuperan los detalles de la asociación de los objetivos especificados. Puedes proporcionar la cuentaIDs, la unidad IDs organizativa o el ID raíz del objetivo.aws securityhub batch-get-configuration-policy-associations \ --target '
{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }
Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchGetConfigurationPolicyAssociations
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-get-security-controls
.
- AWS CLI
-
Para obtener detalles de control de seguridad
En el siguiente
batch-get-security-controls
ejemplo, se obtienen los detalles de los controles de seguridad ACM IAM .1 y .1 de la AWS cuenta corriente y AWS la región.aws securityhub batch-get-security-controls \ --security-control-ids '
["ACM.1", "IAM.1"]
'Salida:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }
Para obtener más información, consulte Visualización de los detalles de un control en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchGetSecurityControls
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-get-standards-control-associations
.
- AWS CLI
-
Para obtener el estado de activación de un control
El siguiente
batch-get-standards-control-associations
ejemplo identifica si los controles especificados están habilitados en los estándares especificados.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '
[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]
'Salida:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }
Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte BatchGetStandardsControlAssociations
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-import-findings
.
- AWS CLI
-
Para actualizar un hallazgo
En el
batch-import-findings
ejemplo siguiente se actualiza un hallazgo.aws securityhub batch-import-findings \ --findings '
[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]
'Salida:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }
Para obtener más información, consulte Uso BatchImportFindings para crear y actualizar hallazgos en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchImportFindings
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-update-automation-rules
.
- AWS CLI
-
Para actualizar las reglas de automatización
En el siguiente
batch-update-automation-rules
ejemplo, se actualiza la regla de automatización especificada. Puede actualizar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '
[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]
'Salida:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }
Para obtener más información, consulte Edición de reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchUpdateAutomationRules
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-update-findings
.
- AWS CLI
-
Ejemplo 1: Para actualizar un hallazgo
En el siguiente
batch-update-findings
ejemplo, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos.aws securityhub batch-update-findings \ --finding-identifiers '
[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]
' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}
' \ --severity '{"Label": "LOW"}
' \ --workflow '{"Status": "RESOLVED"}
'Salida:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }
Para obtener más información, consulte Uso BatchUpdateFindings para actualizar un hallazgo en la Guía del usuario de AWS Security Hub.
Ejemplo 2: Para actualizar un hallazgo mediante una sintaxis abreviada
En el siguiente
batch-update-findings
ejemplo, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos mediante una sintaxis abreviada.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"
Salida:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }
Para obtener más información, consulte Uso BatchUpdateFindings para actualizar un hallazgo en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchUpdateFindings
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlobatch-update-standards-control-associations
.
- AWS CLI
-
Para actualizar el estado de activación de un control en los estándares habilitados
El siguiente
batch-update-standards-control-associations
ejemplo desactiva CloudTrail .1 en los estándares especificados.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '
[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]
'Este comando no genera ninguna salida si se realiza correctamente.
Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos y Habilitar y deshabilitar controles en todos los estándares en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte la Referencia BatchUpdateStandardsControlAssociations
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-action-target
.
- AWS CLI
-
Para crear una acción personalizada
En el siguiente
create-action-target
ejemplo, se crea una acción personalizada. Proporciona el nombre, la descripción y el identificador de la acción.aws securityhub create-action-target \ --name
"Send to remediation"
\ --description"Action to send the finding for remediation tracking"
\ --id"Remediation"
Salida:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }
Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte CreateActionTarget
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-automation-rule
.
- AWS CLI
-
Para crear una regla de automatización
En el siguiente
create-automation-rule
ejemplo, se crea una regla de automatización en la AWS cuenta corriente y en AWS la región. Security Hub filtra sus hallazgos en función de los criterios especificados y aplica las acciones a los hallazgos coincidentes. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub create-automation-rule \ --actions '
[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]
' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }
' \ --description"A sample rule"
\ --no-is-terminal \ --rule-name"sample rule"
\ --rule-order1
\ --rule-status"ENABLED"
Salida:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Para obtener más información, consulte Creación de reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateAutomationRule
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-configuration-policy
.
- AWS CLI
-
Para crear una política de configuración
En el siguiente
create-configuration-policy
ejemplo, se crea una política de configuración con los parámetros especificados.aws securityhub create-configuration-policy \ --name
"SampleConfigurationPolicy"
\ --description"SampleDescription"
\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}
' \ --tags '{"Environment": "Prod"}
'Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte CreateConfigurationPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-finding-aggregator
.
- AWS CLI
-
Para habilitar la búsqueda de agregación
El siguiente
create-finding-aggregator
ejemplo configura la búsqueda de la agregación. Se ejecuta desde EE. UU. Este (Virginia), que designa EE. UU. Este (Virginia) como región de agregación. Indica que solo se deben vincular regiones específicas y que no se deben vincular automáticamente regiones nuevas. Selecciona EE.UU. Oeste (Norte de California) y EE.UU. Oeste (Oregón) como regiones vinculadas.aws securityhub create-finding-aggregator \ --region
us-east-1
\ --region-linking-modeSPECIFIED_REGIONS
\ --regionsus-west-1,us-west-2
Salida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }
Para obtener más información, consulte Habilitar la búsqueda de agregación en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateFindingAggregator
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-insight
.
- AWS CLI
-
Para crear una información personalizada
En el siguiente
create-insight
ejemplo, se crea una información personalizada denominada Critical role Findings que devuelve las conclusiones críticas relacionadas con las AWS funciones.aws securityhub create-insight \ --filters '
{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}
' \ --group-by-attribute"ResourceId"
\ --name"Critical role findings"
Salida:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateInsight
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlocreate-members
.
- AWS CLI
-
Para añadir cuentas como cuentas de miembros
En el siguiente
create-members
ejemplo, se agregan dos cuentas como cuentas de miembro a la cuenta de administrador solicitante.aws securityhub create-members \ --account-details '
[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]
'Salida:
{ "UnprocessedAccounts": [] }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateMembers
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodecline-invitations
.
- AWS CLI
-
Para rechazar una invitación a ser miembro de una cuenta
En el siguiente
decline-invitations
ejemplo, se rechaza una invitación a ser miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.aws securityhub decline-invitations \ --account-ids
"123456789012"
Salida:
{ "UnprocessedAccounts": [] }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeclineInvitations
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-action-target
.
- AWS CLI
-
Para eliminar una acción personalizada
En el siguiente
delete-action-target
ejemplo, se elimina la acción personalizada identificada por la acción especificadaARN.aws securityhub delete-action-target \ --action-target-arn
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
Salida:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }
Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DeleteActionTarget
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-configuration-policy
.
- AWS CLI
-
Eliminación de una política de configuración
En el siguiente
delete-configuration-policy
ejemplo, se elimina la política de configuración especificada.aws securityhub delete-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Este comando no genera ninguna salida.
Para obtener más información, consulte Eliminar y desasociar las políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte la Referencia DeleteConfigurationPolicy
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-finding-aggregator
.
- AWS CLI
-
Para dejar de buscar agregación
El siguiente
delete-finding-aggregator
ejemplo deja de buscar la agregación. Se ejecuta desde EE. UU. Este (Virginia), que es la región de agregación.aws securityhub delete-finding-aggregator \ --region
us-east-1
\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
Este comando no genera ninguna salida.
Para obtener más información, consulte Dejar de buscar agregación en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteFindingAggregator
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-insight
.
- AWS CLI
-
Para eliminar una información personalizada
En el siguiente
delete-insight
ejemplo, se elimina la información personalizada con la especificadaARN.aws securityhub delete-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Salida:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteInsight
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-invitations
.
- AWS CLI
-
Para eliminar una invitación a ser miembro de una cuenta
En el siguiente
delete-invitations
ejemplo, se elimina una invitación a ser miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.aws securityhub delete-invitations \ --account-ids
"123456789012"
Salida:
{ "UnprocessedAccounts": [] }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteInvitations
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodelete-members
.
- AWS CLI
-
Para eliminar las cuentas de los miembros
En el siguiente
delete-members
ejemplo, se eliminan las cuentas de miembro especificadas de la cuenta de administrador solicitante.aws securityhub delete-members \ --account-ids
"123456789111"
"123456789222"
Salida:
{ "UnprocessedAccounts": [] }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteMembers
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodescribe-action-targets
.
- AWS CLI
-
Para recuperar detalles sobre las acciones personalizadas
En el siguiente
describe-action-targets
ejemplo, se recupera información sobre la acción personalizada identificada por la especificadaARN.aws securityhub describe-action-targets \ --action-target-arns
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
Salida:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }
Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DescribeActionTargets
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodescribe-hub
.
- AWS CLI
-
Para obtener información sobre un recurso central
En el siguiente
describe-hub
ejemplo, se devuelve la fecha de suscripción del recurso hub especificado. El recurso hub se identifica por suARN.aws securityhub describe-hub \ --hub-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
Salida:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }
Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte DescribeHub
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodescribe-organization-configuration
.
- AWS CLI
-
Para ver cómo se configura Security Hub para una organización
El siguiente
describe-organization-configuration
ejemplo devuelve información sobre la forma en que se configura una organización en Security Hub. En este ejemplo, la organización utiliza la configuración central. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub describe-organization-configuration
Salida:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }
Para obtener más información, consulte Administrar cuentas con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DescribeOrganizationConfiguration
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodescribe-products
.
- AWS CLI
-
Para devolver información sobre las integraciones de productos disponibles
En el siguiente
describe-products
ejemplo, se devuelven las integraciones de productos disponibles de una en una.aws securityhub describe-products \ --max-results
1
Salida:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }
Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DescribeProducts
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodescribe-standards-controls
.
- AWS CLI
-
Para solicitar la lista de controles de un estándar habilitado
En el siguiente
describe-standards-controls
ejemplo, se solicita la lista de controles de la suscripción de la cuenta solicitante al PCI DSS estándar. La solicitud devuelve dos controles a la vez.aws securityhub describe-standards-controls \ --standards-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
\ --max-results2
Salida:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }
Para obtener más información, consulte Visualización de los detalles de los controles en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DescribeStandardsControls
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodescribe-standards
.
- AWS CLI
-
Para devolver una lista de los estándares disponibles
El siguiente
describe-standards
ejemplo devuelve la lista de normas disponibles.aws securityhub describe-standards
Salida:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }
Para obtener más información, consulte los estándares de AWS seguridad de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DescribeStandards
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodisable-import-findings-for-product
.
- AWS CLI
-
Para dejar de recibir los resultados de la integración de un producto
El siguiente
disable-import-findings-for-product
ejemplo desactiva el flujo de resultados para la suscripción especificada a una integración de productos.aws securityhub disable-import-findings-for-product \ --product-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
Este comando no genera ninguna salida.
Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DisableImportFindingsForProduct
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodisable-organization-admin-account
.
- AWS CLI
-
Para eliminar una cuenta de administrador de Security Hub
En el siguiente
disable-organization-admin-account
ejemplo, se revoca la asignación de la cuenta especificada como cuenta de administrador de Security Hub para AWS Organizations.aws securityhub disable-organization-admin-account \ --admin-account-id
777788889999
Este comando no genera ninguna salida.
Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DisableOrganizationAdminAccount
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodisable-security-hub
.
- AWS CLI
-
Para deshabilitar AWS Security Hub
En el siguiente
disable-security-hub
ejemplo, se deshabilita AWS Security Hub para la cuenta solicitante.aws securityhub disable-security-hub
Este comando no genera ninguna salida.
Para obtener más información, consulte Desactivación del AWS Security Hub en la Guía del usuario del AWS Security Hub.
-
Para API obtener más información, consulte DisableSecurityHub
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodisassociate-from-administrator-account
.
- AWS CLI
-
Para desasociarse de una cuenta de administrador
El siguiente
disassociate-from-administrator-account
ejemplo desvincula la cuenta solicitante de su cuenta de administrador actual.aws securityhub disassociate-from-administrator-account
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DisassociateFromAdministratorAccount
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodisassociate-from-master-account
.
- AWS CLI
-
Para desasociarse de una cuenta de administrador
El siguiente
disassociate-from-master-account
ejemplo desvincula la cuenta solicitante de su cuenta de administrador actual.aws securityhub disassociate-from-master-account
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DisassociateFromMasterAccount
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlodisassociate-members
.
- AWS CLI
-
Desasociación de cuentas de miembros
El siguiente
disassociate-members
ejemplo desasocia las cuentas de los miembros especificadas de la cuenta de administrador solicitante.aws securityhub disassociate-members \ --account-ids
"123456789111"
"123456789222"
Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DisassociateMembers
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloenable-import-findings-for-product
.
- AWS CLI
-
Para empezar a recibir los resultados de la integración de un producto
El siguiente
enable-import-findings-for-product
ejemplo permite el flujo de los resultados de la integración de productos especificada.aws securityhub enable-import-findings-for-product \ --product-arn
"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
Salida:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }
Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte EnableImportFindingsForProduct
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloenable-organization-admin-account
.
- AWS CLI
-
Para designar una cuenta de organización como cuenta de administrador de Security Hub
En el siguiente
enable-organization-admin-account
ejemplo, se designa la cuenta especificada como cuenta de administrador de Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id
777788889999
Este comando no genera ninguna salida.
Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte EnableOrganizationAdminAccount
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloenable-security-hub
.
- AWS CLI
-
Para habilitar AWS Security Hub
El siguiente
enable-security-hub
ejemplo habilita AWS Security Hub para la cuenta solicitante. Configura Security Hub para habilitar los estándares predeterminados. En el caso del recurso hub, asigna el valorSecurity
a la etiqueta.Department
aws securityhub enable-security-hub \ --enable-default-standards \ --tags '
{"Department": "Security"}
'Este comando no genera ninguna salida.
Para obtener más información, consulte Habilitar Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte EnableSecurityHub
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-administrator-account
.
- AWS CLI
-
Para recuperar información sobre una cuenta de administrador
En el siguiente
get-administrator-account
ejemplo, se recupera información sobre la cuenta de administrador de la cuenta solicitante.aws securityhub get-administrator-account
Salida:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetAdministratorAccount
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-configuration-policy-association
.
- AWS CLI
-
Para obtener los detalles de la asociación de configuración de un objetivo
En el siguiente
get-configuration-policy-association
ejemplo, se recuperan los detalles de la asociación del objetivo especificado. Puedes proporcionar un identificador de cuenta, un identificador de unidad organizativa o el identificador raíz del objetivo.aws securityhub get-configuration-policy-association \ --target '
{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }
Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetConfigurationPolicyAssociation
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-configuration-policy
.
- AWS CLI
-
Para ver los detalles de la política de configuración
En el siguiente
get-configuration-policy
ejemplo, se recuperan los detalles sobre la política de configuración especificada.aws securityhub get-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetConfigurationPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-enabled-standards
.
- AWS CLI
-
Para recuperar información sobre un estándar habilitado
En el siguiente
get-enabled-standards
ejemplo, se recupera información sobre el PCI DSS estándar.aws securityhub get-enabled-standards \ --standards-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Para obtener más información, consulte los estándares de AWS seguridad de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetEnabledStandards
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-finding-aggregator
.
- AWS CLI
-
Para recuperar la configuración de agregación de búsquedas actual
En el siguiente
get-finding-aggregator
ejemplo, se recupera la configuración de agregación de búsquedas actual.aws securityhub get-finding-aggregator \ --finding-aggregator-arn
arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
Salida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }
Para obtener más información, consulte Visualización de la configuración de agregación de búsquedas actual en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetFindingAggregator
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-finding-history
.
- AWS CLI
-
Para obtener el historial de búsquedas
En el siguiente
get-finding-history
ejemplo, se actualiza el historial de los últimos 90 días del hallazgo especificado. En este ejemplo, los resultados se limitan a dos registros del historial de búsquedas.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"
Salida:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }
Para obtener más información, consulte Búsqueda del historial en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetFindingHistory
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-findings
.
- AWS CLI
-
Ejemplo 1: Para devolver los resultados generados para un estándar específico
El siguiente
get-findings
ejemplo devuelve los resultados de la PCI DSS norma.aws securityhub get-findings \ --filters '
{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}
' \ --max-items1
Salida:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }
Ejemplo 2: Para devolver hallazgos de gravedad crítica con un estado de flujo de trabajo de NOTIFIED
En el siguiente
get-findings
ejemplo, se muestran los resultados que tienen un valor de etiqueta de gravedad de CRITICAL y un estado de flujo de trabajo de. NOTIFIED Los resultados se ordenan en orden descendente según el valor de Confidence.aws securityhub get-findings \ --filters '
{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}
' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}
' \ --max-items1
Salida:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }
Para obtener más información, consulte los resultados de filtrado y agrupamiento en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte GetFindings
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-insight-results
.
- AWS CLI
-
Para recuperar los resultados y obtener información
En el siguiente
get-insight-results
ejemplo, se devuelve la lista de resultados de la información con la información especificadaARN.aws securityhub get-insight-results \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Salida:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }
Para obtener más información, consulte Visualización de los resultados y hallazgos de insights y tomar medidas al respecto en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetInsightResults
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-insights
.
- AWS CLI
-
Para recuperar detalles sobre una información
En el siguiente
get-insights
ejemplo, se recuperan los detalles de configuración de la información con lo especificadoARN.aws securityhub get-insights \ --insight-arns
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Salida:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }
Para obtener más información, consulte Insights in AWS Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetInsights
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-invitations-count
.
- AWS CLI
-
Para recuperar el número de invitaciones que no se aceptaron
En el siguiente
get-invitations-count
ejemplo, se recupera el número de invitaciones que la cuenta solicitante rechazó o a las que no respondió.aws securityhub get-invitations-count
Salida:
{ "InvitationsCount": 3 }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetInvitationsCount
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-master-account
.
- AWS CLI
-
Para recuperar información sobre una cuenta de administrador
En el siguiente
get-master-account
ejemplo, se recupera información sobre la cuenta de administrador de la cuenta solicitante.aws securityhub get-master-account
Salida:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetMasterAccount
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-members
.
- AWS CLI
-
Para recuperar información sobre las cuentas de los miembros seleccionadas
En el siguiente
get-members
ejemplo, se recupera información sobre las cuentas de los miembros especificadas.aws securityhub get-members \ --account-ids
"444455556666"
"777788889999"
Salida:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetMembers
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloget-security-control-definition
.
- AWS CLI
-
Para obtener los detalles de la definición del control de seguridad
En el siguiente
get-security-control-definition
ejemplo, se recuperan los detalles de la definición de un control de seguridad de Security Hub. Los detalles incluyen el título del control, la descripción, la disponibilidad regional, los parámetros y otra información.aws securityhub get-security-control-definition \ --security-control-id
ACM.1
Salida:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }
Para obtener más información, consulte Parámetros de control personalizados en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetSecurityControlDefinition
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloinvite-members
.
- AWS CLI
-
Para enviar invitaciones a las cuentas de los miembros
En el siguiente
invite-members
ejemplo, se envían invitaciones a las cuentas de los miembros especificadas.aws securityhub invite-members \ --account-ids
"123456789111"
"123456789222"
Salida:
{ "UnprocessedAccounts": [] }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte InviteMembers
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-automation-rules
.
- AWS CLI
-
Para ver una lista de reglas de automatización
En el siguiente
list-automation-rules
ejemplo, se enumeran las reglas de automatización de una AWS cuenta. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub list-automation-rules \ --max-results
3
\ --next-tokenNULL
Salida:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }
Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListAutomationRules
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-configuration-policies
.
- AWS CLI
-
Para enumerar los resúmenes de las políticas de configuración
En el siguiente
list-configuration-policies
ejemplo, se muestra un resumen de las políticas de configuración de la organización.aws securityhub list-configuration-policies \ --max-items
3
Salida:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }
Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListConfigurationPolicies
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-configuration-policy-associations
.
- AWS CLI
-
Para enumerar las asociaciones de configuración
En el siguiente
list-configuration-policy-associations
ejemplo, se muestra un resumen de las asociaciones de configuración de la organización. La respuesta incluye asociaciones con las políticas de configuración y el comportamiento autogestionado.aws securityhub list-configuration-policy-associations \ --association-type
"APPLIED"
\ --max-items4
Salida:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }
Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListConfigurationPolicyAssociations
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-enabled-products-for-import
.
- AWS CLI
-
Para devolver la lista de integraciones de productos habilitadas
En el siguiente
list-enabled-products-for-import
ejemplo, se devuelve la lista de suscripciones de ARNS las integraciones de productos actualmente habilitadas.aws securityhub list-enabled-products-for-import
Salida:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }
Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte ListEnabledProductsForImport
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-finding-aggregators
.
- AWS CLI
-
Para enumerar los widgets disponibles
El siguiente
list-finding-aggregators
ejemplo devuelve la configuración ARN de agregación de búsquedas.aws securityhub list-finding-aggregators
Salida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }
Para obtener más información, consulte Visualización de la configuración de agregación de búsquedas actual en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListFindingAggregators
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-invitations
.
- AWS CLI
-
Para mostrar una lista de invitaciones
En el siguiente
list-invitations
ejemplo, se recupera la lista de invitaciones enviadas a la cuenta solicitante.aws securityhub list-invitations
Salida:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListInvitations
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-members
.
- AWS CLI
-
Para recuperar una lista de las cuentas de los miembros
En el siguiente
list-members
ejemplo, se devuelve la lista de cuentas de miembro de la cuenta de administrador solicitante.aws securityhub list-members
Salida:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListMembers
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-organization-admin-accounts
.
- AWS CLI
-
Para enumerar las cuentas de administrador de Security Hub designadas
En el siguiente
list-organization-admin-accounts
ejemplo, se enumeran las cuentas de administrador de Security Hub de una organización.aws securityhub list-organization-admin-accounts
Salida:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }
Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte ListOrganizationAdminAccounts
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-security-control-definitions
.
- AWS CLI
-
Ejemplo 1: Para enumerar todos los controles de seguridad disponibles
En el siguiente
list-security-control-definitions
ejemplo, se enumeran los controles de seguridad disponibles en todos los estándares de Security Hub. En este ejemplo, se limitan los resultados a tres controles.aws securityhub list-security-control-definitions \ --max-items
3
Salida:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }
Para obtener más información, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.
Ejemplo 2: Para enumerar los controles de seguridad disponibles para un estándar específico
En el siguiente
list-security-control-definitions
ejemplo, se enumeran los controles de seguridad disponibles para la versión 1.4.0 de CIS AWS Foundations Benchmark. Este ejemplo limita los resultados a tres controles.aws securityhub list-security-control-definitions \ --standards-arn
"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"
\ --max-items3
Salida:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }
Para obtener más información, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListSecurityControlDefinitions
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-standards-control-associations
.
- AWS CLI
-
Para obtener el estado de activación de un control en cada estándar habilitado
En el siguiente
list-standards-control-associations
ejemplo, se muestra el estado de activación de CloudTrail .1 en cada estándar habilitado.aws securityhub list-standards-control-associations \ --security-control-id
CloudTrail.1
Salida:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }
Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte ListStandardsControlAssociations
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlolist-tags-for-resource
.
- AWS CLI
-
Para recuperar las etiquetas asignadas a un recurso
En el siguiente
list-tags-for-resource
ejemplo, se devuelven las etiquetas asignadas al recurso central especificado.aws securityhub list-tags-for-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
Salida:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }
Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte ListTagsForResource
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlostart-configuration-policy-association
.
- AWS CLI
-
Ejemplo 1: Para asociar una política de configuración
El siguiente
start-configuration-policy-association
ejemplo asocia la política de configuración especificada a la unidad organizativa especificada. Una configuración puede estar asociada a una cuenta de destino, a una unidad organizativa o a la raíz.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }
Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
Ejemplo 2: Para asociar una configuración autogestionada
El siguiente
start-configuration-policy-association
ejemplo asocia una configuración autogestionada a la cuenta especificada.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier
"SELF_MANAGED_SECURITY_HUB"
\ --target '{"OrganizationalUnitId": "123456789012"}
'Salida:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }
Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte StartConfigurationPolicyAssociation
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlostart-configuration-policy-disassociation
.
- AWS CLI
-
Ejemplo 1: Para desasociar una política de configuración
En el siguiente
start-configuration-policy-disassociation
ejemplo, se disocia una política de configuración de la unidad organizativa especificada. Una configuración puede estar disociada de una cuenta de destino, de una unidad organizativa o de la raíz.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Este comando no genera ninguna salida.
Para obtener más información, consulte Desasociar una configuración de las cuentas y OUs en la Guía del usuario AWS de Security Hub.
Ejemplo 2: Para desasociar una configuración autogestionada
El siguiente
start-configuration-policy-disassociation
ejemplo desasocia una configuración autogestionada de la cuenta especificada.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier
"SELF_MANAGED_SECURITY_HUB"
\ --target '{"AccountId": "123456789012"}
'Este comando no genera ninguna salida.
Para obtener más información, consulte Desasociar una configuración de las cuentas y OUs en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte la Referencia StartConfigurationPolicyDisassociation
de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlotag-resource
.
- AWS CLI
-
Para asignar una etiqueta a un recurso
En el siguiente
tag-resource
ejemplo, se asignan valores para las etiquetas de departamento y área al recurso central especificado.aws securityhub tag-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
\ --tags '{"Department":"Operations", "Area":"USMidwest"}
'Este comando no genera ninguna salida.
Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte TagResource
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarlountag-resource
.
- AWS CLI
-
Para eliminar el valor de una etiqueta de un recurso
En el siguiente
untag-resource
ejemplo, se elimina la etiqueta Department del recurso central especificado.aws securityhub untag-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
\ --tag-keys"Department"
Este comando no genera ninguna salida.
Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte UntagResource
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-action-target
.
- AWS CLI
-
Para actualizar una acción personalizada
En el siguiente
update-action-target
ejemplo, se actualiza el nombre de la acción personalizada identificada por la acción especificadaARN.aws securityhub update-action-target \ --action-target-arn
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
\ --name"Send to remediation"
Este comando no genera ninguna salida.
Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte UpdateActionTarget
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-configuration-policy
.
- AWS CLI
-
Para actualizar una política de configuración
En el siguiente
update-configuration-policy
ejemplo, se actualiza una política de configuración existente para usar los parámetros especificados.aws securityhub update-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"
\ --name"SampleConfigurationPolicyUpdated"
\ --description"SampleDescriptionUpdated"
\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}
' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"
Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }
Para obtener más información, consulte Actualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateConfigurationPolicy
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-finding-aggregator
.
- AWS CLI
-
Para actualizar la configuración de agregación de búsquedas actual
El siguiente
update-finding-aggregator
ejemplo cambia la configuración de agregación de búsqueda para vincular desde las regiones seleccionadas. Se ejecuta desde EE. UU. Este (Virginia), que es la región de agregación. Selecciona EE.UU. Oeste (Norte de California) y EE.UU. Oeste (Oregón) como regiones vinculadas.aws securityhub update-finding-aggregator \ --region
us-east-1
\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
\ --region-linking-modeSPECIFIED_REGIONS
\ --regionsus-west-1,us-west-2
Este comando no genera ninguna salida.
Para obtener más información, consulte Actualización de la configuración de agregación de búsqueda en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateFindingAggregator
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-insight
.
- AWS CLI
-
Ejemplo 1: Para cambiar el filtro para obtener una información personalizada
En el siguiente
update-insight
ejemplo, se cambian los filtros de una información personalizada. La información actualizada busca hallazgos de gran gravedad relacionados con las AWS funciones.aws securityhub update-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}
' \ --name"High severity role findings"
Ejemplo 2: Para cambiar el atributo de agrupación para obtener una información personalizada
En el siguiente
update-insight
ejemplo, se cambia el atributo de agrupación de la información personalizada por el especificado. ARN El nuevo atributo de agrupación es el ID del recurso.aws securityhub update-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
\ --group-by-attribute"ResourceId"
\ --name"Critical role findings"
Salida:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }
Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateInsight
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-organization-configuration
.
- AWS CLI
-
Para actualizar la configuración de Security Hub para una organización
El siguiente
update-organization-configuration
ejemplo especifica que Security Hub debe usar una configuración central para configurar una organización. Tras ejecutar este comando, el administrador delegado de Security Hub puede crear y gestionar políticas de configuración para configurar la organización. El administrador delegado también puede usar este comando para cambiar de la configuración central a la local. Si el tipo de configuración es la configuración local, el administrador delegado puede elegir si desea habilitar automáticamente Security Hub y los estándares de seguridad predeterminados en las nuevas cuentas de la organización.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '
{"ConfigurationType": "CENTRAL"}
'Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateOrganizationConfiguration
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-security-control
.
- AWS CLI
-
Para actualizar las propiedades del control de seguridad
En el siguiente
update-security-control
ejemplo, se especifican valores personalizados para un parámetro de control de seguridad de Security Hub.aws securityhub update-security-control \ --security-control-id
ACM.1
\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}
' \ --last-update-reason"Internal compliance requirement"
Este comando no genera ninguna salida.
Para obtener más información, consulte Parámetros de control personalizados en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateSecurityControl
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-security-hub-configuration
.
- AWS CLI
-
Para actualizar la configuración de Security Hub
El siguiente
update-security-hub-configuration
ejemplo configura Security Hub para habilitar automáticamente nuevos controles para los estándares habilitados.aws securityhub update-security-hub-configuration \ --auto-enable-controls
Este comando no genera ninguna salida.
Para obtener más información, consulte Habilitar nuevos controles automáticamente en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateSecurityHubConfiguration
la Referencia de AWS CLI comandos.
-
El siguiente ejemplo de código muestra cómo usarloupdate-standards-control
.
- AWS CLI
-
Ejemplo 1: Para deshabilitar un control
El siguiente
update-standards-control
ejemplo desactiva elPCI. AutoScaling1. Control.aws securityhub update-standards-control \ --standards-control-arn
"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"
\ --control-status"DISABLED"
\ --disabled-reason"Not applicable for my service"
Este comando no genera ninguna salida.
Ejemplo 2: Para habilitar un control
El siguiente
update-standards-control
ejemplo habilita elPCI. AutoScaling1. Control.aws securityhub update-standards-control \ --standards-control-arn
"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"
\ --control-status"ENABLED"
Este comando no genera ninguna salida.
Para obtener más información, consulte Deshabilitar y habilitar controles individuales en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte UpdateStandardsControl
la Referencia de AWS CLI comandos.
-