Ejemplos de Security Hub que utilizan AWS CLI - AWS Command Line Interface

Esta documentación es AWS CLI únicamente para la versión 1 de la versión. Para ver la documentación relacionada con la versión 2 de AWS CLI, consulte la Guía del usuario de la versión 2.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de Security Hub que utilizan AWS CLI

Los siguientes ejemplos de código muestran cómo realizar acciones e implementar escenarios comunes mediante el uso de AWS Command Line Interface with Security Hub.

Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las funciones de servicio individuales, es posible ver las acciones en contexto en los escenarios relacionados.

Cada ejemplo incluye un enlace al código fuente completo, donde puede encontrar instrucciones sobre cómo configurar y ejecutar el código en su contexto.

Acciones

El siguiente ejemplo de código muestra cómo usarloaccept-administrator-invitation.

AWS CLI

Para aceptar una invitación de una cuenta de administrador

El siguiente accept-administrator-invitation ejemplo acepta la invitación especificada de la cuenta de administrador especificada.

aws securityhub accept-invitation \ --administrator-id 123456789012 \ --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloaccept-invitation.

AWS CLI

Para aceptar una invitación de una cuenta de administrador

El siguiente accept-invitation ejemplo acepta la invitación especificada de la cuenta de administrador especificada.

aws securityhub accept-invitation \ --master-id 123456789012 \ --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte AcceptInvitationla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlobatch-delete-automation-rules.

AWS CLI

Para eliminar las reglas de automatización

En el siguiente batch-delete-automation-rules ejemplo, se elimina la regla de automatización especificada. Puede eliminar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.

aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'

Salida:

{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }

Para obtener más información, consulte Eliminar reglas de automatización en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlobatch-disable-standards.

AWS CLI

Para deshabilitar un estándar

En el siguiente batch-disable-standards ejemplo, se deshabilita el estándar asociado a la suscripción ARN especificada.

aws securityhub batch-disable-standards \ --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"

Salida:

{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }

Para obtener más información, consulte Deshabilitar o habilitar un estándar de seguridad en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlobatch-enable-standards.

AWS CLI

Para habilitar un estándar

El siguiente batch-enable-standards ejemplo habilita el PCI DSS estándar para la cuenta solicitante.

aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'

Salida:

{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }

Para obtener más información, consulte Deshabilitar o habilitar un estándar de seguridad en la Guía del usuario AWS de Security Hub.

  • Para API obtener más información, consulte BatchEnableStandardsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlobatch-get-automation-rules.

AWS CLI

Para obtener detalles de las reglas de automatización

En el siguiente batch-get-automation-rules ejemplo, se obtienen detalles de la regla de automatización especificada. Puede obtener detalles de una o más reglas de automatización con un solo comando.

aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'

Salida:

{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }

Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlobatch-get-configuration-policy-associations.

AWS CLI

Para obtener los detalles de la asociación de configuración de un lote de objetivos

En el siguiente batch-get-configuration-policy-associations ejemplo, se recuperan los detalles de la asociación de los objetivos especificados. Puedes proporcionar la cuentaIDs, la unidad IDs organizativa o el ID raíz del objetivo.

aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Salida:

{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }

Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlobatch-get-security-controls.

AWS CLI

Para obtener detalles de control de seguridad

En el siguiente batch-get-security-controls ejemplo, se obtienen los detalles de los controles de seguridad ACM IAM .1 y .1 de la AWS cuenta corriente y AWS la región.

aws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'

Salida:

{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }

Para obtener más información, consulte Visualización de los detalles de un control en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlobatch-get-standards-control-associations.

AWS CLI

Para obtener el estado de activación de un control

El siguiente batch-get-standards-control-associations ejemplo identifica si los controles especificados están habilitados en los estándares especificados.

aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'

Salida:

{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }

Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlobatch-import-findings.

AWS CLI

Para actualizar un hallazgo

En el batch-import-findings ejemplo siguiente se actualiza un hallazgo.

aws securityhub batch-import-findings \ --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'

Salida:

{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }

Para obtener más información, consulte Uso BatchImportFindings para crear y actualizar hallazgos en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte BatchImportFindingsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlobatch-update-automation-rules.

AWS CLI

Para actualizar las reglas de automatización

En el siguiente batch-update-automation-rules ejemplo, se actualiza la regla de automatización especificada. Puede actualizar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.

aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'

Salida:

{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }

Para obtener más información, consulte Edición de reglas de automatización en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlobatch-update-findings.

AWS CLI

Ejemplo 1: Para actualizar un hallazgo

En el siguiente batch-update-findings ejemplo, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos.

aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'

Salida:

{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }

Para obtener más información, consulte Uso BatchUpdateFindings para actualizar un hallazgo en la Guía del usuario de AWS Security Hub.

Ejemplo 2: Para actualizar un hallazgo mediante una sintaxis abreviada

En el siguiente batch-update-findings ejemplo, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos mediante una sintaxis abreviada.

aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"

Salida:

{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }

Para obtener más información, consulte Uso BatchUpdateFindings para actualizar un hallazgo en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte BatchUpdateFindingsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlobatch-update-standards-control-associations.

AWS CLI

Para actualizar el estado de activación de un control en los estándares habilitados

El siguiente batch-update-standards-control-associations ejemplo desactiva CloudTrail .1 en los estándares especificados.

aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

Este comando no genera ninguna salida si se realiza correctamente.

Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos y Habilitar y deshabilitar controles en todos los estándares en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlocreate-action-target.

AWS CLI

Para crear una acción personalizada

En el siguiente create-action-target ejemplo, se crea una acción personalizada. Proporciona el nombre, la descripción y el identificador de la acción.

aws securityhub create-action-target \ --name "Send to remediation" \ --description "Action to send the finding for remediation tracking" \ --id "Remediation"

Salida:

{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }

Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.

  • Para API obtener más información, consulte CreateActionTargetla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlocreate-automation-rule.

AWS CLI

Para crear una regla de automatización

En el siguiente create-automation-rule ejemplo, se crea una regla de automatización en la AWS cuenta corriente y en AWS la región. Security Hub filtra sus hallazgos en función de los criterios especificados y aplica las acciones a los hallazgos coincidentes. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.

aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description "A sample rule" \ --no-is-terminal \ --rule-name "sample rule" \ --rule-order 1 \ --rule-status "ENABLED"

Salida:

{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }

Para obtener más información, consulte Creación de reglas de automatización en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte CreateAutomationRulela Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlocreate-configuration-policy.

AWS CLI

Para crear una política de configuración

En el siguiente create-configuration-policy ejemplo, se crea una política de configuración con los parámetros especificados.

aws securityhub create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "SampleDescription" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'

Salida:

{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }

Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlocreate-finding-aggregator.

AWS CLI

Para habilitar la búsqueda de agregación

El siguiente create-finding-aggregator ejemplo configura la búsqueda de la agregación. Se ejecuta desde EE. UU. Este (Virginia), que designa EE. UU. Este (Virginia) como región de agregación. Indica que solo se deben vincular regiones específicas y que no se deben vincular automáticamente regiones nuevas. Selecciona EE.UU. Oeste (Norte de California) y EE.UU. Oeste (Oregón) como regiones vinculadas.

aws securityhub create-finding-aggregator \ --region us-east-1 \ --region-linking-mode SPECIFIED_REGIONS \ --regions us-west-1,us-west-2

Salida:

{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }

Para obtener más información, consulte Habilitar la búsqueda de agregación en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlocreate-insight.

AWS CLI

Para crear una información personalizada

En el siguiente create-insight ejemplo, se crea una información personalizada denominada Critical role Findings que devuelve las conclusiones críticas relacionadas con las AWS funciones.

aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute "ResourceId" \ --name "Critical role findings"

Salida:

{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }

Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte CreateInsightla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlocreate-members.

AWS CLI

Para añadir cuentas como cuentas de miembros

En el siguiente create-members ejemplo, se agregan dos cuentas como cuentas de miembro a la cuenta de administrador solicitante.

aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'

Salida:

{ "UnprocessedAccounts": [] }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte CreateMembersla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodecline-invitations.

AWS CLI

Para rechazar una invitación a ser miembro de una cuenta

En el siguiente decline-invitations ejemplo, se rechaza una invitación a ser miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.

aws securityhub decline-invitations \ --account-ids "123456789012"

Salida:

{ "UnprocessedAccounts": [] }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte DeclineInvitationsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodelete-action-target.

AWS CLI

Para eliminar una acción personalizada

En el siguiente delete-action-target ejemplo, se elimina la acción personalizada identificada por la acción especificadaARN.

aws securityhub delete-action-target \ --action-target-arn "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"

Salida:

{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }

Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.

  • Para API obtener más información, consulte DeleteActionTargetla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodelete-configuration-policy.

AWS CLI

Eliminación de una política de configuración

En el siguiente delete-configuration-policy ejemplo, se elimina la política de configuración especificada.

aws securityhub delete-configuration-policy \ --identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Este comando no genera ninguna salida.

Para obtener más información, consulte Eliminar y desasociar las políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlodelete-finding-aggregator.

AWS CLI

Para dejar de buscar agregación

El siguiente delete-finding-aggregator ejemplo deja de buscar la agregación. Se ejecuta desde EE. UU. Este (Virginia), que es la región de agregación.

aws securityhub delete-finding-aggregator \ --region us-east-1 \ --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000

Este comando no genera ninguna salida.

Para obtener más información, consulte Dejar de buscar agregación en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlodelete-insight.

AWS CLI

Para eliminar una información personalizada

En el siguiente delete-insight ejemplo, se elimina la información personalizada con la especificadaARN.

aws securityhub delete-insight \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Salida:

{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }

Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte DeleteInsightla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodelete-invitations.

AWS CLI

Para eliminar una invitación a ser miembro de una cuenta

En el siguiente delete-invitations ejemplo, se elimina una invitación a ser miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.

aws securityhub delete-invitations \ --account-ids "123456789012"

Salida:

{ "UnprocessedAccounts": [] }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte DeleteInvitationsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodelete-members.

AWS CLI

Para eliminar las cuentas de los miembros

En el siguiente delete-members ejemplo, se eliminan las cuentas de miembro especificadas de la cuenta de administrador solicitante.

aws securityhub delete-members \ --account-ids "123456789111" "123456789222"

Salida:

{ "UnprocessedAccounts": [] }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte DeleteMembersla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodescribe-action-targets.

AWS CLI

Para recuperar detalles sobre las acciones personalizadas

En el siguiente describe-action-targets ejemplo, se recupera información sobre la acción personalizada identificada por la especificadaARN.

aws securityhub describe-action-targets \ --action-target-arns "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"

Salida:

{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }

Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlodescribe-hub.

AWS CLI

Para obtener información sobre un recurso central

En el siguiente describe-hub ejemplo, se devuelve la fecha de suscripción del recurso hub especificado. El recurso hub se identifica por suARN.

aws securityhub describe-hub \ --hub-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default"

Salida:

{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }

Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.

  • Para API obtener más información, consulte DescribeHubla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodescribe-organization-configuration.

AWS CLI

Para ver cómo se configura Security Hub para una organización

El siguiente describe-organization-configuration ejemplo devuelve información sobre la forma en que se configura una organización en Security Hub. En este ejemplo, la organización utiliza la configuración central. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.

aws securityhub describe-organization-configuration

Salida:

{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }

Para obtener más información, consulte Administrar cuentas con AWS Organizations en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlodescribe-products.

AWS CLI

Para devolver información sobre las integraciones de productos disponibles

En el siguiente describe-products ejemplo, se devuelven las integraciones de productos disponibles de una en una.

aws securityhub describe-products \ --max-results 1

Salida:

{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }

Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.

  • Para API obtener más información, consulte DescribeProductsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodescribe-standards-controls.

AWS CLI

Para solicitar la lista de controles de un estándar habilitado

En el siguiente describe-standards-controls ejemplo, se solicita la lista de controles de la suscripción de la cuenta solicitante al PCI DSS estándar. La solicitud devuelve dos controles a la vez.

aws securityhub describe-standards-controls \ --standards-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" \ --max-results 2

Salida:

{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }

Para obtener más información, consulte Visualización de los detalles de los controles en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlodescribe-standards.

AWS CLI

Para devolver una lista de los estándares disponibles

El siguiente describe-standards ejemplo devuelve la lista de normas disponibles.

aws securityhub describe-standards

Salida:

{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }

Para obtener más información, consulte los estándares de AWS seguridad de Security Hub en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte DescribeStandardsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodisable-import-findings-for-product.

AWS CLI

Para dejar de recibir los resultados de la integración de un producto

El siguiente disable-import-findings-for-product ejemplo desactiva el flujo de resultados para la suscripción especificada a una integración de productos.

aws securityhub disable-import-findings-for-product \ --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"

Este comando no genera ninguna salida.

Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlodisable-organization-admin-account.

AWS CLI

Para eliminar una cuenta de administrador de Security Hub

En el siguiente disable-organization-admin-account ejemplo, se revoca la asignación de la cuenta especificada como cuenta de administrador de Security Hub para AWS Organizations.

aws securityhub disable-organization-admin-account \ --admin-account-id 777788889999

Este comando no genera ninguna salida.

Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlodisable-security-hub.

AWS CLI

Para deshabilitar AWS Security Hub

En el siguiente disable-security-hub ejemplo, se deshabilita AWS Security Hub para la cuenta solicitante.

aws securityhub disable-security-hub

Este comando no genera ninguna salida.

Para obtener más información, consulte Desactivación del AWS Security Hub en la Guía del usuario del AWS Security Hub.

  • Para API obtener más información, consulte DisableSecurityHubla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlodisassociate-from-administrator-account.

AWS CLI

Para desasociarse de una cuenta de administrador

El siguiente disassociate-from-administrator-account ejemplo desvincula la cuenta solicitante de su cuenta de administrador actual.

aws securityhub disassociate-from-administrator-account

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlodisassociate-from-master-account.

AWS CLI

Para desasociarse de una cuenta de administrador

El siguiente disassociate-from-master-account ejemplo desvincula la cuenta solicitante de su cuenta de administrador actual.

aws securityhub disassociate-from-master-account

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlodisassociate-members.

AWS CLI

Desasociación de cuentas de miembros

El siguiente disassociate-members ejemplo desasocia las cuentas de los miembros especificadas de la cuenta de administrador solicitante.

aws securityhub disassociate-members \ --account-ids "123456789111" "123456789222"

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte DisassociateMembersla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloenable-import-findings-for-product.

AWS CLI

Para empezar a recibir los resultados de la integración de un producto

El siguiente enable-import-findings-for-product ejemplo permite el flujo de los resultados de la integración de productos especificada.

aws securityhub enable-import-findings-for-product \ --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"

Salida:

{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }

Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarloenable-organization-admin-account.

AWS CLI

Para designar una cuenta de organización como cuenta de administrador de Security Hub

En el siguiente enable-organization-admin-account ejemplo, se designa la cuenta especificada como cuenta de administrador de Security Hub.

aws securityhub enable-organization-admin-account \ --admin-account-id 777788889999

Este comando no genera ninguna salida.

Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarloenable-security-hub.

AWS CLI

Para habilitar AWS Security Hub

El siguiente enable-security-hub ejemplo habilita AWS Security Hub para la cuenta solicitante. Configura Security Hub para habilitar los estándares predeterminados. En el caso del recurso hub, asigna el valor Security a la etiqueta. Department

aws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'

Este comando no genera ninguna salida.

Para obtener más información, consulte Habilitar Security Hub en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte EnableSecurityHubla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-administrator-account.

AWS CLI

Para recuperar información sobre una cuenta de administrador

En el siguiente get-administrator-account ejemplo, se recupera información sobre la cuenta de administrador de la cuenta solicitante.

aws securityhub get-administrator-account

Salida:

{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloget-configuration-policy-association.

AWS CLI

Para obtener los detalles de la asociación de configuración de un objetivo

En el siguiente get-configuration-policy-association ejemplo, se recuperan los detalles de la asociación del objetivo especificado. Puedes proporcionar un identificador de cuenta, un identificador de unidad organizativa o el identificador raíz del objetivo.

aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Salida:

{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }

Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloget-configuration-policy.

AWS CLI

Para ver los detalles de la política de configuración

En el siguiente get-configuration-policy ejemplo, se recuperan los detalles sobre la política de configuración especificada.

aws securityhub get-configuration-policy \ --identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Salida:

{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }

Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloget-enabled-standards.

AWS CLI

Para recuperar información sobre un estándar habilitado

En el siguiente get-enabled-standards ejemplo, se recupera información sobre el PCI DSS estándar.

aws securityhub get-enabled-standards \ --standards-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"

Salida:

{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }

Para obtener más información, consulte los estándares de AWS seguridad de Security Hub en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetEnabledStandardsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-finding-aggregator.

AWS CLI

Para recuperar la configuración de agregación de búsquedas actual

En el siguiente get-finding-aggregator ejemplo, se recupera la configuración de agregación de búsquedas actual.

aws securityhub get-finding-aggregator \ --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000

Salida:

{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }

Para obtener más información, consulte Visualización de la configuración de agregación de búsquedas actual en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetFindingAggregatorla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-finding-history.

AWS CLI

Para obtener el historial de búsquedas

En el siguiente get-finding-history ejemplo, se actualiza el historial de los últimos 90 días del hallazgo especificado. En este ejemplo, los resultados se limitan a dos registros del historial de búsquedas.

aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"

Salida:

{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }

Para obtener más información, consulte Búsqueda del historial en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetFindingHistoryla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-findings.

AWS CLI

Ejemplo 1: Para devolver los resultados generados para un estándar específico

El siguiente get-findings ejemplo devuelve los resultados de la PCI DSS norma.

aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items 1

Salida:

{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }

Ejemplo 2: Para devolver hallazgos de gravedad crítica con un estado de flujo de trabajo de NOTIFIED

En el siguiente get-findings ejemplo, se muestran los resultados que tienen un valor de etiqueta de gravedad de CRITICAL y un estado de flujo de trabajo de. NOTIFIED Los resultados se ordenan en orden descendente según el valor de Confidence.

aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items 1

Salida:

{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }

Para obtener más información, consulte los resultados de filtrado y agrupamiento en la Guía del usuario AWS de Security Hub.

  • Para API obtener más información, consulte GetFindingsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-insight-results.

AWS CLI

Para recuperar los resultados y obtener información

En el siguiente get-insight-results ejemplo, se devuelve la lista de resultados de la información con la información especificadaARN.

aws securityhub get-insight-results \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Salida:

{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }

Para obtener más información, consulte Visualización de los resultados y hallazgos de insights y tomar medidas al respecto en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetInsightResultsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-insights.

AWS CLI

Para recuperar detalles sobre una información

En el siguiente get-insights ejemplo, se recuperan los detalles de configuración de la información con lo especificadoARN.

aws securityhub get-insights \ --insight-arns "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Salida:

{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }

Para obtener más información, consulte Insights in AWS Security Hub en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetInsightsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-invitations-count.

AWS CLI

Para recuperar el número de invitaciones que no se aceptaron

En el siguiente get-invitations-count ejemplo, se recupera el número de invitaciones que la cuenta solicitante rechazó o a las que no respondió.

aws securityhub get-invitations-count

Salida:

{ "InvitationsCount": 3 }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetInvitationsCountla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-master-account.

AWS CLI

Para recuperar información sobre una cuenta de administrador

En el siguiente get-master-account ejemplo, se recupera información sobre la cuenta de administrador de la cuenta solicitante.

aws securityhub get-master-account

Salida:

{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetMasterAccountla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-members.

AWS CLI

Para recuperar información sobre las cuentas de los miembros seleccionadas

En el siguiente get-members ejemplo, se recupera información sobre las cuentas de los miembros especificadas.

aws securityhub get-members \ --account-ids "444455556666" "777788889999"

Salida:

{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte GetMembersla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloget-security-control-definition.

AWS CLI

Para obtener los detalles de la definición del control de seguridad

En el siguiente get-security-control-definition ejemplo, se recuperan los detalles de la definición de un control de seguridad de Security Hub. Los detalles incluyen el título del control, la descripción, la disponibilidad regional, los parámetros y otra información.

aws securityhub get-security-control-definition \ --security-control-id ACM.1

Salida:

{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }

Para obtener más información, consulte Parámetros de control personalizados en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloinvite-members.

AWS CLI

Para enviar invitaciones a las cuentas de los miembros

En el siguiente invite-members ejemplo, se envían invitaciones a las cuentas de los miembros especificadas.

aws securityhub invite-members \ --account-ids "123456789111" "123456789222"

Salida:

{ "UnprocessedAccounts": [] }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte InviteMembersla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlolist-automation-rules.

AWS CLI

Para ver una lista de reglas de automatización

En el siguiente list-automation-rules ejemplo, se enumeran las reglas de automatización de una AWS cuenta. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.

aws securityhub list-automation-rules \ --max-results 3 \ --next-token NULL

Salida:

{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }

Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte ListAutomationRulesla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlolist-configuration-policies.

AWS CLI

Para enumerar los resúmenes de las políticas de configuración

En el siguiente list-configuration-policies ejemplo, se muestra un resumen de las políticas de configuración de la organización.

aws securityhub list-configuration-policies \ --max-items 3

Salida:

{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }

Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlolist-configuration-policy-associations.

AWS CLI

Para enumerar las asociaciones de configuración

En el siguiente list-configuration-policy-associations ejemplo, se muestra un resumen de las asociaciones de configuración de la organización. La respuesta incluye asociaciones con las políticas de configuración y el comportamiento autogestionado.

aws securityhub list-configuration-policy-associations \ --association-type "APPLIED" \ --max-items 4

Salida:

{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }

Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlolist-enabled-products-for-import.

AWS CLI

Para devolver la lista de integraciones de productos habilitadas

En el siguiente list-enabled-products-for-import ejemplo, se devuelve la lista de suscripciones de ARNS las integraciones de productos actualmente habilitadas.

aws securityhub list-enabled-products-for-import

Salida:

{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }

Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlolist-finding-aggregators.

AWS CLI

Para enumerar los widgets disponibles

El siguiente list-finding-aggregators ejemplo devuelve la configuración ARN de agregación de búsquedas.

aws securityhub list-finding-aggregators

Salida:

{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }

Para obtener más información, consulte Visualización de la configuración de agregación de búsquedas actual en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlolist-invitations.

AWS CLI

Para mostrar una lista de invitaciones

En el siguiente list-invitations ejemplo, se recupera la lista de invitaciones enviadas a la cuenta solicitante.

aws securityhub list-invitations

Salida:

{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte ListInvitationsla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlolist-members.

AWS CLI

Para recuperar una lista de las cuentas de los miembros

En el siguiente list-members ejemplo, se devuelve la lista de cuentas de miembro de la cuenta de administrador solicitante.

aws securityhub list-members

Salida:

{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }

Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte ListMembersla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlolist-organization-admin-accounts.

AWS CLI

Para enumerar las cuentas de administrador de Security Hub designadas

En el siguiente list-organization-admin-accounts ejemplo, se enumeran las cuentas de administrador de Security Hub de una organización.

aws securityhub list-organization-admin-accounts

Salida:

{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }

Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlolist-security-control-definitions.

AWS CLI

Ejemplo 1: Para enumerar todos los controles de seguridad disponibles

En el siguiente list-security-control-definitions ejemplo, se enumeran los controles de seguridad disponibles en todos los estándares de Security Hub. En este ejemplo, se limitan los resultados a tres controles.

aws securityhub list-security-control-definitions \ --max-items 3

Salida:

{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }

Para obtener más información, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.

Ejemplo 2: Para enumerar los controles de seguridad disponibles para un estándar específico

En el siguiente list-security-control-definitions ejemplo, se enumeran los controles de seguridad disponibles para la versión 1.4.0 de CIS AWS Foundations Benchmark. Este ejemplo limita los resultados a tres controles.

aws securityhub list-security-control-definitions \ --standards-arn "arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0" \ --max-items 3

Salida:

{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }

Para obtener más información, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarlolist-standards-control-associations.

AWS CLI

Para obtener el estado de activación de un control en cada estándar habilitado

En el siguiente list-standards-control-associations ejemplo, se muestra el estado de activación de CloudTrail .1 en cada estándar habilitado.

aws securityhub list-standards-control-associations \ --security-control-id CloudTrail.1

Salida:

{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }

Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlolist-tags-for-resource.

AWS CLI

Para recuperar las etiquetas asignadas a un recurso

En el siguiente list-tags-for-resource ejemplo, se devuelven las etiquetas asignadas al recurso central especificado.

aws securityhub list-tags-for-resource \ --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default"

Salida:

{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }

Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.

  • Para API obtener más información, consulte ListTagsForResourcela Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlostart-configuration-policy-association.

AWS CLI

Ejemplo 1: Para asociar una política de configuración

El siguiente start-configuration-policy-association ejemplo asocia la política de configuración especificada a la unidad organizativa especificada. Una configuración puede estar asociada a una cuenta de destino, a una unidad organizativa o a la raíz.

aws securityhub start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Salida:

{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }

Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.

Ejemplo 2: Para asociar una configuración autogestionada

El siguiente start-configuration-policy-association ejemplo asocia una configuración autogestionada a la cuenta especificada.

aws securityhub start-configuration-policy-association \ --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \ --target '{"OrganizationalUnitId": "123456789012"}'

Salida:

{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }

Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlostart-configuration-policy-disassociation.

AWS CLI

Ejemplo 1: Para desasociar una política de configuración

En el siguiente start-configuration-policy-disassociation ejemplo, se disocia una política de configuración de la unidad organizativa especificada. Una configuración puede estar disociada de una cuenta de destino, de una unidad organizativa o de la raíz.

aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Este comando no genera ninguna salida.

Para obtener más información, consulte Desasociar una configuración de las cuentas y OUs en la Guía del usuario AWS de Security Hub.

Ejemplo 2: Para desasociar una configuración autogestionada

El siguiente start-configuration-policy-disassociation ejemplo desasocia una configuración autogestionada de la cuenta especificada.

aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \ --target '{"AccountId": "123456789012"}'

Este comando no genera ninguna salida.

Para obtener más información, consulte Desasociar una configuración de las cuentas y OUs en la Guía del usuario AWS de Security Hub.

El siguiente ejemplo de código muestra cómo usarlotag-resource.

AWS CLI

Para asignar una etiqueta a un recurso

En el siguiente tag-resource ejemplo, se asignan valores para las etiquetas de departamento y área al recurso central especificado.

aws securityhub tag-resource \ --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default" \ --tags '{"Department":"Operations", "Area":"USMidwest"}'

Este comando no genera ninguna salida.

Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.

  • Para API obtener más información, consulte TagResourcela Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarlountag-resource.

AWS CLI

Para eliminar el valor de una etiqueta de un recurso

En el siguiente untag-resource ejemplo, se elimina la etiqueta Department del recurso central especificado.

aws securityhub untag-resource \ --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default" \ --tag-keys "Department"

Este comando no genera ninguna salida.

Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.

  • Para API obtener más información, consulte UntagResourcela Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloupdate-action-target.

AWS CLI

Para actualizar una acción personalizada

En el siguiente update-action-target ejemplo, se actualiza el nombre de la acción personalizada identificada por la acción especificadaARN.

aws securityhub update-action-target \ --action-target-arn "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" \ --name "Send to remediation"

Este comando no genera ninguna salida.

Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.

  • Para API obtener más información, consulte UpdateActionTargetla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloupdate-configuration-policy.

AWS CLI

Para actualizar una política de configuración

En el siguiente update-configuration-policy ejemplo, se actualiza una política de configuración existente para usar los parámetros especificados.

aws securityhub update-configuration-policy \ --identifier "arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e" \ --name "SampleConfigurationPolicyUpdated" \ --description "SampleDescriptionUpdated" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason "Disabling CloudWatch.1 and changing parameter value"

Salida:

{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }

Para obtener más información, consulte Actualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloupdate-finding-aggregator.

AWS CLI

Para actualizar la configuración de agregación de búsquedas actual

El siguiente update-finding-aggregator ejemplo cambia la configuración de agregación de búsqueda para vincular desde las regiones seleccionadas. Se ejecuta desde EE. UU. Este (Virginia), que es la región de agregación. Selecciona EE.UU. Oeste (Norte de California) y EE.UU. Oeste (Oregón) como regiones vinculadas.

aws securityhub update-finding-aggregator \ --region us-east-1 \ --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 \ --region-linking-mode SPECIFIED_REGIONS \ --regions us-west-1,us-west-2

Este comando no genera ninguna salida.

Para obtener más información, consulte Actualización de la configuración de agregación de búsqueda en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloupdate-insight.

AWS CLI

Ejemplo 1: Para cambiar el filtro para obtener una información personalizada

En el siguiente update-insight ejemplo, se cambian los filtros de una información personalizada. La información actualizada busca hallazgos de gran gravedad relacionados con las AWS funciones.

aws securityhub update-insight \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name "High severity role findings"

Ejemplo 2: Para cambiar el atributo de agrupación para obtener una información personalizada

En el siguiente update-insight ejemplo, se cambia el atributo de agrupación de la información personalizada por el especificado. ARN El nuevo atributo de agrupación es el ID del recurso.

aws securityhub update-insight \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --group-by-attribute "ResourceId" \ --name "Critical role findings"

Salida:

{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }

Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.

  • Para API obtener más información, consulte UpdateInsightla Referencia de AWS CLI comandos.

El siguiente ejemplo de código muestra cómo usarloupdate-organization-configuration.

AWS CLI

Para actualizar la configuración de Security Hub para una organización

El siguiente update-organization-configuration ejemplo especifica que Security Hub debe usar una configuración central para configurar una organización. Tras ejecutar este comando, el administrador delegado de Security Hub puede crear y gestionar políticas de configuración para configurar la organización. El administrador delegado también puede usar este comando para cambiar de la configuración central a la local. Si el tipo de configuración es la configuración local, el administrador delegado puede elegir si desea habilitar automáticamente Security Hub y los estándares de seguridad predeterminados en las nuevas cuentas de la organización.

aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'

Este comando no genera ninguna salida.

Para obtener más información, consulte Administrar cuentas con AWS Organizations en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloupdate-security-control.

AWS CLI

Para actualizar las propiedades del control de seguridad

En el siguiente update-security-control ejemplo, se especifican valores personalizados para un parámetro de control de seguridad de Security Hub.

aws securityhub update-security-control \ --security-control-id ACM.1 \ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason "Internal compliance requirement"

Este comando no genera ninguna salida.

Para obtener más información, consulte Parámetros de control personalizados en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloupdate-security-hub-configuration.

AWS CLI

Para actualizar la configuración de Security Hub

El siguiente update-security-hub-configuration ejemplo configura Security Hub para habilitar automáticamente nuevos controles para los estándares habilitados.

aws securityhub update-security-hub-configuration \ --auto-enable-controls

Este comando no genera ninguna salida.

Para obtener más información, consulte Habilitar nuevos controles automáticamente en la Guía del usuario de AWS Security Hub.

El siguiente ejemplo de código muestra cómo usarloupdate-standards-control.

AWS CLI

Ejemplo 1: Para deshabilitar un control

El siguiente update-standards-control ejemplo desactiva elPCI. AutoScaling1. Control.

aws securityhub update-standards-control \ --standards-control-arn "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1" \ --control-status "DISABLED" \ --disabled-reason "Not applicable for my service"

Este comando no genera ninguna salida.

Ejemplo 2: Para habilitar un control

El siguiente update-standards-control ejemplo habilita elPCI. AutoScaling1. Control.

aws securityhub update-standards-control \ --standards-control-arn "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1" \ --control-status "ENABLED"

Este comando no genera ninguna salida.

Para obtener más información, consulte Deshabilitar y habilitar controles individuales en la Guía del usuario AWS de Security Hub.