Hay más AWS SDK ejemplos disponibles en el GitHub repositorio de AWS Doc SDK Examples
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de Security Hub que utilizan AWS CLI
Los siguientes ejemplos de código muestran cómo realizar acciones e implementar escenarios comunes mediante el uso de AWS Command Line Interface with Security Hub.
Las acciones son extractos de código de programas más grandes y deben ejecutarse en contexto. Mientras las acciones muestran cómo llamar a las funciones de servicio individuales, es posible ver las acciones en contexto en los escenarios relacionados.
Cada ejemplo incluye un enlace al código fuente completo, donde puede encontrar instrucciones sobre cómo configurar y ejecutar el código en su contexto.
Temas
Acciones
En el siguiente ejemplo de código se muestra cómo usar accept-administrator-invitation.
- AWS CLI
-
Para aceptar una invitación de una cuenta de administrador
El siguiente
accept-administrator-invitationejemplo acepta la invitación especificada de la cuenta de administrador especificada.aws securityhub accept-invitation \ --administrator-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebEste comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte AcceptAdministratorInvitation
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar accept-invitation.
- AWS CLI
-
Para aceptar una invitación de una cuenta de administrador
El siguiente
accept-invitationejemplo acepta la invitación especificada de la cuenta de administrador especificada.aws securityhub accept-invitation \ --master-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebEste comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte AcceptInvitation
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-delete-automation-rules.
- AWS CLI
-
Para eliminar reglas de automatización
En el siguiente
batch-delete-automation-rulesejemplo, se elimina la regla de automatización especificada. Puede eliminar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Salida:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Para obtener más información, consulte Eliminar reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchDeleteAutomationRules
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-disable-standards.
- AWS CLI
-
Para deshabilitar un estándar
En el siguiente
batch-disable-standardsejemplo, se deshabilita el estándar asociado a la suscripción ARN especificada.aws securityhub batch-disable-standards \ --standards-subscription-arns"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obtener más información, consulte Deshabilitar o habilitar un estándar de seguridad en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte BatchDisableStandards
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-enable-standards.
- AWS CLI
-
Para habilitar un estándar
El siguiente
batch-enable-standardsejemplo habilita el PCI DSS estándar para la cuenta solicitante.aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obtener más información, consulte Deshabilitar o habilitar un estándar de seguridad en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte BatchEnableStandards
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-get-automation-rules.
- AWS CLI
-
Para obtener detalles sobre las reglas de automatización
En el siguiente
batch-get-automation-rulesejemplo, se obtienen detalles de la regla de automatización especificada. Puede obtener detalles de una o más reglas de automatización con un solo comando.aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Salida:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchGetAutomationRules
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-get-configuration-policy-associations.
- AWS CLI
-
Para obtener los detalles de la asociación de configuración de un lote de objetivos
En el siguiente
batch-get-configuration-policy-associationsejemplo, se recuperan los detalles de la asociación de los objetivos especificados. Puedes proporcionar la cuentaIDs, la unidad IDs organizativa o el ID raíz del objetivo.aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchGetConfigurationPolicyAssociations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-get-security-controls.
- AWS CLI
-
Para obtener los detalles del control de seguridad
En el siguiente
batch-get-security-controlsejemplo, se obtienen los detalles de los controles de seguridad ACM IAM .1 y .1 de la AWS cuenta corriente y AWS la región.aws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'Salida:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }Para obtener más información, consulte Visualización de los detalles de un control en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchGetSecurityControls
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-get-standards-control-associations.
- AWS CLI
-
Para obtener el estado de activación de un control
El siguiente
batch-get-standards-control-associationsejemplo identifica si los controles especificados están habilitados en las normas especificadas.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'Salida:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte BatchGetStandardsControlAssociations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-import-findings.
- AWS CLI
-
Para actualizar un hallazgo
En el
batch-import-findingsejemplo siguiente se actualiza un hallazgo.aws securityhub batch-import-findings \ --findings '[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'Salida:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }Para obtener más información, consulte Uso BatchImportFindings para crear y actualizar hallazgos en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchImportFindings
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-update-automation-rules.
- AWS CLI
-
Para actualizar las reglas de automatización
En el siguiente
batch-update-automation-rulesejemplo, se actualiza la regla de automatización especificada. Puede actualizar una o más reglas con un solo comando. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'Salida:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Para obtener más información, consulte Edición de reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchUpdateAutomationRules
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-update-findings.
- AWS CLI
-
Ejemplo 1: Para actualizar un hallazgo
En el siguiente
batch-update-findingsejemplo, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos.aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'Salida:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Para obtener más información, consulte Uso BatchUpdateFindings para actualizar un hallazgo en la Guía del usuario de AWS Security Hub.
Ejemplo 2: Para actualizar un hallazgo mediante una sintaxis abreviada
En el siguiente
batch-update-findingsejemplo, se actualizan dos resultados para añadir una nota, cambiar la etiqueta de gravedad y resolverlos mediante una sintaxis abreviada.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"Salida:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Para obtener más información, consulte Uso BatchUpdateFindings para actualizar un hallazgo en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte BatchUpdateFindings
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar batch-update-standards-control-associations.
- AWS CLI
-
Para actualizar el estado de activación de un control en los estándares habilitados
El siguiente
batch-update-standards-control-associationsejemplo desactiva CloudTrail .1 en los estándares especificados.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'Este comando no genera ninguna salida si se realiza correctamente.
Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos y Habilitar y deshabilitar controles en todos los estándares en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte la Referencia BatchUpdateStandardsControlAssociations
de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar create-action-target.
- AWS CLI
-
Para crear una acción personalizada
En el siguiente
create-action-targetejemplo, se crea una acción personalizada. Proporciona el nombre, la descripción y el identificador de la acción.aws securityhub create-action-target \ --name"Send to remediation"\ --description"Action to send the finding for remediation tracking"\ --id"Remediation"Salida:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte CreateActionTarget
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar create-automation-rule.
- AWS CLI
-
Para crear una regla de automatización
En el siguiente
create-automation-ruleejemplo, se crea una regla de automatización en la AWS cuenta corriente y en AWS la región. Security Hub filtra sus hallazgos en función de los criterios especificados y aplica las acciones a los hallazgos coincidentes. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description"A sample rule"\ --no-is-terminal \ --rule-name"sample rule"\ --rule-order1\ --rule-status"ENABLED"Salida:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obtener más información, consulte Creación de reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateAutomationRule
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar create-configuration-policy.
- AWS CLI
-
Para crear una política de configuración
En el siguiente
create-configuration-policyejemplo, se crea una política de configuración con los parámetros especificados.aws securityhub create-configuration-policy \ --name"SampleConfigurationPolicy"\ --description"SampleDescription"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte CreateConfigurationPolicy
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar create-finding-aggregator.
- AWS CLI
-
Para habilitar la búsqueda de agregación
El siguiente
create-finding-aggregatorejemplo configura la búsqueda de la agregación. Se ejecuta desde EE. UU. Este (Virginia), que designa EE. UU. Este (Virginia) como región de agregación. Indica que solo se deben vincular regiones especificadas y que no se deben vincular automáticamente regiones nuevas. Selecciona EE.UU. Oeste (Norte de California) y EE.UU. Oeste (Oregón) como regiones vinculadas.aws securityhub create-finding-aggregator \ --regionus-east-1\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Salida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Para obtener más información, consulte Habilitar la búsqueda de agregación en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateFindingAggregator
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar create-insight.
- AWS CLI
-
Para crear una visión personalizada
En el siguiente
create-insightejemplo, se crea una información personalizada denominada Critical role Findings que devuelve las conclusiones críticas relacionadas con las AWS funciones.aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute"ResourceId"\ --name"Critical role findings"Salida:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateInsight
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar create-members.
- AWS CLI
-
Para añadir cuentas como cuentas de miembros
En el siguiente
create-membersejemplo, se agregan dos cuentas como cuentas de miembro a la cuenta de administrador solicitante.aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'Salida:
{ "UnprocessedAccounts": [] }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte CreateMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar decline-invitations.
- AWS CLI
-
Para rechazar una invitación a ser miembro de una cuenta
En el siguiente
decline-invitationsejemplo, se rechaza una invitación a ser miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.aws securityhub decline-invitations \ --account-ids"123456789012"Salida:
{ "UnprocessedAccounts": [] }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeclineInvitations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar delete-action-target.
- AWS CLI
-
Para eliminar una acción personalizada
En el siguiente
delete-action-targetejemplo, se elimina la acción personalizada identificada por la acción especificadaARN.aws securityhub delete-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Salida:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DeleteActionTarget
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar delete-configuration-policy.
- AWS CLI
-
Eliminación de una política de configuración
El siguiente
delete-configuration-policyejemplo elimina la política de configuración especificada.aws securityhub delete-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Este comando no genera ninguna salida.
Para obtener más información, consulte Eliminar y desasociar las políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte la Referencia DeleteConfigurationPolicy
de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar delete-finding-aggregator.
- AWS CLI
-
Para dejar de buscar agregación
El siguiente
delete-finding-aggregatorejemplo deja de buscar la agregación. Se ejecuta desde EE. UU. Este (Virginia), que es la región de agregación.aws securityhub delete-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Este comando no genera ninguna salida.
Para obtener más información, consulte Dejar de buscar agregación en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteFindingAggregator
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar delete-insight.
- AWS CLI
-
Para eliminar una información personalizada
En el siguiente
delete-insightejemplo, se elimina la información personalizada con la especificadaARN.aws securityhub delete-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteInsight
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar delete-invitations.
- AWS CLI
-
Para eliminar una invitación a ser miembro de una cuenta
En el siguiente
delete-invitationsejemplo, se elimina una invitación a ser miembro de la cuenta de administrador especificada. La cuenta de miembro es la cuenta solicitante.aws securityhub delete-invitations \ --account-ids"123456789012"Salida:
{ "UnprocessedAccounts": [] }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteInvitations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar delete-members.
- AWS CLI
-
Para eliminar las cuentas de los miembros
En el siguiente
delete-membersejemplo, se eliminan las cuentas de miembro especificadas de la cuenta de administrador solicitante.aws securityhub delete-members \ --account-ids"123456789111""123456789222"Salida:
{ "UnprocessedAccounts": [] }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DeleteMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar describe-action-targets.
- AWS CLI
-
Para recuperar detalles sobre las acciones personalizadas
En el siguiente
describe-action-targetsejemplo, se recupera información sobre la acción personalizada identificada por la especificadaARN.aws securityhub describe-action-targets \ --action-target-arns"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Salida:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DescribeActionTargets
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar describe-hub.
- AWS CLI
-
Para obtener información sobre un recurso central
En el siguiente
describe-hubejemplo, se devuelve la fecha de suscripción del recurso hub especificado. El recurso hub se identifica por suARN.aws securityhub describe-hub \ --hub-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Salida:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte DescribeHub
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar describe-organization-configuration.
- AWS CLI
-
Para ver cómo se configura Security Hub para una organización
El siguiente
describe-organization-configurationejemplo devuelve información sobre la forma en que se configura una organización en Security Hub. En este ejemplo, la organización utiliza la configuración central. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub describe-organization-configurationSalida:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }Para obtener más información, consulte Administrar cuentas con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DescribeOrganizationConfiguration
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar describe-products.
- AWS CLI
-
Para devolver información sobre las integraciones de productos disponibles
En el siguiente
describe-productsejemplo, se devuelven las integraciones de productos disponibles de una en una.aws securityhub describe-products \ --max-results1Salida:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DescribeProducts
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar describe-standards-controls.
- AWS CLI
-
Para solicitar la lista de controles de un estándar habilitado
En el siguiente
describe-standards-controlsejemplo, se solicita la lista de controles de la suscripción de la cuenta solicitante al PCI DSS estándar. La solicitud devuelve dos controles a la vez.aws securityhub describe-standards-controls \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"\ --max-results2Salida:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }Para obtener más información, consulte Visualización de los detalles de los controles en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DescribeStandardsControls
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar describe-standards.
- AWS CLI
-
Para devolver una lista de los estándares disponibles
El siguiente
describe-standardsejemplo devuelve la lista de normas disponibles.aws securityhub describe-standardsSalida:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }Para obtener más información, consulte los estándares de AWS seguridad de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DescribeStandards
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar disable-import-findings-for-product.
- AWS CLI
-
Para dejar de recibir los resultados de la integración de un producto
El siguiente
disable-import-findings-for-productejemplo desactiva el flujo de resultados para la suscripción especificada a una integración de productos.aws securityhub disable-import-findings-for-product \ --product-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"Este comando no genera ninguna salida.
Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DisableImportFindingsForProduct
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar disable-organization-admin-account.
- AWS CLI
-
Para eliminar una cuenta de administrador de Security Hub
El siguiente
disable-organization-admin-accountejemplo revoca la asignación de la cuenta especificada como cuenta de administrador de Security Hub para AWS Organizations.aws securityhub disable-organization-admin-account \ --admin-account-id777788889999Este comando no genera ninguna salida.
Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte DisableOrganizationAdminAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar disable-security-hub.
- AWS CLI
-
Para deshabilitar AWS Security Hub
En el siguiente
disable-security-hubejemplo, se deshabilita AWS Security Hub para la cuenta solicitante.aws securityhub disable-security-hubEste comando no genera ninguna salida.
Para obtener más información, consulte Desactivación del AWS Security Hub en la Guía del usuario del AWS Security Hub.
-
Para API obtener más información, consulte DisableSecurityHub
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar disassociate-from-administrator-account.
- AWS CLI
-
Para desasociarse de una cuenta de administrador
En el siguiente
disassociate-from-administrator-accountejemplo, se desvincula la cuenta solicitante de su cuenta de administrador actual.aws securityhub disassociate-from-administrator-accountEste comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DisassociateFromAdministratorAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar disassociate-from-master-account.
- AWS CLI
-
Para desasociarse de una cuenta de administrador
En el siguiente
disassociate-from-master-accountejemplo, se desvincula la cuenta solicitante de su cuenta de administrador actual.aws securityhub disassociate-from-master-accountEste comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DisassociateFromMasterAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar disassociate-members.
- AWS CLI
-
Desasociación de cuentas de miembros
El siguiente
disassociate-membersejemplo desasocia las cuentas de los miembros especificadas de la cuenta de administrador solicitante.aws securityhub disassociate-members \ --account-ids"123456789111""123456789222"Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte DisassociateMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar enable-import-findings-for-product.
- AWS CLI
-
Para empezar a recibir los resultados de la integración de un producto
El siguiente
enable-import-findings-for-productejemplo permite el flujo de los resultados de la integración de productos especificada.aws securityhub enable-import-findings-for-product \ --product-arn"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"Salida:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte EnableImportFindingsForProduct
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar enable-organization-admin-account.
- AWS CLI
-
Para designar una cuenta de organización como cuenta de administrador de Security Hub
En el siguiente
enable-organization-admin-accountejemplo, se designa la cuenta especificada como cuenta de administrador de Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id777788889999Este comando no genera ninguna salida.
Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte EnableOrganizationAdminAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar enable-security-hub.
- AWS CLI
-
Para habilitar AWS Security Hub
El siguiente
enable-security-hubejemplo habilita AWS Security Hub para la cuenta solicitante. Configura Security Hub para habilitar los estándares predeterminados. Para el recurso del hub, asigna el valorSecuritya la etiqueta.Departmentaws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Habilitar Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte EnableSecurityHub
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-administrator-account.
- AWS CLI
-
Para recuperar información sobre una cuenta de administrador
En el siguiente
get-administrator-accountejemplo, se recupera información sobre la cuenta de administrador de la cuenta solicitante.aws securityhub get-administrator-accountSalida:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetAdministratorAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-configuration-policy-association.
- AWS CLI
-
Para obtener los detalles de la asociación de configuración de un objetivo
En el siguiente
get-configuration-policy-associationejemplo, se recuperan los detalles de la asociación del objetivo especificado. Puedes proporcionar un identificador de cuenta, un identificador de unidad organizativa o el identificador raíz del objetivo.aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetConfigurationPolicyAssociation
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-configuration-policy.
- AWS CLI
-
Para ver los detalles de la política de configuración
En el siguiente
get-configuration-policyejemplo, se recuperan los detalles sobre la política de configuración especificada.aws securityhub get-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetConfigurationPolicy
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-enabled-standards.
- AWS CLI
-
Para recuperar información sobre un estándar habilitado
En el siguiente
get-enabled-standardsejemplo, se recupera información sobre el PCI DSS estándar.aws securityhub get-enabled-standards \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Salida:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obtener más información, consulte los estándares de AWS seguridad de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetEnabledStandards
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-finding-aggregator.
- AWS CLI
-
Para recuperar la configuración de agregación de búsquedas actual
En el siguiente
get-finding-aggregatorejemplo, se recupera la configuración de agregación de búsquedas actual.aws securityhub get-finding-aggregator \ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Salida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Para obtener más información, consulte Visualización de la configuración de agregación de búsquedas actual en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetFindingAggregator
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-finding-history.
- AWS CLI
-
Para obtener el historial de búsquedas
En el siguiente
get-finding-historyejemplo, se actualiza el historial de los últimos 90 días del hallazgo especificado. En este ejemplo, los resultados se limitan a dos registros del historial de búsquedas.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"Salida:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }Para obtener más información, consulte Búsqueda del historial en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetFindingHistory
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-findings.
- AWS CLI
-
Ejemplo 1: Para devolver los hallazgos generados para un estándar específico
En el siguiente
get-findingsejemplo, se devuelven los resultados de la PCI DSS norma.aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items1Salida:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }Ejemplo 2: Para devolver hallazgos de gravedad crítica con un estado de flujo de trabajo de NOTIFIED
En el siguiente
get-findingsejemplo, se muestran los resultados que tienen un valor de etiqueta de gravedad de CRITICAL y un estado de flujo de trabajo de. NOTIFIED Los resultados se ordenan en orden descendente según el valor de Confidence.aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items1Salida:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }Para obtener más información, consulte los resultados de filtrado y agrupamiento en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte GetFindings
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-insight-results.
- AWS CLI
-
Para recuperar los resultados y obtener información
En el siguiente
get-insight-resultsejemplo, se devuelve la lista de resultados de la información con la información especificadaARN.aws securityhub get-insight-results \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }Para obtener más información, consulte Visualización de los resultados y hallazgos de insights y tomar medidas al respecto en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetInsightResults
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-insights.
- AWS CLI
-
Para recuperar detalles sobre una información
En el siguiente
get-insightsejemplo, se recuperan los detalles de configuración de la información con lo especificadoARN.aws securityhub get-insights \ --insight-arns"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Salida:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }Para obtener más información, consulte Insights in AWS Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetInsights
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-invitations-count.
- AWS CLI
-
Para recuperar el número de invitaciones que no se aceptaron
En el siguiente
get-invitations-countejemplo, se recupera el número de invitaciones que la cuenta solicitante rechazó o a las que no respondió.aws securityhub get-invitations-countSalida:
{ "InvitationsCount": 3 }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetInvitationsCount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-master-account.
- AWS CLI
-
Para recuperar información sobre una cuenta de administrador
En el siguiente
get-master-accountejemplo, se recupera información sobre la cuenta de administrador de la cuenta solicitante.aws securityhub get-master-accountSalida:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetMasterAccount
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-members.
- AWS CLI
-
Para recuperar información sobre las cuentas de los miembros seleccionados
En el siguiente
get-membersejemplo, se recupera información sobre las cuentas de los miembros especificadas.aws securityhub get-members \ --account-ids"444455556666""777788889999"Salida:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar get-security-control-definition.
- AWS CLI
-
Para obtener los detalles de la definición del control de seguridad
En el siguiente
get-security-control-definitionejemplo, se recuperan los detalles de la definición de un control de seguridad de Security Hub. Los detalles incluyen el título del control, la descripción, la disponibilidad regional, los parámetros y otra información.aws securityhub get-security-control-definition \ --security-control-idACM.1Salida:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }Para obtener más información, consulte Parámetros de control personalizados en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte GetSecurityControlDefinition
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar invite-members.
- AWS CLI
-
Para enviar invitaciones a las cuentas de los miembros
El siguiente
invite-membersejemplo envía invitaciones a las cuentas de los miembros especificadas.aws securityhub invite-members \ --account-ids"123456789111""123456789222"Salida:
{ "UnprocessedAccounts": [] }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte InviteMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-automation-rules.
- AWS CLI
-
Para ver una lista de reglas de automatización
En el siguiente
list-automation-rulesejemplo, se enumeran las reglas de automatización de una AWS cuenta. Solo la cuenta de administrador de Security Hub puede ejecutar este comando.aws securityhub list-automation-rules \ --max-results3\ --next-tokenNULLSalida:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }Para obtener más información, consulte Visualización de las reglas de automatización en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListAutomationRules
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-configuration-policies.
- AWS CLI
-
Para enumerar los resúmenes de las políticas de configuración
En el siguiente
list-configuration-policiesejemplo, se muestra un resumen de las políticas de configuración de la organización.aws securityhub list-configuration-policies \ --max-items3Salida:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListConfigurationPolicies
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-configuration-policy-associations.
- AWS CLI
-
Para enumerar las asociaciones de configuración
En el siguiente
list-configuration-policy-associationsejemplo, se muestra un resumen de las asociaciones de configuración de la organización. La respuesta incluye asociaciones con las políticas de configuración y el comportamiento autogestionado.aws securityhub list-configuration-policy-associations \ --association-type"APPLIED"\ --max-items4Salida:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }Para obtener más información, consulte Visualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListConfigurationPolicyAssociations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-enabled-products-for-import.
- AWS CLI
-
Para devolver la lista de integraciones de productos habilitadas
En el siguiente
list-enabled-products-for-importejemplo, se devuelve la lista de suscripciones de ARNS las integraciones de productos actualmente habilitadas.aws securityhub list-enabled-products-for-importSalida:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }Para obtener más información, consulte Gestión de integraciones de productos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte ListEnabledProductsForImport
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-finding-aggregators.
- AWS CLI
-
Para ver una lista de los widgets disponibles
El siguiente
list-finding-aggregatorsejemplo devuelve la configuración ARN de agregación de búsquedas.aws securityhub list-finding-aggregatorsSalida:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }Para obtener más información, consulte Visualización de la configuración de agregación de búsquedas actual en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListFindingAggregators
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-invitations.
- AWS CLI
-
Para mostrar una lista de invitaciones
En el siguiente
list-invitationsejemplo, se recupera la lista de invitaciones enviadas a la cuenta solicitante.aws securityhub list-invitationsSalida:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListInvitations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-members.
- AWS CLI
-
Para recuperar una lista de las cuentas de los miembros
En el siguiente
list-membersejemplo, se devuelve la lista de cuentas de miembro de la cuenta de administrador solicitante.aws securityhub list-membersSalida:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }Para obtener más información, consulte Administrar cuentas de administrador y miembro en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListMembers
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-organization-admin-accounts.
- AWS CLI
-
Para enumerar las cuentas de administrador de Security Hub designadas
En el siguiente
list-organization-admin-accountsejemplo, se enumeran las cuentas de administrador de Security Hub de una organización.aws securityhub list-organization-admin-accountsSalida:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }Para obtener más información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte ListOrganizationAdminAccounts
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-security-control-definitions.
- AWS CLI
-
Ejemplo 1: Para enumerar todos los controles de seguridad disponibles
En el siguiente
list-security-control-definitionsejemplo, se enumeran los controles de seguridad disponibles en todos los estándares de Security Hub. En este ejemplo, se limitan los resultados a tres controles.aws securityhub list-security-control-definitions \ --max-items3Salida:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }Para obtener más información, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.
Ejemplo 2: Para enumerar los controles de seguridad disponibles para un estándar específico
En el siguiente
list-security-control-definitionsejemplo, se enumeran los controles de seguridad disponibles para la versión 1.4.0 de CIS AWS Foundations Benchmark. Este ejemplo limita los resultados a tres controles.aws securityhub list-security-control-definitions \ --standards-arn"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"\ --max-items3Salida:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }Para obtener más información, consulte Visualización de los detalles de un estándar en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte ListSecurityControlDefinitions
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-standards-control-associations.
- AWS CLI
-
Para obtener el estado de habilitación de un control en cada estándar habilitado
En el siguiente
list-standards-control-associationsejemplo, se muestra el estado de activación de CloudTrail .1 en cada estándar habilitado.aws securityhub list-standards-control-associations \ --security-control-idCloudTrail.1Salida:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }Para obtener más información, consulte Habilitar y deshabilitar controles en estándares específicos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte ListStandardsControlAssociations
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar list-tags-for-resource.
- AWS CLI
-
Para recuperar las etiquetas asignadas a un recurso
En el siguiente
list-tags-for-resourceejemplo, se devuelven las etiquetas asignadas al recurso central especificado.aws securityhub list-tags-for-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Salida:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte ListTagsForResource
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar start-configuration-policy-association.
- AWS CLI
-
Ejemplo 1: Para asociar una política de configuración
El siguiente
start-configuration-policy-associationejemplo asocia la política de configuración especificada a la unidad organizativa especificada. Una configuración puede estar asociada a una cuenta de destino, a una unidad organizativa o a la raíz.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Salida:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
Ejemplo 2: Para asociar una configuración autogestionada
El siguiente
start-configuration-policy-associationejemplo asocia una configuración autogestionada a la cuenta especificada.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"OrganizationalUnitId": "123456789012"}'Salida:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Para obtener más información, consulte Creación y asociación de políticas de configuración de Security Hub en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte StartConfigurationPolicyAssociation
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar start-configuration-policy-disassociation.
- AWS CLI
-
Ejemplo 1: Para desasociar una política de configuración
En el siguiente
start-configuration-policy-disassociationejemplo, se disocia una política de configuración de la unidad organizativa especificada. Una configuración puede estar disociada de una cuenta de destino, de una unidad organizativa o de la raíz.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Desasociar una configuración de las cuentas y OUs en la Guía del usuario AWS de Security Hub.
Ejemplo 2: Para desasociar una configuración autogestionada
El siguiente
start-configuration-policy-disassociationejemplo desasocia una configuración autogestionada de la cuenta especificada.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"AccountId": "123456789012"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Desasociar una configuración de las cuentas y OUs en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte la Referencia StartConfigurationPolicyDisassociation
de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar tag-resource.
- AWS CLI
-
Para asignar una etiqueta a un recurso
El siguiente
tag-resourceejemplo asigna valores para las etiquetas de departamento y área al recurso central especificado.aws securityhub tag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tags '{"Department":"Operations", "Area":"USMidwest"}'Este comando no genera ninguna salida.
Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte TagResource
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar untag-resource.
- AWS CLI
-
Para eliminar el valor de una etiqueta de un recurso
En el siguiente
untag-resourceejemplo, se elimina la etiqueta Department del recurso central especificado.aws securityhub untag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tag-keys"Department"Este comando no genera ninguna salida.
Para obtener más información, consulte AWS:SecurityHub: :Hub en la Guía del AWS CloudFormation usuario.
-
Para API obtener más información, consulte UntagResource
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-action-target.
- AWS CLI
-
Para actualizar una acción personalizada
En el siguiente
update-action-targetejemplo, se actualiza el nombre de la acción personalizada identificada por la acción especificadaARN.aws securityhub update-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"\ --name"Send to remediation"Este comando no genera ninguna salida.
Para obtener más información, consulte Crear una acción personalizada y asociarla a una regla de CloudWatch eventos en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte UpdateActionTarget
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-configuration-policy.
- AWS CLI
-
Para actualizar una política de configuración
El siguiente
update-configuration-policyejemplo actualiza una política de configuración existente para usar los parámetros especificados.aws securityhub update-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"\ --name"SampleConfigurationPolicyUpdated"\ --description"SampleDescriptionUpdated"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"Salida:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }Para obtener más información, consulte Actualización de las políticas de configuración de Security Hub en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateConfigurationPolicy
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-finding-aggregator.
- AWS CLI
-
Para actualizar la configuración de agregación de búsquedas actual
El siguiente
update-finding-aggregatorejemplo cambia la configuración de agregación de búsqueda para vincular desde las regiones seleccionadas. Se ejecuta desde EE. UU. Este (Virginia), que es la región de agregación. Selecciona EE.UU. Oeste (Norte de California) y EE.UU. Oeste (Oregón) como regiones vinculadas.aws securityhub update-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Este comando no genera ninguna salida.
Para obtener más información, consulte Actualización de la configuración de agregación de búsqueda en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateFindingAggregator
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-insight.
- AWS CLI
-
Ejemplo 1: Para cambiar el filtro para obtener una información personalizada
En el siguiente
update-insightejemplo, se cambian los filtros de una información personalizada. La información actualizada busca hallazgos de gran gravedad relacionados con las AWS funciones.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name"High severity role findings"Ejemplo 2: Para cambiar el atributo de agrupación para obtener una información personalizada
En el siguiente
update-insightejemplo, se cambia el atributo de agrupación de la información personalizada por el especificado. ARN El nuevo atributo de agrupación es el ID del recurso.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --group-by-attribute"ResourceId"\ --name"Critical role findings"Salida:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }Para obtener más información, consulte Administrar información personalizada en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateInsight
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-organization-configuration.
- AWS CLI
-
Para actualizar la configuración de Security Hub para una organización
El siguiente
update-organization-configurationejemplo especifica que Security Hub debe usar una configuración central para configurar una organización. Tras ejecutar este comando, el administrador delegado de Security Hub puede crear y gestionar políticas de configuración para configurar la organización. El administrador delegado también puede usar este comando para cambiar de la configuración central a la local. Si el tipo de configuración es la configuración local, el administrador delegado puede elegir si desea habilitar automáticamente Security Hub y los estándares de seguridad predeterminados en las nuevas cuentas de la organización.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'Este comando no genera ninguna salida.
Para obtener más información, consulte Administrar cuentas con AWS Organizations en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateOrganizationConfiguration
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-security-control.
- AWS CLI
-
Para actualizar las propiedades del control de seguridad
En el siguiente
update-security-controlejemplo, se especifican valores personalizados para un parámetro de control de seguridad de Security Hub.aws securityhub update-security-control \ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"Este comando no genera ninguna salida.
Para obtener más información, consulte Parámetros de control personalizados en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateSecurityControl
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-security-hub-configuration.
- AWS CLI
-
Para actualizar la configuración de Security Hub
El siguiente
update-security-hub-configurationejemplo configura Security Hub para habilitar automáticamente nuevos controles para los estándares habilitados.aws securityhub update-security-hub-configuration \ --auto-enable-controlsEste comando no genera ninguna salida.
Para obtener más información, consulte Habilitar nuevos controles automáticamente en la Guía del usuario de AWS Security Hub.
-
Para API obtener más información, consulte UpdateSecurityHubConfiguration
la Referencia de AWS CLI comandos.
-
En el siguiente ejemplo de código se muestra cómo usar update-standards-control.
- AWS CLI
-
Ejemplo 1: Para deshabilitar un control
En el
update-standards-controlejemplo siguiente se desactiva elPCI. AutoScaling1. Control.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"DISABLED"\ --disabled-reason"Not applicable for my service"Este comando no genera ninguna salida.
Ejemplo 2: Para habilitar un control
El siguiente
update-standards-controlejemplo habilita elPCI. AutoScaling1. Control.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"ENABLED"Este comando no genera ninguna salida.
Para obtener más información, consulte Deshabilitar y habilitar controles individuales en la Guía del usuario AWS de Security Hub.
-
Para API obtener más información, consulte UpdateStandardsControl
la Referencia de AWS CLI comandos.
-
