Habilitación de un control en un estándar específico - AWS Security Hub

Habilitación de un control en un estándar específico

Al activar una entrada estándar en AWS Security Hub, todos los controles que se le aplican se habilitan automáticamente en esa norma (con la excepción de los estándares gestionados por servicios). Puede deshabilitar y rehabilitar controles específicos dentro del estándar. Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares, consulte Habilitación de un control en todos los estándares.

La página de detalles de un estándar contiene la lista de los controles aplicables al estándar e información sobre los controles que están actualmente habilitados y deshabilitados en ese estándar.

En la página de detalles de los estándares, también puede habilitar controles en estándares específicos. Debe habilitar los controles en estándares específicos por separado en cada Cuenta de AWS y Región de AWS. Cuando habilita un control en estándares específicos, solo afecta a la cuenta y a la región actuales.

Para habilitar un control en un estándar, primero debe habilitar al menos un estándar al que se aplique el control. Para obtener instrucciones sobre cómo habilitar un estándar, consulte Habilitación de un estándar de seguridad en Security Hub. Cuando habilita un control en uno o más estándares, Security Hub comienza a generar resultados para ese control. Security Hub incluye el estado de control en el cálculo de la puntuación de seguridad general y de las puntuaciones de seguridad estándar. Incluso si habilita un control en varios estándares, recibirá un único resultado por control de seguridad en todos los estándares si activa los resultados de control consolidados. Para obtener más información, consulte Resultados de control consolidados.

Para habilitar un control en un estándar, el control debe estar disponible en su región actual. Para obtener más información, consulte Disponibilidad de controles por región.

Siga estos pasos para habilitar el control de Security Hub en un estándar específico. En lugar de los siguientes pasos, también puedes usar la acción de la API de UpdateStandardsControl para habilitar los controles en un estándar específico. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares, consulte Habilitación entre estándares en una sola cuenta y región.

Security Hub console
Habilitación de un control en un estándar específico

  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. Elija Estándares de seguridad en el panel de navegación.

  3. Seleccione Ver resultados para el estándar correspondiente.

  4. Seleccione un control.

  5. Seleccione Habilitar el control (esta opción no aparece en los controles que ya están activados). Confirme seleccionando Habilitar.

Security Hub API
Habilitación de un control en un estándar específico

  1. Ejecute ListSecurityControlDefinitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute DescribeStandards. Esta API devuelve los identificadores de control de seguridad independientes del estándar, no los identificadores de control específicos del estándar.

    Ejemplo de solicitud:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Ejecute ListStandardsControlAssociations y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.

    Ejemplo de solicitud:

    {
    "SecurityControlId": "IAM.1"
}

  3. Ejecute BatchUpdateStandardsControlAssociations. Indique el ARN del estándar en el que desee habilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a ENABLED.

    Ejemplo de solicitud:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
AWS CLI
Habilitación de un control en un estándar específico

  1. Ejecute el comando list-security-control-definitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute describe-standards. Este comando devuelve los identificadores de control de seguridad independientes del estándar, no los identificadores de control específicos del estándar.

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Ejecute el comando list-standards-control-associations y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Ejecute el comando batch-update-standards-control-associations. Indique el ARN del estándar en el que desee habilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a ENABLED.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'