Descripción de los controles de seguridad en Security Hub - AWS Security Hub
Vista de controles consolidadosPuntuación general de seguridad de los controles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de los controles de seguridad en Security Hub

Un control de seguridad es una protección dentro de un estándar de seguridad que ayuda a una organización a proteger la confidencialidad, la integridad y la disponibilidad de su información. En Security Hub, un control está relacionado con un recurso de AWS específico.

Cuando habilita un control en uno o más estándares, Security Hub comienza a ejecutar controles de seguridad en él. Los controles de seguridad dan lugar a los resultados de Security Hub. Cuando deshabilita un control, Security Hub deja de ejecutar los controles de seguridad en él y ya no se generan los resultados correspondientes.

Puede activar o desactivar los controles de forma individual para una sola cuenta y Región de AWS. Para ahorrar tiempo y reducir los errores de configuración en los entornos multicuenta, recomendamos utilizar la configuración centralizada para activar o desactivar los controles. Con la configuración centralizada, el administrador delegado de Security Hub puede crear políticas que especifican cómo se debe configurar un control en varias cuentas y regiones. Para obtener más información sobre cómo habilitar y deshabilitar controles, consulte Habilitación de controles en Security Hub.

Vista de controles consolidados

La página Controles de la consola de Security Hub muestra todos los controles disponibles en la Región de AWS actual (puede ver los controles en el contexto de un estándar visitando la página Estándares de seguridad y seleccionando un estándar activado). Security Hub asigna a los controles un identificador, un título y una descripción de control de seguridad coherentes en todos los estándares. Los identificadores de los controles incluyen el Servicio de AWS relevante y un número único (por ejemplo, CodeBuild.3).

La siguiente información está disponible en la página Controles de la consola de Security Hub:

  • Una puntuación general de seguridad basada en la proporción de controles aprobados en comparación con el número total de controles habilitados con datos

  • Desglose de los estados de control en todos los controles de Security Hub compatibles

  • El número total de controles de seguridad aprobados y con fallos.

  • El número de controles de seguridad con fallos para controles de diferente gravedad y los enlaces para ver más detalles sobre esos controles de seguridad con fallos.

  • Una lista de controles de Security Hub, con filtros para ver subconjuntos específicos de controles.

En la página Controles, puede elegir un control para ver sus detalles y tomar medidas en función de los resultados generados por el control. Desde esta página, también puede activar o desactivar un control de seguridad en sus Cuenta de AWS y Región de AWS actuales. Las acciones de activación y desactivación de la página Controles se aplican a todos los estándares. Para obtener más información, consulte Habilitación de controles en Security Hub.

En el caso de las cuentas de administrador, la página Controles refleja el estado de los controles en las cuentas de los miembros. Si se produce un error en una comprobación de control en al menos una cuenta miembro, el estado de control es Con error. Si ha establecido una región de agregación, la página Controles refleja el estado de los controles en todas las regiones vinculadas. Si se produce un error en una comprobación de control en al menos una región vinculada, el estado del control es Con error.

La vista de controles consolidada provoca cambios en los campos de resultado de controles en Formato de resultados de seguridad de AWS (ASFF) que pueden afectar a los flujos de trabajo. Para obtener más información, consulte Vista de controles consolidada: cambios en ASFF.

Puntuación general de seguridad de los controles

La página Controles muestra una puntuación de seguridad general que va del 0 al 100 por ciento. La puntuación de seguridad general se calcula en función de la proporción de controles aprobados en comparación con el número total de controles habilitados con datos en todos los estándares.

nota

Para ver la puntuación de seguridad general de los controles, debe añadir permiso de llamada BatchGetControlEvaluations al rol de IAM que utiliza para acceder a Security Hub. Este permiso no es necesario para ver las puntuaciones de seguridad según estándares específicos.

Al activar Security Hub, Security Hub calcula la puntuación de seguridad inicial 30 minutos después de su primera visita a la página Resumen o a la página Normas de seguridad de la consola de Security Hub. Las puntuaciones de seguridad por primera vez pueden tardar hasta 24 horas en generarse en las regiones de China y de AWS GovCloud (US) Region.

Además de la puntuación de seguridad general, Security Hub calcula una puntuación de seguridad para cada estándar activado unos 30 minutos después de su primera visita a la página Resumen o a la página Estándares de seguridad. Para ver una lista de los estándares que están habilitados actualmente, utilice la operación de API GetEnabledStandards.

AWS Config debe estar habilitado con el registro de recursos para que aparezcan las puntuaciones. Para obtener más información sobre cómo Security Hub calcula las puntuaciones de seguridad, consulte Calcular las puntuaciones de seguridad.

Tras la primera generación de puntuaciones, Security Hub actualiza las puntuaciones de seguridad cada 24 horas. Security Hub muestra una marca de tiempo para indicar cuándo se actualizó por última vez una puntuación de seguridad.

Si ha establecido una región de agregación, la puntuación de seguridad general refleja los resultados de control en las regiones vinculadas.