Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de los parámetros de control en Security Hub
Algunos controles AWS Security Hub utilizan parámetros que afectan a la forma en que se evalúa el control. Normalmente, estos controles se evalúan con respecto a los valores de los parámetros predeterminados que define Security Hub. Sin embargo, para un subconjunto de estos controles, puede modificar los valores de los parámetros. Al modificar el valor de un parámetro de un control, Security Hub comienza a evaluar el control con el valor que especifique. Si el recurso subyacente al control cumple con el valor personalizado, Security Hub genera un resultado PASSED. Si el recurso no cumple el valor personalizado, Security Hub genera un resultado FAILED.
Al personalizar los parámetros de control, puede refinar las prácticas recomendadas de seguridad que recomienda y supervisa Security Hub para alinearlas con los requisitos empresariales y las expectativas de seguridad. En lugar de suprimir los resultados de un control, puede personalizar uno o varios de sus parámetros para obtener los resultados que se adapten a sus necesidades de seguridad.
Estos son algunos ejemplos de casos de uso para modificar los parámetros de control y establecer valores personalizados:
[CloudWatch.16]: los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico
Puede especificar el periodo de retención.
[IAM.7]: las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
Puede especificar parámetros relacionados con la seguridad de la contraseña.
-
[EC2.18] — Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados
Puede especificar qué puertos están autorizados para permitir el tráfico entrante sin restricciones.
-
[Lambda.5]: las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
Puede especificar el número mínimo de zonas de disponibilidad que generará un resultado válido.
En esta sección, se describen los aspectos que se deben tener en cuenta al modificar los parámetros de control.
Efecto de la modificación de los valores de parámetros de control
Al cambiar el valor de un parámetro, también se desencadena un nuevo control de seguridad que evalúa el control en función del nuevo valor. A continuación, Security Hub genera nuevos resultados de control en función del nuevo valor. Durante las actualizaciones periódicas de los resultados del control, Security Hub también utiliza el nuevo valor del parámetro. Si cambia los valores de los parámetros de un control, pero no ha habilitado ningún estándar que lo incluya, Security Hub no ejecutará ningún control de seguridad con los nuevos valores. Debe habilitar al menos un estándar pertinente para que Security Hub evalúe el control en función del nuevo valor del parámetro.
Un control puede tener uno o varios parámetros personalizables. Entre los tipos de datos posibles para cada parámetro de control se encuentran los siguientes:
Booleano
Doble
Enum
EnumList
Entero
IntegerList
Cadena
StringList
Los valores personalizados de los parámetros se aplican a los estándares habilitados. No puede personalizar los parámetros de un control que no sea compatible en su región actual. Para obtener una lista de los límites regionales para los controles individuales, consulte Límites regionales de los controles.
En algunos controles, los valores de los parámetros aceptables deben estar dentro de un rango especificado para ser válidos. En estos casos, Security Hub proporciona el rango aceptable.
Security Hub elige los valores de los parámetros predeterminados y puede actualizarlos ocasionalmente. Después de personalizar un parámetro de control, su valor sigue siendo el valor que especificó para el parámetro, a menos que lo cambie. Es decir, el parámetro detiene el seguimiento de las actualizaciones del valor predeterminado de Security Hub, incluso si el valor personalizado del parámetro coincide con el valor predeterminado actual que define Security Hub. Este es un ejemplo del control [ACM.1]: los certificados importados y emitidos por ACM deben renovarse después de un periodo de tiempo específico:
{ "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 30 } } } }
En el ejemplo anterior, el parámetro daysToExpiration tiene un valor personalizado de 30. El valor predeterminado actual para este parámetro también es 30. Si Security Hub cambia el valor predeterminado a 14, el parámetro de este ejemplo no hará un seguimiento de ese cambio. Retendrá un valor de 30.
Si quiere hacer un seguimiento de las actualizaciones del valor predeterminado de Security Hub para un parámetro, establezca el campo ValueType en DEFAULT en lugar de CUSTOM. Para obtener más información, consulte Reversión a los parámetros de control predeterminados en una sola cuenta y región.
Controles que admiten parámetros personalizados
Para obtener una lista de los controles de seguridad que admiten parámetros personalizados, consulte la página Controles de la consola de Security Hub o la Referencia de controles de Security Hub. Para recuperar esta lista mediante programación, puede utilizar la ListSecurityControlDefinitionsoperación. En la respuesta, el objeto CustomizableProperties indica qué controles admiten parámetros personalizables.
