Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Comprensión de los parámetros de control en el CSPM de Security Hub
<a name="custom-control-parameters"></a>

Algunos controles de AWS Security Hub CSPM utilizan parámetros que afectan a la forma en que se evalúa el control. Por lo general, dichos controles se evalúan con los valores predeterminados de parámetros que define el CSPM de Security Hub. Sin embargo, para un subconjunto de estos controles, puede modificar los valores de los parámetros. Cuando modifica el valor de un parámetro de control, el CSPM de Security Hub evalúa el control con el valor que especifique. Si el recurso que subyace el control cumple el valor personalizado, el CSPM de Security Hub genera un resultado `PASSED`. Si el recurso no cumple el valor personalizado, el CSPM de Security Hub genera un resultado `FAILED`.

Al personalizar los parámetros de control, puede ajustar las prácticas recomendadas de seguridad que supervisa y recomienda el CSPM de Security Hub para alinearlas con los requisitos empresariales y expectativas de seguridad. En lugar de suprimir los resultados de un control, puede personalizar uno o varios de sus parámetros para obtener los resultados que se adapten a sus necesidades de seguridad.

Estos son algunos ejemplos de casos de uso para modificar los parámetros de control y establecer valores personalizados:
+ **[CloudWatch.16]: los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico**

  Puede especificar el periodo de retención.
+ **[IAM.7]: las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras**

  Puede especificar parámetros relacionados con la seguridad de la contraseña.
+ **[EC2.18] — Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados**

  Puede especificar qué puertos están autorizados para permitir el tráfico entrante sin restricciones.
+ **[Lambda.5]: las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad**

  Puede especificar el número mínimo de zonas de disponibilidad que generará un resultado válido.

En esta sección, se describen los aspectos que se deben tener en cuenta al modificar los parámetros de control.

## Efecto de la modificación de los valores de parámetros de control
<a name="custom-control-parameters-overview"></a>

Al cambiar el valor de un parámetro, también se desencadena un nuevo control de seguridad que evalúa el control en función del nuevo valor. El CSPM de Security Hub genera entonces nuevos resultados del control con base en el nuevo valor. Durante las actualizaciones periódicas de los resultados del control, el CSPM de Security Hub también usa el nuevo valor del parámetro. Si modifica los valores de un parámetro de control pero no habilita ningún estándar que incluya ese control, el CSPM de Security Hub no ejecuta comprobaciones de seguridad con los nuevos valores. Debe habilitar al menos un estándar pertinente para que el CSPM de Security Hub evalúe el control con base en el nuevo valor del parámetro.

Un control puede tener uno o varios parámetros personalizables. Entre los tipos de datos posibles para cada parámetro de control se encuentran los siguientes:
+ Booleano
+ Double
+ Enum
+ EnumList
+ Entero
+ IntegerList
+ Cadena
+ StringList

Los valores personalizados de los parámetros se aplican a los estándares habilitados. No puede personalizar los parámetros de un control que no sea compatible en su región actual. Para obtener una lista de los límites regionales para los controles individuales, consulte [Límites regionales de los controles del CSPM de Security Hub](regions-controls.md).

En algunos controles, los valores de los parámetros aceptables deben estar dentro de un rango especificado para ser válidos. En estos casos, el CSPM de Security Hub proporciona el intervalo aceptable.

El CSPM de Security Hub selecciona los valores predeterminados de los parámetros y en ocasiones puede actualizarlos. Después de personalizar un parámetro de control, su valor sigue siendo el valor que especificó para el parámetro, a menos que lo cambie. Es decir, el parámetro deja de adoptar las actualizaciones del valor predeterminado del CSPM de Security Hub, incluso si el valor personalizado coincide con el valor predeterminado vigente definido por el CSPM de Security Hub. Este es un ejemplo del control **[ACM.1]: los certificados importados y emitidos por ACM deben renovarse después de un periodo de tiempo específico**:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

En el ejemplo anterior, el parámetro `daysToExpiration` tiene un valor personalizado de `30`. El valor predeterminado actual para este parámetro también es `30`. Si el CSPM de Security Hub cambia el valor predeterminado a `14`, el parámetro de este ejemplo no adopta ese cambio. Retendrá un valor de `30`.

Si desea adoptar las actualizaciones del valor predeterminado del CSPM de Security Hub para un parámetro, establezca el campo `ValueType` en `DEFAULT`, en lugar de `CUSTOM`. Para obtener más información, consulte [Reversión a los parámetros de control predeterminados en una sola cuenta y región](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Controles que admiten parámetros personalizados
<a name="controls-list-custom-parameters"></a>

Para obtener una lista de los controles de seguridad que admiten parámetros personalizados, consulte la página **Controls** de la consola del CSPM de Security Hub o la [Referencia de controles para el CSPM de Security Hub](securityhub-controls-reference.md). Para recuperar esta lista mediante programación, puede utilizar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html). En la respuesta, el objeto `CustomizableProperties` indica qué controles admiten parámetros personalizables.

# Revisión de los valores actuales de los parámetros de control
<a name="view-control-parameters"></a>

Puede resultar útil conocer el valor actual de un parámetro de control antes de modificarlo.

Puede revisar los valores actuales de los parámetros de control individuales de su cuenta. Si utiliza la configuración central, el administrador de CSPM de AWS Security Hub delegado también puede revisar los valores de los parámetros que se especifican en una política de configuración.

Elija el método que prefiera y siga los pasos para revisar los valores actuales de los parámetros de control.

------
#### [ Security Hub CSPM console ]

**Para revisar los valores actuales de los parámetros de control (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**. Elija un control.

1. Elija la pestaña **Parámetros**. Esta pestaña muestra los valores actuales de los parámetros del control.

------
#### [ Security Hub CSPM API ]

**Para revisar los valores actuales de los parámetros de control (API)**

Invoque la [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API y proporcione uno o más controles de seguridad o. IDs ARNs El objeto `Parameters` de la respuesta muestra los valores actuales de los parámetros de los controles especificados.

Por ejemplo, el siguiente AWS CLI comando muestra los valores de los parámetros actuales para `APIGatway.1``CloudWatch.15`, y`IAM.7`. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Elija el método que prefiera para ver los valores actuales de los parámetros en una política de configuración centralizada.

------
#### [ Security Hub CSPM console ]

**Para revisar los valores actuales de los parámetros de control en una política de configuración (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. En la pestaña **Políticas**, seleccione la política de configuración y, a continuación, elija **Ver detalles**. A continuación, aparecen los detalles de la política, incluidos los valores actuales de los parámetros.

------
#### [ Security Hub CSPM API ]

**Para revisar los valores actuales de los parámetros de control en una política de configuración (API)**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. Proporcione el ARN o el ID de la política de configuración cuyos detalles quiere ver. La respuesta incluye los valores actuales de los parámetros.

Por ejemplo, el siguiente AWS CLI comando recupera los valores de los parámetros de control actuales en la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

Los resultados de control también incluyen los valores actuales de los parámetros de control. En la [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md), estos valores aparecen en el campo `Parameters` del objeto `Compliance`. Para revisar los resultados en la consola del CSPM de Security Hub, elija **Resultados** en el panel de navegación. Para revisar los resultados mediante programación, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) de la API del CSPM de Security Hub.

# Personalización de los valores de los parámetros de control
<a name="customize-control-parameters"></a>

Las instrucciones para personalizar los parámetros de control varían en función de si se utiliza la [configuración central](central-configuration-intro.md) en AWS Security Hub CSPM. La configuración central es una función que el administrador de CSPM del Security Hub delegado puede utilizar para configurar las capacidades de CSPM del Security Hub en todas las cuentas y unidades Regiones de AWS organizativas (). OUs

Si su organización utiliza la configuración central, el administrador delegado puede crear políticas de configuración que incluyan parámetros de control personalizados. Estas políticas se pueden asociar a las cuentas de los miembros administradas de forma centralizada y entran OUs en vigor en su región de origen y en todas las regiones vinculadas. El administrador delegado también puede designar una o varias cuentas como autoadministradas, lo que permite al propietario de la cuenta configurar sus propios parámetros por separado en cada región. Si su organización no utiliza la configuración centralizada, debe personalizar los parámetros de control por separado en cada cuenta y región.

Recomendamos utilizar la configuración centralizada porque permite alinear los valores de los parámetros de control en las distintas partes de la organización. Por ejemplo, todas sus cuentas de prueba podrían usar determinados valores de parámetros y todas las cuentas de producción podrían utilizar valores diferentes.

## Personalización de parámetros de control en varias cuentas y regiones
<a name="customize-control-parameters-central-config"></a>

Si es el administrador delegado del CSPM de Security Hub para una organización que usa la configuración centralizada, seleccione el método de su preferencia y siga los pasos para personalizar los parámetros de control en varias cuentas y regiones.

------
#### [ Security Hub CSPM console ]

**Para personalizar los valores de un parámetro de control en varias cuentas y regiones (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Asegúrese de que haya iniciado sesión en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**.

1. Para crear una nueva política de configuración que incluya parámetros personalizados, elija **Crear política**. Para especificar los parámetros personalizados en una política de configuración existente, seleccione la política y, luego, elija **Editar**.

   **Para crear una política de configuración nueva con valores de parámetros de control personalizados**

   1. En la sección **Política personalizada**, elija los estándares y controles de seguridad que quiere habilitar.

   1. Seleccione **Personalizar los parámetros de control**.

   1. Seleccione un control y, a continuación, especifique valores personalizados para uno o varios parámetros.

   1. Para personalizar los parámetros de más controles, elija **Personalizar un control adicional**.

   1. En la sección **Cuentas**, seleccione las cuentas a las que desee aplicar la política o las cuentas a las OUs que desee aplicar la política.

   1. Elija **Siguiente**.

   1. Elija **Crear y aplicar política**. En su región de origen y en todas las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas y OUs que están asociados a esta política de configuración. Cuenta y se OUs puede asociar a una política de configuración mediante una aplicación directa o mediante herencia de un padre.

   **Para personalizar los valores de un parámetro de control en una política de configuración existente**

   1. En la sección **Controles**, en **Política personalizada**, especifique los nuevos valores personalizados de parámetros que quiera.

   1. Si es la primera vez que personaliza los parámetros de control en esta política, seleccione **Personalizar los parámetros de control** y, a continuación, seleccione el control que quiere personalizar. Para personalizar los parámetros de más controles, elija **Personalizar un control adicional**.

   1. En la sección **Cuentas**, verifica las cuentas a las OUs que deseas aplicar la política o las cuentas a las que deseas aplicar la política.

   1. Elija **Siguiente**.

   1. Revise los cambios y compruebe que sean correctos. Cuando termine, elija **Guardar y aplicar política**. En su región de origen y en todas las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas y OUs que están asociados a esta política de configuración. Cuenta y se OUs puede asociar a una política de configuración mediante una aplicación directa o mediante herencia de un padre.

------
#### [ Security Hub CSPM API ]

**Para personalizar los valores de un parámetro de control en varias cuentas y regiones (API)**

**Para crear una política de configuración nueva con valores de parámetros de control personalizados**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. Para el objeto `SecurityControlCustomParameters`, indique el identificador de cada control que quiere personalizar.

1. Para el objeto `Parameters`, indique el nombre de cada parámetro que quiere personalizar. Para cada parámetro que personalice, indique `CUSTOM` en `ValueType`. En `Value`, indique el tipo de datos del parámetro y el valor personalizado. El campo `Value` no puede estar vacío cuando el valor de `ValueType` es `CUSTOM`. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual. Para encontrar los parámetros, los tipos de datos y los valores válidos admitidos para un control, invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

**Para personalizar los valores de un parámetro de control en una política de configuración existente**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. En el campo `Identifier`, indique el nombre de recurso de Amazon (ARN) o el identificador de la política de configuración que quiera actualizar.

1. Para el objeto `SecurityControlCustomParameters`, indique el identificador de cada control que quiere personalizar.

1. Para el objeto `Parameters`, indique el nombre de cada parámetro que quiere personalizar. Para cada parámetro que personalice, indique `CUSTOM` en `ValueType`. En `Value`, indique el tipo de datos del parámetro y el valor personalizado. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual. Para encontrar los parámetros, los tipos de datos y los valores válidos admitidos para un control, invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

Por ejemplo, el siguiente AWS CLI comando crea una nueva política de configuración con un valor personalizado para el `daysToExpiration` parámetro de`ACM.1`. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Personalización de parámetros de control en una sola cuenta y región
<a name="customize-control-parameters-local-config"></a>

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, puede personalizar los parámetros de control de su cuenta en una región a la vez.

Elija el método que prefiera y siga los pasos para personalizar los parámetros de control. Los cambios se aplican solo a su cuenta en la región actual. Para personalizar los parámetros de control en otras regiones, repita los siguientes pasos en cada cuenta o región adicional en la que quiere personalizar los parámetros. El mismo control puede utilizar valores de parámetros diferentes en regiones distintas.

------
#### [ Security Hub CSPM console ]

**Para personalizar los valores de un parámetro de control en una cuenta y región (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**. En la tabla, elija un control que admita parámetros personalizados y cuyos parámetros quiere cambiar. La columna **Parámetros personalizados** indica qué controles los admiten.

1. En la página de detalles del control, seleccione la pestaña **Parámetros** y, a continuación, elija **Editar**.

1. Especifique los valores de los parámetros que quiere cambiar.

1. De manera opcional, en la sección **Motivo del cambio**, seleccione un motivo para personalizar los parámetros.

1. Seleccione **Save**.

------
#### [ Security Hub CSPM API ]

**Para personalizar los valores de un parámetro de control en una cuenta y región (API)**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. En `SecurityControlId`, indique el identificador del control que quiere personalizar.

1. Para el objeto `Parameters`, indique el nombre de cada parámetro que quiere personalizar. Para cada parámetro que personalice, indique `CUSTOM` en `ValueType`. En `Value`, indique el tipo de datos del parámetro y el valor personalizado. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual. Para encontrar los parámetros, los tipos de datos y los valores válidos admitidos para un control, invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

1. De manera opcional, en `LastUpdateReason`, indique un motivo para personalizar los parámetros de control.

Por ejemplo, el siguiente AWS CLI comando define un valor personalizado para el `daysToExpiration` parámetro de. `ACM.1` Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Reversión de los valores predeterminados de los parámetros de control
<a name="revert-default-parameter-values"></a>

Un parámetro de control puede tener un valor predeterminado que defina AWS Security Hub CSPM. En ocasiones, el CSPM de Security Hub actualiza el valor predeterminado de un parámetro para alinearlo con la evolución de las prácticas recomendadas de seguridad. Si no ha especificado un valor personalizado para un parámetro de control, el control hace un seguimiento automático de esas actualizaciones y utiliza el nuevo valor predeterminado.

Puede volver a utilizar los valores predeterminados del parámetro para un control. Las instrucciones para revertir parámetros dependen de si usa la [configuración centralizada](central-configuration-intro.md) en el CSPM de Security Hub. La configuración central es una función que el administrador de CSPM del Security Hub delegado puede utilizar para configurar las capacidades de CSPM del Security Hub en todas las cuentas y unidades Regiones de AWS organizativas (). OUs

**nota**  
No todos los parámetros de control tienen un valor predeterminado del CSPM de Security Hub. En esos casos, cuando `ValueType` se establece en `DEFAULT`, no existe un valor predeterminado específico que utilice el CSPM de Security Hub. En su lugar, el CSPM de Security Hub omite el parámetro si no hay un valor personalizado.

## Reversión a los parámetros de control predeterminados en varias cuentas y regiones
<a name="revert-default-parameter-values-central-config"></a>

Si utiliza la configuración central, puede revertir los parámetros de control de varias cuentas administradas de forma centralizada y de la región de origen y OUs las regiones vinculadas.

Elija el método que prefiera y siga los pasos para revertir a los valores predeterminados de los parámetros en varias cuentas y regiones mediante la configuración centralizada.

------
#### [ Security Hub CSPM console ]

**Para revertir los valores predeterminados de los parámetros de control en varias cuentas y regiones (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**.

1. Seleccione una política y, a continuación, elija **Editar**. 

1. En **Política personalizada**, la sección **Controles** muestra una lista de controles para los que especificó parámetros personalizados.

1. Busque el control que tenga uno o varios valores de parámetros que revertir. A continuación, elija **Eliminar** para revertir a los valores predeterminados.

1. En la sección **Cuentas**, compruebe las cuentas o a las OUs que desea aplicar la política.

1. Elija **Siguiente**.

1. Revise los cambios y compruebe que sean correctos. Cuando termine, elija **Guardar y aplicar política**. En su región de origen y en todas las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas y OUs que están asociados a esta política de configuración. Cuenta y se OUs puede asociar a una política de configuración mediante una aplicación directa o mediante herencia de un padre.

------
#### [ Security Hub CSPM API ]

**Para revertir los valores predeterminados de los parámetros de control en varias cuentas y regiones (API)**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) desde la cuenta de administrador delegado de la región de origen.

1. En el campo `Identifier`, indique el nombre de recurso de Amazon (ARN) o el identificador de la política que quiere actualizar.

1. Para el objeto `SecurityControlCustomParameters`, indique el identificador de cada control para revertir uno o varios parámetros.

1. En el objeto `Parameters`, para cada parámetro que quiere revertir, indique `DEFAULT` en el campo `ValueType`. Si `ValueType` está establecido en `DEFAULT`, no es necesario proporcionar un valor para el campo `Value`. Si se incluye un valor en la solicitud, el CSPM de Security Hub lo ignora. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual.

**aviso**  
Si omite un objeto de control del campo `SecurityControlCustomParameters`, el CSPM de Security Hub revierte todos los parámetros personalizados del control a sus valores predeterminados. Una lista completamente vacía para `SecurityControlCustomParameters` revierte los parámetros personalizados de todos los controles a sus valores predeterminados.

Por ejemplo, el siguiente AWS CLI comando revierte el parámetro de `daysToExpiration` control `ACM.1` a su valor predeterminado en la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Reversión a los parámetros de control predeterminados en una sola cuenta y región
<a name="revert-default-parameter-values-local-config"></a>

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, puede revertir al uso de los valores predeterminados de los parámetros para su cuenta en una región a la vez.

Elija el método que prefiera y siga los pasos para revertir a los valores predeterminados de los parámetros para su cuenta en una sola región. Para volver a los valores predeterminados de los parámetros en otras regiones, repita estos pasos en cada región adicional.

**nota**  
Si desactiva el CSPM de Security Hub, se restablecen los parámetros de control personalizados. Si vuelve a habilitar el CSPM de Security Hub en el futuro, todos los controles utilizarán los valores predeterminados de los parámetros para comenzar.

------
#### [ Security Hub CSPM console ]

**Para revertir los valores predeterminados de los parámetros de control en una cuenta o región (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Controles**. Elija el control que quiere revertir a los valores predeterminados de los parámetros.

1. En la pestaña `Parameters`, elija **Personalizado** junto a un parámetro de control. A continuación, seleccione **Eliminar personalización**. Este parámetro ahora usa el valor predeterminado del CSPM de Security Hub y se actualiza automáticamente cuando dicho valor cambie en el futuro.

1. Repita el paso anterior para cada valor de parámetro que quiere revertir.

------
#### [ Security Hub CSPM API ]

**Para revertir los valores predeterminados de los parámetros de control en una cuenta o región (API)**

1. Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. En `SecurityControlId`, indique el ARN o el identificador del control cuyos parámetros quiere revertir.

1. En el objeto `Parameters`, para cada parámetro que quiere revertir, indique `DEFAULT` en el campo `ValueType`. Si `ValueType` está establecido en `DEFAULT`, no es necesario proporcionar un valor para el campo `Value`. Si se incluye un valor en la solicitud, el CSPM de Security Hub lo ignora.

1. De manera opcional, en `LastUpdateReason`, indique un motivo para revertir a los valores predeterminados de los parámetros.

Por ejemplo, el siguiente AWS CLI comando revierte el parámetro de `daysToExpiration` control `ACM.1` a su valor predeterminado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Comprobación del estado de los cambios de los parámetros de control
<a name="parameter-update-status"></a>

Al intentar personalizar un parámetro de control o volver al valor predeterminado, puede validar si los cambios deseados se realizaron correctamente. Esto ayuda a garantizar que un control funcione como se espera y proporcione el valor de seguridad previsto. Si una actualización del parámetro no se completa correctamente, el CSPM de Security Hub retiene el valor actual del parámetro.

Para verificar que la actualización del parámetro se completó correctamente, puede revisar los detalles del control en la consola del CSPM de Security Hub. En el panel de navegación de la consola, elija **Controles**. A continuación, elija un control para mostrar sus detalles. La pestaña **Parámetros** muestra el estado del cambio del parámetro.

Desde el punto de vista programático, si la solicitud de actualización de un parámetro es válida, el valor del campo `UpdateStatus` es `UPDATING` en una respuesta a la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html). Esto significa que la actualización era válida, pero es posible que todos los resultados aún no incluyan los valores de los parámetros actualizados. Cuando el valor de `UpdateState` cambia a `READY`, el CSPM de Security Hub usa los valores actualizados del parámetro de control cuando ejecuta las comprobaciones de seguridad del control. Los resultados incluyen los valores de los parámetros actualizados.

La operación `UpdateSecurityControl` devuelve una respuesta `InvalidInputException` para los valores de los parámetros no válidos. La respuesta proporciona detalles adicionales sobre el motivo del error. Por ejemplo, es posible que haya especificado un valor que está fuera del rango válido de un parámetro. O bien, es posible que haya especificado un valor que no utiliza el tipo de datos correcto. Vuelva a enviar la solicitud con una entrada válida.

Si se produce un error interno al intentar actualizar el valor de un parámetro, el CSPM de Security Hub lo volverá a intentar automáticamente si lo ha activado. AWS Config Para obtener más información, consulte [Consideraciones antes de habilitar y configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).