Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Habilitación de controles en el CSPM de Security Hub
En AWS Security Hub CSPM, un control es una salvaguardia dentro de un estándar de seguridad que ayuda a una organización a proteger la confidencialidad, integridad y disponibilidad de su información. Cada control CSPM de Security Hub está relacionado con un recurso específico AWS . Cuando habilita un control, el CSPM de Security Hub comienza a ejecutar comprobaciones de seguridad para el control, así como a generar resultados para este. Además, el CSPM de Security Hub tiene en cuenta todos los controles habilitados cuando calcula las puntuaciones de seguridad.
Puede elegir habilitar un control en todos los estándares de seguridad a los que se aplica. Como alternativa, puede configurar el estado de habilitación de forma diferente en los distintos estándares. Recomendamos la opción anterior, en la que el estado de habilitación de un control se alinea en todos los estándares habilitados. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares a los que se aplica, consulte [Habilitación de un control en todos los estándares](enable-controls-overview.md). Para obtener instrucciones sobre cómo habilitar un control en un estándar específico, consulte [Habilitación de un control en un estándar específico](controls-configure.md).
Si habilita la agregación entre regiones e inicia sesión en una región de agregación, la consola del CSPM de Security Hub muestra los controles que están disponibles en al menos una región vinculada. Si un control está disponible en una región vinculada, pero no en la región de agregación, no podrá habilitar ni deshabilitar ese control desde la región de agregación.
Puede habilitar y deshabilitar los controles en cada región mediante la consola CSPM de Security Hub, la API CSPM de Security Hub o. AWS CLI
Las instrucciones para habilitar y deshabilitar los controles varían en función de si se utiliza o no la [configuración centralizada](central-configuration-intro.md). En este tema se describen las diferencias. La configuración central está disponible para los usuarios que integren Security Hub CSPM y. AWS Organizations Recomendamos utilizar la configuración centralizada para simplificar el proceso de habilitación y deshabilitación de los controles en entornos de varias cuentas y regiones. Si utiliza la configuración centralizada, puede habilitar un control en varias cuentas y regiones mediante el uso de políticas de configuración. Si no utiliza la configuración centralizada, debe habilitar un control por separado en cada cuenta y región.
# Habilitación de un control en todos los estándares
Recomendamos habilitar el control CSPM de AWS Security Hub en todos los estándares a los que se aplica el control. Si activa los resultados de control consolidados, recibirá un resultado por comprobación de control, incluso si un control pertenece a más de un estándar.
## Habilitación entre estándares en entornos de varias cuentas y varias regiones
[Para habilitar el control de seguridad en varias Cuentas de AWS direcciones Regiones de AWS, debe iniciar sesión en la cuenta de administrador CSPM de Security Hub delegada y usar la configuración central.](central-configuration-intro.md)
En la configuración centralizada, el administrador delegado puede crear políticas de configuración del CSPM de Security Hub que habilitan los controles especificados en los estándares habilitados. A continuación, puede asociar la política de configuración a cuentas y unidades organizativas específicas (OUs) o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.
Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por habilitar todos los controles en una unidad organizativa y puede optar por habilitar solo los controles de Amazon Elastic Compute Cloud (EC2) en otra unidad organizativa. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que habilite controles especificados en estándares, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).
**nota**
El administrador delegado puede crear políticas de configuración para gestionar los controles en todos los estándares, excepto en el estándar de [gestión de servicios:](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html). AWS Control Tower Los controles de este estándar deben configurarse en el servicio. AWS Control Tower
Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.
## Habilitación entre estándares en una sola cuenta y región
Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para habilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para habilitar un control en una sola cuenta y región.
------
#### [ Security Hub CSPM console ]
**Para habilitar un control en los estándares en una cuenta y región**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, elija **Controles**.
1. Seleccione la pestaña **Deshabilitado**.
1. Seleccione la opción situada junto a un control.
1. Seleccione **Habilitar el control** (esta opción no aparece en los controles que ya están activados).
1. Repítalo en cada región en la que quiere habilitar el control.
------
#### [ Security Hub CSPM API ]
**Para habilitar un control en los estándares en una cuenta y región**
1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Proporcione un ID de control de seguridad.
**Ejemplo de solicitud:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Proporcione el nombre de recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener el estándar ARNs, ejecute. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)
1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`. Si sigue estos pasos para un control que ya está habilitado, la API devuelve una respuesta con el código de estado HTTP 200.
**Ejemplo de solicitud:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. Repítalo en cada región en la que quiere habilitar el control.
------
#### [ AWS CLI ]
**Para habilitar un control en los estándares en una cuenta y región**
1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Proporcione un ID de control de seguridad.
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Proporcione el nombre de recurso de Amazon (ARN) de cualquier estándar en el que el control no esté habilitado. Para obtener el estándar ARNs, ejecute el `describe-standards` comando.
1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. Repítalo en cada región en la que quiere habilitar el control.
------
# Habilitación de un control en un estándar específico
Al habilitar un estándar en AWS Security Hub CSPM, todos los controles que se le aplican se habilitan automáticamente en ese estándar (con la excepción de los estándares gestionados por servicios). Puede deshabilitar y rehabilitar controles específicos dentro del estándar. Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados. Para obtener instrucciones sobre cómo habilitar un control en todos los estándares, consulte [Habilitación de un control en todos los estándares](enable-controls-overview.md).
La página de detalles de un estándar contiene la lista de los controles aplicables al estándar e información sobre los controles que están actualmente habilitados y deshabilitados en ese estándar.
En la página de detalles de los estándares, también puede habilitar controles en estándares específicos. Debe habilitar los controles en estándares específicos por separado en cada uno y. Cuenta de AWS Región de AWS Cuando habilita un control en estándares específicos, solo afecta a la cuenta y a la región actuales.
Para habilitar un control en un estándar, primero debe habilitar al menos un estándar al que se aplique el control. Para obtener instrucciones sobre cómo habilitar un estándar, consulte [Habilitación de un estándar de seguridad](enable-standards.md). Cuando habilita un control en uno o más estándares, el CSPM de Security Hub comienza a generar resultados para ese control. El CSPM de Security Hub incluye el [estado del control](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) en el cálculo del puntaje de seguridad general y de los puntajes de seguridad de los estándares. Incluso si habilita un control en varios estándares, recibirá un único resultado por control de seguridad en todos los estándares si activa los resultados de control consolidados. Para obtener más información, consulte [Resultados de control consolidados](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).
Para habilitar un control en un estándar, el control debe estar disponible en su región actual. Para obtener más información, consulte [Disponibilidad de controles por región](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).
Siga estos pasos para habilitar un control del CSPM de Security Hub en un *estándar específico*. En lugar de los siguientes pasos, también puede usar la acción de la API de [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) para habilitar los controles en un estándar específico. Para obtener instrucciones sobre cómo habilitar un control en *todos* los estándares, consulte [Habilitación entre estándares en una sola cuenta y región](enable-controls-overview.md#enable-controls-all-standards).
------
#### [ Security Hub CSPM console ]
**Habilitación de un control en un estándar específico**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Elija **Estándares de seguridad** en el panel de navegación.
1. Seleccione **Ver resultados** para el estándar correspondiente.
1. Seleccione un control.
1. Seleccione **Habilitar el control** (esta opción no aparece en los controles que ya están activados). Confirme seleccionando **Habilitar**.
------
#### [ Security Hub CSPM API ]
**Habilitación de un control en un estándar específico**
1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Esta API devuelve un control de seguridad independiente del estándar, no un control IDs específico del estándar. IDs
**Ejemplo de solicitud:**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.
**Ejemplo de solicitud:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Ejecute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Indique el ARN del estándar en el que desee habilitar el control.
1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`.
**Ejemplo de solicitud:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
```
------
#### [ AWS CLI ]
**Habilitación de un control en un estándar específico**
1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute `describe-standards`. Este comando devuelve un control de seguridad independiente del estándar, no un control específico del estándar. IDs IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Ejecute el comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Indique el ARN del estándar en el que desee habilitar el control.
1. Defina el parámetro `AssociationStatus` equivalente a `ENABLED`.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
```
------
# Habilitación de nuevos controles en estándares habilitados automáticamente
AWS Security Hub CSPM publica periódicamente nuevos controles y los añade a uno o más estándares. Puede elegir si quiere habilitar automáticamente nuevos controles en sus estándares habilitados.
Recomendamos usar la configuración centralizada del CSPM de Security Hub para habilitar automáticamente los nuevos controles de seguridad. Puede crear políticas de configuración que incluyan una lista de controles que se deben deshabilitar en los estándares. Todos los demás controles, incluidos los recién lanzados, están habilitados de manera predeterminada. Como alternativa, puede crear políticas que incluyan una lista de controles que se deben habilitar en los estándares. Todos los demás controles, incluidos los recién lanzados, están deshabilitados de manera predeterminada. Para obtener más información, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).
El CSPM de Security Hub no habilita controles nuevos cuando se agregan a un estándar que no haya habilitado.
Las siguientes instrucciones solo se aplican si no utiliza la configuración centralizada.
Elija el método de acceso que prefiera y siga los pasos para activar automáticamente los nuevos controles en los estándares habilitados.
**nota**
Cuando habilita controles nuevos de manera automática según estas instrucciones, podrá interactuar con los controles en la consola y también mediante programación inmediatamente después de su publicación. Sin embargo, los controles habilitados automáticamente tienen un estado predeterminado temporal de **Desactivado**. El CSPM de Security Hub puede tardar varios días en procesar la publicación de un control y asignarlo con el estado **Habilitado** en la cuenta. Durante este periodo de procesamiento, puede habilitar o desactivar manualmente cualquier control, y el CSPM de Security Hub mantendrá la selección que realice, independientemente de si tiene activada la habilitación automática de controles.
------
#### [ Security Hub CSPM console ]
**Habilitación automática de nuevos controles**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, elija **Configuración** y luego elija la pestaña **General**.
1. En **Controles**, seleccione **Editar**.
1. Active la **Activación automática de nuevos controles en los estándares habilitados**.
1. Seleccione **Save**.
------
#### [ Security Hub CSPM API ]
**Habilitación automática de nuevos controles**
1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).
1. Para activar automáticamente los nuevos controles para los estándares habilitados, establezca `AutoEnableControls` como `true`. Si no desea habilitar automáticamente los nuevos controles, establezca `AutoEnableControls` como falso.
------
#### [ AWS CLI ]
**Habilitación automática de nuevos controles**
1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).
1. Para activar automáticamente los nuevos controles para los estándares habilitados, especifique `--auto-enable-controls`. Si no desea habilitar automáticamente los nuevos controles, especifique `--no-auto-enable-controls`.
```
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
```
**Comando de ejemplo:**
```
aws securityhub update-security-hub-configuration --auto-enable-controls
```
------
Si no habilita automáticamente los controles nuevos, debe habilitarlos manualmente. Para obtener instrucciones, consulte [Habilitación de controles en el CSPM de Security Hub](securityhub-standards-enable-disable-controls.md).