Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Estándares administrados por el servicio en el CSPM de Security Hub
<a name="service-managed-standards"></a>

Un estándar administrado por servicios es un estándar de seguridad que otro Servicio de AWS administra, pero que puede ver en Security Hub CSPM. Por ejemplo, un estándar gestionado por [servicios: AWS Control Tower es un estándar gestionado](service-managed-standard-aws-control-tower.md) por servicios que gestiona. AWS Control Tower Un estándar administrado por el servicio se diferencia de un estándar de seguridad que el CSPM de AWS Security Hub administra de las siguientes maneras:
+ **Creación y eliminación de estándares**: puede crear y eliminar un estándar de administración de servicios con la consola o la API del servicio de administración, o con AWS CLI. Hasta que cree el estándar en el servicio que lo administra mediante alguno de esos métodos, el estándar no aparece en la consola del CSPM de Security Hub y no está disponible a través de la API del CSPM de Security Hub ni de la AWS CLI.
+ **No hay habilitación automática de controles**: cuando crea un estándar administrado por el servicio, ni el CSPM de Security Hub ni el servicio que lo administra habilitan automáticamente los controles que corresponden al estándar. Además, cuando el CSPM de Security Hub lanza controles nuevos para el estándar, estos controles tampoco se habilitan de manera automática. Esto se aparta del funcionamiento habitual de los estándares que administra directamente el CSPM de Security Hub. Para obtener más información sobre la forma habitual de configurar controles en el CSPM de Security Hub, consulte [Comprensión de los controles de seguridad en el CSPM de Security Hub](controls-view-manage.md).
+ **Habilitar y deshabilitar los controles**: se recomienda habilitar y deshabilitar los controles en el servicio de administración para evitar desviaciones.
+ **Disponibilidad de los controles**: el servicio de administración elige qué controles están disponibles como parte del estándar de administración del servicio. Los controles disponibles pueden incluir todos o solo un subconjunto de los controles existentes del CSPM de Security Hub.

Después de que el servicio administrador crea el estándar administrado por el servicio y pone a disposición los controles que lo conforman, puede acceder a sus resultados, estados de control y puntaje de seguridad desde la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. Es posible que parte o toda esta información también esté disponible en el servicio de administración.

Seleccione un estándar gestionado por el servicio de la siguiente lista para ver más detalles al respecto.

**Topics**
+ [Estándar de gestión de servicios: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# Estándar de gestión de servicios: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Esta sección proporciona información sobre Service-Managed Standard:. AWS Control Tower

## ¿Qué es Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Estándar gestionado por servicios: AWS Control Tower es un estándar gestionado por servicios que AWS Control Tower gestiona y admite un subconjunto de controles de Security Hub. Este estándar está diseñado para los usuarios de AWS Security Hub CSPM y. AWS Control Tower Permite configurar los controles de detección del Security Hub CSPM desde el AWS Control Tower servicio.

Los controles de Detective detectan el incumplimiento de los recursos (por ejemplo, errores de configuración) dentro de su Cuentas de AWS.

**sugerencia**  
Los estándares gestionados por servicios difieren de los estándares que gestiona AWS Security Hub CSPM. Por ejemplo, debe crear y eliminar un estándar administrado por un servicio en el servicio de administración. Para obtener más información, consulte [Estándares administrados por el servicio en el CSPM de Security Hub](service-managed-standards.md).

Cuando habilitas el control CSPM de un Security Hub AWS Control Tower, Control Tower también habilita el Security Hub CSPM para ti en esas cuentas y regiones específicas, si aún no lo ha hecho. En la consola y la API de CSPM de Security Hub, puede ver Service-Managed Standard: junto con otros estándares CSPM de AWS Control Tower Security Hub, una vez que el estándar esté habilitado desde. AWS Control Tower

Para obtener más información sobre este estándar, consulte [Controles del CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) en la *Guía del usuario de AWS Control Tower *.

## Creación del estándar
<a name="aws-control-tower-standard-creation"></a>

Este estándar está disponible en Security Hub CSPM solo si habilita los controles CSPM de Security Hub desde. AWS Control Tower AWS Control Tower crea el estándar cuando se habilita por primera vez un control aplicable mediante uno de los métodos siguientes:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)

Al habilitar un Security Hub, el control CSPM AWS Control Tower, si aún no lo ha hecho, también habilita el AWS Control Tower Security Hub CSPM para usted en esas cuentas y regiones específicas.

Para identificar un control CSPM de Security Hub por su ID de control en Control Catalog, puede utilizar el campo `Implementation.Identifier` de. AWS Control Tower Este campo se asigna al ID de control CSPM de Security Hub y se puede utilizar para filtrar un ID de control específico. Para recuperar los metadatos de control de un control CSPM específico de Security Hub (por ejemplo, «CodeBuild.1") en AWS Control Tower, puedes usar la API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

No puede ver este estándar ni acceder a él en la consola CSPM de Security Hub, en la API CSPM de Security Hub o AWS CLI sin configurar y habilitar primero los controles CSPM de AWS Control Tower Security Hub AWS Control Tower mediante uno de los métodos anteriores.

[Este estándar solo está disponible en los lugares donde está disponible.Regiones de AWSAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Habilitación y deshabilitación de de los controles en el estándar
<a name="aws-control-tower-standard-managing-controls"></a>

Una vez que haya activado los controles CSPM de Security Hub AWS Control Tower y se haya creado el estándar Service-Managed AWS Control Tower Standard: standard, podrá ver el estándar y sus controles disponibles en Security Hub CSPM.

Cuando Security Hub CSPM agrega nuevos controles al estándar Service-Managed Standard: AWS Control Tower standard, no se habilitan automáticamente para los clientes que tienen el estándar habilitado. Debe activar y desactivar los controles del estándar AWS Control Tower mediante uno de los siguientes métodos:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)and [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (ejecuta los [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandos [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)y)

Al cambiar el estado de activación de un control en AWS Control Tower, el cambio también se refleja en Security Hub CSPM.

Sin embargo, si se desactiva un control en Security Hub CSPM que está activado, se AWS Control Tower produce una desviación del control. El estado del control se muestra como. AWS Control Tower `Drifted` Para resolver este problema, utilice la [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API para restablecer el control que está desviado, o bien seleccionando [Volver a registrar la unidad organizativa](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) en la AWS Control Tower consola, o bien deshabilitando y volviendo a activar el control AWS Control Tower mediante uno de los métodos anteriores.

Si completa las acciones de activación y desactivación, evitará que el control se desvíe. AWS Control Tower 

Al activar o desactivar los controles AWS Control Tower, la acción se aplica a todas las cuentas y regiones reguladas por ellos. AWS Control Tower Si habilita y deshabilita los controles en Security Hub CSPM (no se recomienda para este estándar), la acción solo se aplica a la cuenta corriente y la región.

**nota**  
[La configuración central](central-configuration-intro.md) no se puede usar para administrar Service-Managed Standard:. AWS Control Tower*Solo* puede usar el AWS Control Tower servicio para habilitar y deshabilitar los controles de este estándar.

## Visualización del estado de activación y el estado de control
<a name="aws-control-tower-standard-control-status"></a>

Puede ver el estado de habilitación de un control mediante uno de los métodos siguientes:
+ Consola CSPM de Security Hub, API CSPM de Security Hub o AWS CLI
+ AWS Control Tower consola
+ AWS Control Tower API para ver una lista de los controles habilitados (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI para ver una lista de los controles habilitados (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)

Un control que se deshabilita AWS Control Tower tiene un estado de activación `Disabled` en Security Hub CSPM, a menos que se habilite explícitamente ese control en Security Hub CSPM.

El CSPM de Security Hub calcula el estado del control según el estado del flujo de trabajo y el estado de cumplimiento de los resultados del control. Para obtener más información sobre el estado de activación y el estado de control, consulte [Cómo revisar los detalles de los controles en el CSPM de Security Hub](securityhub-standards-control-details.md).

En función de los estados de control, Security Hub CSPM calcula una [puntuación de seguridad](standards-security-score.md) para Service-Managed Standard:. AWS Control Tower Este puntaje solo está disponible en el CSPM de Security Hub. Además, solo puede ver los [resultados de control](controls-findings-create-update.md) en el CSPM de Security Hub. La puntuación de seguridad estándar y los resultados de control no están disponibles en. AWS Control Tower

**nota**  
Al habilitar los controles para Service-Managed Standard: AWS Control Tower, Security Hub CSPM puede tardar hasta 18 horas en generar los resultados de los controles que utilizan una regla vinculada a un servicio existente. AWS Config Si ha habilitado otros estándares y controles en el CSPM de Security Hub, es posible que ya cuente con reglas vinculadas al servicio. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).

## Eliminación de la norma
<a name="aws-control-tower-standard-deletion"></a>

Puede eliminar este servicio gestionado de forma estándar deshabilitando todos los controles aplicables AWS Control Tower mediante uno de los siguientes métodos:
+ AWS Control Tower consola
+ AWS Control Tower API (llame a la [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (ejecuta el [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)

Al deshabilitar todos los controles, se elimina el estándar en todas las cuentas administradas y regiones gobernadas de AWS Control Tower. Al eliminar el estándar, se AWS Control Tower elimina de la página de **estándares** de la consola CSPM de Security Hub y ya no se puede acceder a él mediante la API CSPM de Security Hub o. AWS CLI

**nota**  
 La desactivación de todos los controles del estándar en el CSPM de Security Hub no desactiva ni elimina el estándar. 

Al deshabilitar el servicio CSPM de Security Hub, se elimina Service-Managed Standard: AWS Control Tower y cualquier otro estándar que haya activado.

## Búsqueda del formato de campo para Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Cuando cree Service-Managed Standard: AWS Control Tower y habilite los controles para él, empezará a recibir los resultados de control en Security Hub CSPM. El CSPM de Security Hub informa de los resultados de control en el [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md). Estos son los valores ASFF del nombre de recurso de Amazon (ARN) de este estándar y `GeneratorId`:
+ **ARN estándar** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Para ver un ejemplo de los resultados de Service-Managed Standard:, consulte. AWS Control Tower[Ejemplos de resultados de controles](sample-control-findings.md)

## Controles que se aplican a Service-Managed Standard: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Estándar gestionado por el servicio: AWS Control Tower admite un subconjunto de controles que forman parte del estándar de mejores prácticas de seguridad AWS fundamentales (FSBP). Elija un control para ver información al respecto, incluidos los pasos para remediar los resultados fallidos.

Para ver qué controles CSPM de Security Hub son compatibles AWS Control Tower, puede usar uno de los siguientes métodos:
+ AWS Consola de Control Catalog, donde puede filtrar `“Control owner = AWS Security Hub”`
+ AWS La API de Control Catalog (llame a la [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) con el filtro `Implementations` para `Types` comprobar si `AWS::SecurityHub::SecurityControl`
+ AWS CLI (ejecute el [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) con filtro para`Implementations`. Ejemplo de comando de la CLI:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Los límites regionales de los controles CSPM de Security Hub, cuando se habilitan mediante el estándar de la Torre de Control, pueden no coincidir con los límites regionales de los controles subyacentes.

En Security Hub CSPM, si las [conclusiones de control consolidadas](controls-findings-create-update.md#consolidated-control-findings) están desactivadas en su cuenta, el `ProductFields.ControlId` campo de las conclusiones generadas utiliza el ID de control estándar. **El ID de control basado en estándares tiene el formato CT. ***ControlId***(por ejemplo, CT. CodeBuild**.1).

Para obtener más información sobre este estándar, consulte [Controles del CSPM de Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) en la *Guía del usuario de AWS Control Tower *.