Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Systems Manager
Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos AWS Systems Manager (SSM). Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager
**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), 5 (8), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-1 NIst.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-3
**Categoría:** Identificar - Inventario
**Gravedad:** media
**Recurso evaluado:** `AWS::EC2::Instance`
`AWS::EC2::Instance`Recursos de grabación ** AWS Config necesarios:** `AWS::SSM::ManagedInstanceInventory`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si las instancias EC2 de su cuenta detenidas y en ejecución están gestionadas por AWS Systems Manager. Systems Manager es un sistema Servicio de AWS que puede utilizar para ver y controlar su AWS infraestructura.
Para ayudarle a mantener la seguridad y el cumplimiento, Systems Manager analiza las instancias administradas detenidas y en ejecución. Una instancia administrada es una máquina configurada para utilizar Systems Manager. Luego, Systems Manager informa o toma medidas correctivas sobre cualquier infracción de política que detecte. Systems Manager también lo ayuda a configurar y mantener sus instancias administradas. Para obtener más información, consulte la [Guía del usuario de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).
**nota**
Este control genera `FAILED` resultados para las instancias EC2 que son instancias de AWS Elastic Disaster Recovery Replication Server administradas por AWS. Una instancia de servidor de replicación es una instancia EC2 que se lanza automáticamente AWS Elastic Disaster Recovery para permitir la replicación continua de datos desde los servidores de origen. AWS elimina intencionadamente el agente Systems Manager (SSM) de estas instancias para mantener el aislamiento y evitar posibles rutas de acceso no deseadas.
### Corrección
Para obtener información sobre la administración de instancias EC2 con AWS Systems Manager, consulte la administración de [hosts de Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) en *AWS Systems Manager la Guía del* usuario. En la sección **de opciones de configuración** de la AWS Systems Manager consola, puede conservar la configuración predeterminada o cambiarla según sea necesario según la configuración que prefiera.
## [SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche
**Requisitos relacionados:** NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), NIST.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Categoría:** Detectar - Servicios de detección
**Gravedad:** alta
**Tipo de recurso:** `AWS::SSM::PatchCompliance`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si el estado de la conformidad de los parches de Systems Manager es `COMPLIANT` o `NON_COMPLIANT` después de instalar el parche en la instancia. El control falla si el estado de conformidad es `NON_COMPLIANT`. El control solo comprueba las instancias administradas por el Administrador de parches de Systems Manager.
Tener las instancias EC2 con parches según lo especificado por su organización reduce la superficie expuesta a ataques de su Cuentas de AWS.
### Corrección
Systems Manager recomienda utilizar [políticas de parches](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) para configurar los parches para las instancias administradas. También puede utilizar los [documentos de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), tal y como se describe en el siguiente procedimiento, para aplicar un parche a una instancia.
**Para solucionar parches no conformes**
1. Abra la AWS Systems Manager consola en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En **Administración de nodos**, elija **Ejecutar comando** y, a continuación, elija **Ejecutar comando**.
1. Seleccione la opción para **AWS- RunPatchBaseline**.
1. Cambie la **Operation (Operación)** a **Install (Instalar)**.
1. Seleccione **Elegir las instancias manualmente** y, a continuación, elija las instancias no conformes.
1. Seleccione **Ejecutar**.
1. Una vez completado el comando, para monitorear el nuevo estado de conformidad de las instancias con parches, elija **Conformidad** en el panel de navegación.
## [SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NiSt.800-53.r5 CM-2, NiSt.800-53.r5 CM-2 (2), NiSt.800-53.r5 CM-8, NiSt.800-53.r5 CM-8 (3), NiSt.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Categoría:** Detectar - Servicios de detección
**Gravedad:** baja
**Tipo de recurso:** `AWS::SSM::AssociationCompliance`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si el estado de conformidad de la AWS Systems Manager asociación es `COMPLIANT` o `NON_COMPLIANT` después de que la asociación se ejecute en una instancia. El control falla si el estado de conformidad de la asociación es `NON_COMPLIANT`.
Una asociación de State Manager es una configuración que se asigna a sus instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y ejecutándose en sus instancias, o bien que determinados puertos deben estar cerrados.
Después de crear una o varias asociaciones de administradores estatales, la información sobre el estado de la conformidad estará disponible inmediatamente. Puede ver el estado de conformidad en la consola o en respuesta a AWS CLI los comandos o las acciones correspondientes de la API de Systems Manager. En el caso de las asociaciones, Conformidad de la configuración muestra el estado de conformidad (`Compliant` o`Non-compliant`). También muestra el nivel de gravedad asignado a la asociación, como `Critical` o `Medium`.
Para obtener más información sobre el cumplimiento de las asociaciones de gerentes estatales, consulte [Acerca del cumplimiento de las asociaciones de gerentes estatales](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) en la *Guía del usuario de AWS Systems Manager *.
### Corrección
Una asociación fallida puede estar relacionada con diferentes factores, como los destinos y los nombres de los documentos de Systems Manager. Para solucionar este problema, primero debe identificar e investigar la asociación consultando el historial de asociaciones. Para obtener instrucciones sobre cómo ver el historial de asociaciones, consulte [Visualización del historial de asociaciones](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) en la *Guía del usuario de AWS Systems Manager *.
Tras investigar, puede editar la asociación para corregir el problema identificado. Puede editar una asociación para especificar un nuevo nombre, la programación, el nivel de gravedad o los destinos. Tras editar una asociación, AWS Systems Manager crea una nueva versión. Para obtener instrucciones sobre cómo editar una asociación, consulte [Edición y creación de una nueva versión de una asociación](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) en la *Guía del usuario de AWS Systems Manager *.
## [SSM.4] Los documentos SSM no deben ser públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente
**Gravedad:** crítica
**Tipo de recurso:** `AWS::SSM::Document`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si AWS Systems Manager los documentos que son propiedad de una cuenta son públicos. El control falla si los documentos de Systems Manager que tienen `Self` como propietario son públicos.
Los documentos de Systems Manager que son públicos pueden permitir el acceso no deseado a sus documentos. Un documento público de Systems Manager puede exponer información valiosa sobre su cuenta, sus recursos y sus procesos internos.
A menos que el caso de uso requiera uso compartido público, recomendamos bloquear el uso compartido público para los documentos de Systems Manager que tengan `Self` como propietario.
### Corrección
Para obtener información sobre cómo configurar el uso compartido de documentos de Systems Manager, consulte [Uso compartido de un documento de SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) en la *Guía del usuario de AWS Systems Manager *.
## [SSM.5] Los documentos de SSM deben estar etiquetados
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::SSM::Document`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si un AWS Systems Manager documento tiene las claves de etiquetas especificadas por el `requiredKeyTags` parámetro. El control falla si el documento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no se especifican valores para el parámetro `requiredKeyTags`, el control solo verifica la existencia de una clave de etiqueta y falla si el documento no tiene ninguna. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`. El control no evalúa los documentos de Systems Manager que pertenecen a Amazon.
Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.
### Corrección
Para añadir etiquetas a un AWS Systems Manager documento, puedes usar la [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operación de la AWS Systems Manager API o, si estás usando la AWS CLI, ejecutar el [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. También puede usar la consola de AWS Systems Manager .
## [SSM.6] La automatización de SSM debe tener el registro activado CloudWatch
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::::Account`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si el CloudWatch registro de Amazon está habilitado para la automatización AWS Systems Manager (SSM). El control falla si el CloudWatch registro no está habilitado para SSM Automation.
SSM Automation es una AWS Systems Manager herramienta que le ayuda a crear soluciones automatizadas para implementar, configurar y administrar AWS los recursos a escala mediante manuales predefinidos o personalizados. Para cumplir requisitos operativos o de seguridad en la organización, podría necesitar proporcionar un registro de los scripts que ejecuta. Puede configurar SSM Automation para enviar el resultado de `aws:executeScript` las acciones de sus runbooks a un grupo de CloudWatch registros de Amazon Logs que especifique. Con CloudWatch Logs, puede monitorear, almacenar y acceder a los archivos de registro de varios archivos. Servicios de AWS
### Corrección
Para obtener información sobre cómo habilitar el CloudWatch registro para SSM Automation, consulte [Registrar los resultados de las acciones de automatización con CloudWatch registros](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) en la *Guía del AWS Systems Manager usuario*.
## [SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público
**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
**Gravedad:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control verifica si la configuración para bloquear el uso compartido público está habilitada para los documentos de AWS Systems Manager . El control falla si la configuración para bloquear el uso compartido público está desactivada para los documentos de Systems Manager.
La configuración de bloquear el uso compartido público de documentos AWS Systems Manager (SSM) es una configuración a nivel de cuenta. Habilitar esta configuración puede evitar el acceso no deseado a los documentos de SSM. Si habilita esta configuración, el cambio no afecta a los documentos de SSM que actualmente comparte con el público. A menos que el caso de uso requiera compartir documentos de SSM con el público, recomendamos habilitar la configuración para bloquear el uso compartido público. La configuración puede ser diferente para cada uno de ellos. Región de AWS
### Corrección
Para obtener información sobre cómo habilitar la configuración para bloquear el uso compartido público de los documentos de AWS Systems Manager (SSM), consulte [Bloqueo del uso compartido público de documentos de SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) en la *Guía del usuario de AWS Systems Manager *.