Impacto de la consolidación en los campos y valores ASFF
El CSPM de AWS Security Hub ofrece dos tipos de consolidación para los controles:
-
Vista consolidada de controles: con este tipo de consolidación, cada control usa un único identificador para todos los estándares. Además, en la consola del CSPM de Security Hub, la página Controles muestra todos los controles de todos los estándares.
-
Resultados consolidados de controles: con este tipo de consolidación, el CSPM de Security Hub genera un único resultado para un control, incluso si dicho control se aplica a varios estándares habilitados. Esto puede reducir el ruido de los resultados.
No es posible habilitar o desactivar la vista de controles consolidados. Los resultados consolidados de controles se habilitan de manera predeterminada si habilitó el CSPM de Security Hub el 23 de febrero de 2023 o después de esa fecha. De lo contrario, permanecen desactivados de manera predeterminada. Sin embargo, en Organizations, los resultados consolidados de controles solo se habilitan para las cuentas de miembro del CSPM de Security Hub si primero están habilitados para la cuenta administradora. Para obtener más información sobre los resultados consolidados de controles, consulte Generación y actualización de los resultados de control.
Ambos tipos de consolidación afectan los campos y valores de los resultados de controles en el Formato de resultados de seguridad de AWS (ASFF).
Temas
Vista de controles consolidada: cambios en ASFF
La característica de vista consolidada de controles introdujo los siguientes cambios en los campos y valores de los resultados de controles en el formato ASFF. Si los flujos de trabajo no dependen de los valores de estos campos del formato ASFF, no se requiere ninguna acción. Si los flujos de trabajo sí dependen de valores específicos en estos campos, actualice los flujos de trabajo para usar los valores actuales.
| Campo de ASFF | Valor de muestra antes de la vista de controles consolidados | Valor de ejemplo después de la vista consolidada de controles y una descripción del cambio |
|---|---|---|
|
Compliance.SecurityControlId |
No aplicable (campo nuevo) |
EC2.2 Introduzca un único identificador de control en todos los estándares. |
|
Compliance.AssociatedStandards |
No aplicable (campo nuevo) |
[{“StandardsId”: “standards/aws-foundational-security-best-practices/v/1.0.0”}] Muestra en qué estándares está activado un control. |
|
ProductFields.ArchivalReasons:0/Description |
No aplicable (campo nuevo) |
“El resultado se encuentra ARCHIVADO porque los resultados del control consolidado se han activado o desactivado. Esto hace que los resultados del estado anterior se archiven cuando se generen nuevos resultados”. Describe por qué el CSPM de Security Hub ha archivado resultados existentes. |
|
ProductFields.ArchivalReasons:0/ReasonCode |
No aplicable (campo nuevo) |
“CONSOLIDATED_CONTROL_FINDINGS_UPDATE” Proporciona el motivo por el cual el CSPM de Security Hub ha archivado resultados existentes. |
|
ProductFields.RecommendationUrl |
https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation |
https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Este campo ya no hace referencia a un estándar. |
|
Remediation.Recommendation.Text |
“Para obtener instrucciones sobre cómo corregir este problema, consulte la documentación de PCI-DSS del CSPM de AWS Security Hub”. |
“Para obtener instrucciones sobre cómo corregir este problema, consulte la documentación de controles del CSPM de AWS Security Hub”. Este campo ya no hace referencia a un estándar. |
|
Remediation.Recommendation.Url |
https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation |
https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Este campo ya no hace referencia a un estándar. |
Resultados de control consolidados: cambios en ASFF
Si habilita los resultados de controles consolidados, podría verse afectado por los siguientes cambios en los campos y valores de los resultados de controles en el formato ASFF. Estos cambios se suman a los cambios introducidos por la característica de vista consolidada de controles. Si los flujos de trabajo no dependen de los valores de estos campos del formato ASFF, no se requiere ninguna acción. Si los flujos de trabajo sí dependen de valores específicos en estos campos, actualice los flujos de trabajo para usar los valores actuales.
sugerencia
Si utiliza la solución Respuesta de seguridad automatizada en AWS v2.0.0
| Campo de ASFF | Valor de ejemplo antes de habilitar los resultados consolidados de controles | Valor de ejemplo después de habilitar los resultados consolidados de controles y una descripción del cambio. |
|---|---|---|
| GeneratorId | aws-foundational-security-best-practices/v/1.0.0/Config.1 |
security-control/Config.1 Este campo ya no hace referencia a un estándar. |
| Título | PCI.config.1 AWS Config debe estar habilitado |
AWS Config debe estar habilitado Este campo ya no hace referencia a información específica del estándar. |
| Id |
arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab6d6a26-a156-48f0-9403-115983e5a956 |
arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 Este campo ya no hace referencia a un estándar. |
| ProductFields.ControlId | PCI.EC2.2 |
Eliminado. En su lugar, consulte Este campo se ha eliminado en favor de un único identificador de control independiente del estándar. |
| ProductFields.RuleId | 1.3 |
Eliminado. En su lugar, consulte Este campo se ha eliminado en favor de un único identificador de control independiente del estándar. |
| Descripción | Este control PCI DSS comprueba si AWS Config está habilitado en la cuenta y en la región actuales. |
Este control de AWS comprueba si AWS Config está habilitado en la cuenta actual y en la región. Este campo ya no hace referencia a un estándar. |
| Gravedad |
“Severity”: { “Product”: 90, “Label”: “CRÍTICO”, “Normalized”: 90, “Original”: “CRÍTICO” } |
“Severity”: { “Label”: “CRÍTICO”, “Normalized”: 90, “Original”: “CRÍTICO” } El CSPM de Security Hub ya no usa el campo Producto para describir la gravedad de un resultado. |
| Tipos | [“Comprobaciones de software y configuración/Normas industriales y reglamentarias/PCI-DSS”] | [“Comprobaciones de software y configuración/Normas industriales y reglamentarias”] Este campo ya no hace referencia a un estándar. |
| Compliance.RelatedRequirements |
[“PCI DSS 10.5.2”, “PCI DSS 11.5”, “CIS AWS Foundations 2.5”] |
[“PCI DSS v3.2.1/10.5.2”, “PCI DSS v3.2.1/11.5”, “CIS AWS Foundations Benchmark v1.2.0/2.5”] Este campo muestra los requisitos relacionados en todos los estándares habilitados. |
| CreatedAt | 2022-05-05T08:18:13.138Z |
2022-09-25T08:18:13.138Z El formato permanece igual, pero el valor se restablece cuando habilita los resultados consolidados de controles. |
| FirstObservedAt |
2022-05-07T08:18:13.138Z |
2022-09-28T08:18:13.138Z El formato permanece igual, pero el valor se restablece cuando habilita los resultados consolidados de controles. |
| ProductFields.RecommendationUrl | https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation |
Eliminado. En su lugar, consulte |
| ProductFields.StandardsArn |
arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0 |
Eliminado. En su lugar, consulte |
| ProductFields.StandardsControlArn |
arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/Config.1 |
Eliminado. El CSPM de Security Hub genera un resultado para una comprobación de seguridad aplicable a varios estándares. |
| ProductFields.StandardsGuideArn | arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0 |
Eliminado. En su lugar, consulte |
| ProductFields.StandardsGuideSubscriptionArn | arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0 |
Eliminado. El CSPM de Security Hub genera un resultado para una comprobación de seguridad aplicable a varios estándares. |
| ProductFields.StandardsSubscriptionArn | arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 |
Eliminado. El CSPM de Security Hub genera un resultado para una comprobación de seguridad aplicable a varios estándares. |
| ProductFields.aws/securityhub/FindingId | arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67 |
arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67 Este campo ya no hace referencia a un estándar. |
Valores para los campos del ASFF proporcionados por el cliente tras activar los resultados de control consolidados
Si habilita los resultados consolidados de controles, el CSPM de Security Hub genera un único resultado aplicable a varios estándares y archiva los resultados originales (resultados separados para cada estándar).
Las actualizaciones que hizo a los resultados originales mediante la consola del CSPM de Security Hub o mediante la operación BatchUpdateFindings no se conservarán en los nuevos resultados. Si es necesario, puede recuperar estos datos al consultar los resultados archivados. Para revisar los resultados archivados, puede abrir la página Resultados en la consola del CSPM de Security Hub y aplicar el filtro Estado del registro para elegir ARCHIVADO. También puede usar la operación GetFindings en la API del CSPM de Security Hub.
| Campo de ASFF proporcionado por el cliente | Descripción del cambio después de habilitar los resultados consolidados de controles |
|---|---|
| Confianza | Se restablece al estado vacío. |
| Criticidad | Se restablece al estado vacío. |
| Nota | Se restablece al estado vacío. |
| RelatedFindings | Se restablece al estado vacío. |
| Gravedad | Gravedad predeterminada del resultado (coincide con la gravedad del control). |
| Tipos | Se restablece a un valor independiente del estándar. |
| UserDefinedFields | Se restablece al estado vacío. |
| VerificationState | Se restablece al estado vacío. |
| Flujo de trabajo | Los nuevos resultados fallidos tienen un valor predeterminado de NEW. Los nuevos resultados aprobados tienen un valor predeterminado de RESOLVED. |
Identificadores de generador antes y después de habilitar los resultados consolidados de controles
En la siguiente tabla, se enumeran los cambios en los valores de identificador de generador para los controles cuando habilita los resultados consolidados de controles. Estos cambios se aplican a los controles que el CSPM de Security Hub admitía al 15 de febrero de 2023.
| Identificador de generador antes de habilitar los resultados consolidados de controles | Identificador de generador después de habilitar los resultados consolidados de controles |
|---|---|
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.1 |
security-control/CloudWatch.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.10 |
security-control/IAM.16 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.11 |
security-control/IAM.17 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.12 |
security-control/IAM.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13 |
security-control/IAM.9 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.14 |
security-control/IAM.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.16 |
security-control/IAM.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.2 |
security-control/IAM.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.20 |
security-control/IAM.18 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.22 |
security-control/IAM.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.3 |
security-control/IAM.8 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.4 |
security-control/IAM.3 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.5 |
security-control/IAM.11 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.6 |
security-control/IAM.12 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.7 |
security-control/IAM.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.8 |
security-control/IAM.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.9 |
security-control/IAM.15 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.1 |
security-control/CloudTrail.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.2 |
security-control/CloudTrail.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.3 |
security-control/CloudTrail.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.4 |
security-control/CloudTrail.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.5 |
security-control/Config.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.6 |
security-control/CloudTrail.7 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7 |
security-control/CloudTrail.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.8 |
security-control/KMS.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.9 |
security-control/EC2.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.1 |
security-control/CloudWatch.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.2 |
security-control/CloudWatch.3 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.3 |
security-control/CloudWatch.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.4 |
security-control/CloudWatch.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.5 |
security-control/CloudWatch.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.6 |
security-control/CloudWatch.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.7 |
security-control/CloudWatch.7 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.8 |
security-control/CloudWatch.8 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.9 |
security-control/CloudWatch.9 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.10 |
security-control/CloudWatch.10 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.11 |
security-control/CloudWatch.11 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.12 |
security-control/CloudWatch.12 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.13 |
security-control/CloudWatch.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.14 |
security-control/CloudWatch.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.1 |
security-control/EC2.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.2 |
security-control/EC2.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.3 |
security-control/EC2.2 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.10 |
security-control/IAM.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.14 |
security-control/IAM.3 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.16 |
security-control/IAM.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.17 |
security-control/IAM.18 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.4 |
security-control/IAM.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.5 |
security-control/IAM.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.6 |
security-control/IAM.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.7 |
security-control/CloudWatch.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.8 |
security-control/IAM.15 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.9 |
security-control/IAM.16 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.2 |
security-control/S3.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1 |
security-control/S3.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2 |
security-control/S3.8 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.2.1 |
security-control/EC2.7 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.3.1 |
security-control/RDS.3 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.1 |
security-control/CloudTrail.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.2 |
security-control/CloudTrail.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.4 |
security-control/CloudTrail.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.5 |
security-control/Config.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.6 |
security-control/S3.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.7 |
security-control/CloudTrail.2 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.8 |
security-control/KMS.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.9 |
security-control/EC2.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.3 |
security-control/CloudWatch.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.4 |
security-control/CloudWatch.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.5 |
security-control/CloudWatch.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.6 |
security-control/CloudWatch.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.7 |
security-control/CloudWatch.7 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.8 |
security-control/CloudWatch.8 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.9 |
security-control/CloudWatch.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.10 |
security-control/CloudWatch.10 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.11 |
security-control/CloudWatch.11 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.12 |
security-control/CloudWatch.12 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.13 |
security-control/CloudWatch.13 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.14 |
security-control/CloudWatch.14 |
|
cis-aws-foundations-benchmark/v/1.4.0/5.1 |
security-control/EC2.21 |
|
cis-aws-foundations-benchmark/v/1.4.0/5.3 |
security-control/EC2.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Account.1 |
security-control/Account.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ACM.1 |
security-control/ACM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.1 |
security-control/APIGateway.1 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.2 |
security-control/APIGateway.2 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.3 |
security-control/APIGateway.3 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.4 |
security-control/APIGateway.4 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.5 |
security-control/APIGateway.5 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.8 |
security-control/APIGateway.8 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.9 |
security-control/APIGateway.9 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.1 |
security-control/AutoScaling.1 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.2 |
security-control/AutoScaling.2 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.3 |
security-control/AutoScaling.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Autoscaling.5 |
security-control/Autoscaling.5 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.6 |
security-control/AutoScaling.6 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.9 |
security-control/AutoScaling.9 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.1 |
security-control/CloudFront.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.3 |
security-control/CloudFront.3 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.4 |
security-control/CloudFront.4 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.5 |
security-control/CloudFront.5 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.6 |
security-control/CloudFront.6 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.7 |
security-control/CloudFront.7 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.8 |
security-control/CloudFront.8 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.9 |
security-control/CloudFront.9 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.10 |
security-control/CloudFront.10 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.12 |
security-control/CloudFront.12 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.1 |
security-control/CloudTrail.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2 |
security-control/CloudTrail.2 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.4 |
security-control/CloudTrail.4 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.5 |
security-control/CloudTrail.5 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.1 |
security-control/CodeBuild.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.2 |
security-control/CodeBuild.2 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.3 |
security-control/CodeBuild.3 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.4 |
security-control/CodeBuild.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Config.1 |
security-control/Config.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DMS.1 |
security-control/DMS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.1 |
security-control/DynamoDB.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.2 |
security-control/DynamoDB.2 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.3 |
security-control/DynamoDB.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.1 |
security-control/EC2.1 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.3 |
security-control/EC2.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.4 |
security-control/EC2.4 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.6 |
security-control/EC2.6 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.7 |
security-control/EC2.7 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.8 |
security-control/EC2.8 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.9 |
security-control/EC2.9 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.10 |
security-control/EC2.10 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.15 |
security-control/EC2.15 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.16 |
security-control/EC2.16 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.17 |
security-control/EC2.17 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.18 |
security-control/EC2.18 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.19 |
security-control/EC2.19 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.2 |
security-control/EC2.2 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.20 |
security-control/EC2.20 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.21 |
security-control/EC2.21 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.23 |
security-control/EC2.23 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.24 |
security-control/EC2.24 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.25 |
security-control/EC2.25 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.1 |
security-control/ECR.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.2 |
security-control/ECR.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.3 |
security-control/ECR.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.1 |
security-control/ECS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.10 |
security-control/ECS.10 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.12 |
security-control/ECS.12 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.2 |
security-control/ECS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.3 |
security-control/ECS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.4 |
security-control/ECS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.5 |
security-control/ECS.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.8 |
security-control/ECS.8 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.1 |
security-control/EFS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.2 |
security-control/EFS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.3 |
security-control/EFS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.4 |
security-control/EFS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/EKS.2 |
security-control/EKS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.1 |
security-control/ElasticBeanstalk.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.2 |
security-control/ElasticBeanstalk.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ELBv2.1 |
security-control/ELB.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.2 |
security-control/ELB.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.3 |
security-control/ELB.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.4 |
security-control/ELB.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.5 |
security-control/ELB.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.6 |
security-control/ELB.6 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.7 |
security-control/ELB.7 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.8 |
security-control/ELB.8 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.9 |
security-control/ELB.9 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.10 |
security-control/ELB.10 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.11 |
security-control/ELB.11 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.12 |
security-control/ELB.12 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.13 |
security-control/ELB.13 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.14 |
security-control/ELB.14 |
|
aws-foundational-security-best-practices/v/1.0.0/EMR.1 |
security-control/EMR.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.1 |
security-control/ES.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.2 |
security-control/ES.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.3 |
security-control/ES.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.4 |
security-control/ES.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.5 |
security-control/ES.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.6 |
security-control/ES.6 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.7 |
security-control/ES.7 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.8 |
security-control/ES.8 |
|
aws-foundational-security-best-practices/v/1.0.0/GuardDuty.1 |
security-control/GuardDuty.1 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.1 |
security-control/IAM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.2 |
security-control/IAM.2 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.21 |
security-control/IAM.21 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.3 |
security-control/IAM.3 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.4 |
security-control/IAM.4 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.5 |
security-control/IAM.5 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.6 |
security-control/IAM.6 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.7 |
security-control/IAM.7 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.8 |
security-control/IAM.8 |
|
aws-foundational-security-best-practices/v/1.0.0/Kinesis.1 |
security-control/Kinesis.1 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.1 |
security-control/KMS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.2 |
security-control/KMS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.3 |
security-control/KMS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.1 |
security-control/Lambda.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.2 |
security-control/Lambda.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.5 |
security-control/Lambda.5 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.3 |
security-control/NetworkFirewall.3 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.4 |
security-control/NetworkFirewall.4 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.5 |
security-control/NetworkFirewall.5 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.6 |
security-control/NetworkFirewall.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.1 |
security-control/Opensearch.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.2 |
security-control/Opensearch.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.3 |
security-control/Opensearch.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.4 |
security-control/Opensearch.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.5 |
security-control/Opensearch.5 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.6 |
security-control/Opensearch.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.7 |
security-control/Opensearch.7 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.8 |
security-control/Opensearch.8 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.1 |
security-control/RDS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.10 |
security-control/RDS.10 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.11 |
security-control/RDS.11 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.12 |
security-control/RDS.12 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.13 |
security-control/RDS.13 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.14 |
security-control/RDS.14 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.15 |
security-control/RDS.15 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.16 |
security-control/RDS.16 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.17 |
security-control/RDS.17 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.19 |
security-control/RDS.19 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.2 |
security-control/RDS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.20 |
security-control/RDS.20 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.21 |
security-control/RDS.21 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.22 |
security-control/RDS.22 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.23 |
security-control/RDS.23 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.24 |
security-control/RDS.24 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.25 |
security-control/RDS.25 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.3 |
security-control/RDS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.4 |
security-control/RDS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.5 |
security-control/RDS.5 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.6 |
security-control/RDS.6 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.7 |
security-control/RDS.7 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.8 |
security-control/RDS.8 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.9 |
security-control/RDS.9 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.1 |
security-control/Redshift.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.2 |
security-control/Redshift.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.3 |
security-control/Redshift.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.4 |
security-control/Redshift.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.6 |
security-control/Redshift.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.7 |
security-control/Redshift.7 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.8 |
security-control/Redshift.8 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.9 |
security-control/Redshift.9 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.1 |
security-control/S3.1 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.12 |
security-control/S3.12 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.13 |
security-control/S3.13 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.2 |
security-control/S3.2 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.3 |
security-control/S3.3 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.5 |
security-control/S3.5 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.6 |
security-control/S3.6 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.8 |
security-control/S3.8 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.9 |
security-control/S3.9 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.1 |
security-control/SageMaker.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.2 |
security-control/SageMaker.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.3 |
security-control/SageMaker.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.1 |
security-control/SecretsManager.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.2 |
security-control/SecretsManager.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.3 |
security-control/SecretsManager.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.4 |
security-control/SecretsManager.4 |
|
aws-foundational-security-best-practices/v/1.0.0/SQS.1 |
security-control/SQS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.1 |
security-control/SSM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.2 |
security-control/SSM.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.3 |
security-control/SSM.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.4 |
security-control/SSM.4 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.1 |
security-control/WAF.1 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.2 |
security-control/WAF.2 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.3 |
security-control/WAF.3 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.4 |
security-control/WAF.4 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.6 |
security-control/WAF.6 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.7 |
security-control/WAF.7 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.8 |
security-control/WAF.8 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.10 |
security-control/WAF.10 |
|
pci-dss/v/3.2.1/PCI.AutoScaling.1 |
security-control/AutoScaling.1 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.1 |
security-control/CloudTrail.2 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.2 |
security-control/CloudTrail.3 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.3 |
security-control/CloudTrail.4 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.4 |
security-control/CloudTrail.5 |
|
pci-dss/v/3.2.1/PCI.CodeBuild.1 |
security-control/CodeBuild.1 |
|
pci-dss/v/3.2.1/PCI.CodeBuild.2 |
security-control/CodeBuild.2 |
|
pci-dss/v/3.2.1/PCI.Config.1 |
security-control/Config.1 |
|
pci-dss/v/3.2.1/PCI.CW.1 |
security-control/CloudWatch.1 |
|
pci-dss/v/3.2.1/PCI.DMS.1 |
security-control/DMS.1 |
|
pci-dss/v/3.2.1/PCI.EC2.1 |
security-control/EC2.1 |
|
pci-dss/v/3.2.1/PCI.EC2.2 |
security-control/EC2.2 |
|
pci-dss/v/3.2.1/PCI.EC2.4 |
security-control/EC2.12 |
|
pci-dss/v/3.2.1/PCI.EC2.5 |
security-control/EC2.13 |
|
pci-dss/v/3.2.1/PCI.EC2.6 |
security-control/EC2.6 |
|
pci-dss/v/3.2.1/PCI.ELBv2.1 |
security-control/ELB.1 |
|
pci-dss/v/3.2.1/PCI.ES.1 |
security-control/ES.2 |
|
pci-dss/v/3.2.1/PCI.ES.2 |
security-control/ES.1 |
|
pci-dss/v/3.2.1/PCI.GuardDuty.1 |
security-control/GuardDuty.1 |
|
pci-dss/v/3.2.1/PCI.IAM.1 |
security-control/IAM.4 |
|
pci-dss/v/3.2.1/PCI.IAM.2 |
security-control/IAM.2 |
|
pci-dss/v/3.2.1/PCI.IAM.3 |
security-control/IAM.1 |
|
pci-dss/v/3.2.1/PCI.IAM.4 |
security-control/IAM.6 |
|
pci-dss/v/3.2.1/PCI.IAM.5 |
security-control/IAM.9 |
|
pci-dss/v/3.2.1/PCI.IAM.6 |
security-control/IAM.19 |
|
pci-dss/v/3.2.1/PCI.IAM.7 |
security-control/IAM.8 |
|
pci-dss/v/3.2.1/PCI.IAM.8 |
security-control/IAM.10 |
|
pci-dss/v/3.2.1/PCI.KMS.1 |
security-control/KMS.4 |
|
pci-dss/v/3.2.1/PCI.Lambda.1 |
security-control/Lambda.1 |
|
pci-dss/v/3.2.1/PCI.Lambda.2 |
security-control/Lambda.3 |
|
pci-dss/v/3.2.1/PCI.Opensearch.1 |
security-control/Opensearch.2 |
|
pci-dss/v/3.2.1/PCI.Opensearch.2 |
security-control/Opensearch.1 |
|
pci-dss/v/3.2.1/PCI.RDS.1 |
security-control/RDS.1 |
|
pci-dss/v/3.2.1/PCI.RDS.2 |
security-control/RDS.2 |
|
pci-dss/v/3.2.1/PCI.Redshift.1 |
security-control/Redshift.1 |
|
pci-dss/v/3.2.1/PCI.S3.1 |
security-control/S3.3 |
|
pci-dss/v/3.2.1/PCI.S3.2 |
security-control/S3.2 |
|
pci-dss/v/3.2.1/PCI.S3.3 |
security-control/S3.7 |
|
pci-dss/v/3.2.1/PCI.S3.5 |
security-control/S3.5 |
|
pci-dss/v/3.2.1/PCI.S3.6 |
security-control/S3.1 |
|
pci-dss/v/3.2.1/PCI.SageMaker.1 |
security-control/SageMaker.1 |
|
pci-dss/v/3.2.1/PCI.SSM.1 |
security-control/SSM.2 |
|
pci-dss/v/3.2.1/PCI.SSM.2 |
security-control/SSM.3 |
|
pci-dss/v/3.2.1/PCI.SSM.3 |
security-control/SSM.1 |
|
service-managed-aws-control-tower/v/1.0.0/ACM.1 |
security-control/ACM.1 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.1 |
security-control/APIGateway.1 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.2 |
security-control/APIGateway.2 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.3 |
security-control/APIGateway.3 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.4 |
security-control/APIGateway.4 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.5 |
security-control/APIGateway.5 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.1 |
security-control/AutoScaling.1 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.2 |
security-control/AutoScaling.2 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.3 |
security-control/AutoScaling.3 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.4 |
security-control/AutoScaling.4 |
|
service-managed-aws-control-tower/v/1.0.0/Autoscaling.5 |
security-control/Autoscaling.5 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.6 |
security-control/AutoScaling.6 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.9 |
security-control/AutoScaling.9 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.1 |
security-control/CloudTrail.1 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.2 |
security-control/CloudTrail.2 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.4 |
security-control/CloudTrail.4 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.5 |
security-control/CloudTrail.5 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1 |
security-control/CodeBuild.1 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.2 |
security-control/CodeBuild.2 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.4 |
security-control/CodeBuild.4 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.5 |
security-control/CodeBuild.5 |
|
service-managed-aws-control-tower/v/1.0.0/DMS.1 |
security-control/DMS.1 |
|
service-managed-aws-control-tower/v/1.0.0/DynamoDB.1 |
security-control/DynamoDB.1 |
|
service-managed-aws-control-tower/v/1.0.0/DynamoDB.2 |
security-control/DynamoDB.2 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.1 |
security-control/EC2.1 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.2 |
security-control/EC2.2 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.3 |
security-control/EC2.3 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.4 |
security-control/EC2.4 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.6 |
security-control/EC2.6 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.7 |
security-control/EC2.7 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.8 |
security-control/EC2.8 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.9 |
security-control/EC2.9 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.10 |
security-control/EC2.10 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.15 |
security-control/EC2.15 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.16 |
security-control/EC2.16 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.17 |
security-control/EC2.17 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.18 |
security-control/EC2.18 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.19 |
security-control/EC2.19 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.20 |
security-control/EC2.20 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.21 |
security-control/EC2.21 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.22 |
security-control/EC2.22 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.1 |
security-control/ECR.1 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.2 |
security-control/ECR.2 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.3 |
security-control/ECR.3 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.1 |
security-control/ECS.1 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.2 |
security-control/ECS.2 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.3 |
security-control/ECS.3 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.4 |
security-control/ECS.4 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.5 |
security-control/ECS.5 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.8 |
security-control/ECS.8 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.10 |
security-control/ECS.10 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.12 |
security-control/ECS.12 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.1 |
security-control/EFS.1 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.2 |
security-control/EFS.2 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.3 |
security-control/EFS.3 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.4 |
security-control/EFS.4 |
|
service-managed-aws-control-tower/v/1.0.0/EKS.2 |
security-control/EKS.2 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.2 |
security-control/ELB.2 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.3 |
security-control/ELB.3 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.4 |
security-control/ELB.4 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.5 |
security-control/ELB.5 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.6 |
security-control/ELB.6 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.7 |
security-control/ELB.7 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.8 |
security-control/ELB.8 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.9 |
security-control/ELB.9 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.10 |
security-control/ELB.10 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.12 |
security-control/ELB.12 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.13 |
security-control/ELB.13 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.14 |
security-control/ELB.14 |
|
service-managed-aws-control-tower/v/1.0.0/ELBv2.1 |
security-control/ELBv2.1 |
|
service-managed-aws-control-tower/v/1.0.0/EMR.1 |
security-control/EMR.1 |
|
service-managed-aws-control-tower/v/1.0.0/ES.1 |
security-control/ES.1 |
|
service-managed-aws-control-tower/v/1.0.0/ES.2 |
security-control/ES.2 |
|
service-managed-aws-control-tower/v/1.0.0/ES.3 |
security-control/ES.3 |
|
service-managed-aws-control-tower/v/1.0.0/ES.4 |
security-control/ES.4 |
|
service-managed-aws-control-tower/v/1.0.0/ES.5 |
security-control/ES.5 |
|
service-managed-aws-control-tower/v/1.0.0/ES.6 |
security-control/ES.6 |
|
service-managed-aws-control-tower/v/1.0.0/ES.7 |
security-control/ES.7 |
|
service-managed-aws-control-tower/v/1.0.0/ES.8 |
security-control/ES.8 |
|
service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.1 |
security-control/ElasticBeanstalk.1 |
|
service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.2 |
security-control/ElasticBeanstalk.2 |
|
service-managed-aws-control-tower/v/1.0.0/GuardDuty.1 |
security-control/GuardDuty.1 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.1 |
security-control/IAM.1 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.2 |
security-control/IAM.2 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.3 |
security-control/IAM.3 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.4 |
security-control/IAM.4 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.5 |
security-control/IAM.5 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.6 |
security-control/IAM.6 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.7 |
security-control/IAM.7 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.8 |
security-control/IAM.8 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.21 |
security-control/IAM.21 |
|
service-managed-aws-control-tower/v/1.0.0/Kinesis.1 |
security-control/Kinesis.1 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.1 |
security-control/KMS.1 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.2 |
security-control/KMS.2 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.3 |
security-control/KMS.3 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.1 |
security-control/Lambda.1 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.2 |
security-control/Lambda.2 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.5 |
security-control/Lambda.5 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.3 |
security-control/NetworkFirewall.3 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.4 |
security-control/NetworkFirewall.4 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.5 |
security-control/NetworkFirewall.5 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.6 |
security-control/NetworkFirewall.6 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.1 |
security-control/Opensearch.1 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.2 |
security-control/Opensearch.2 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.3 |
security-control/Opensearch.3 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.4 |
security-control/Opensearch.4 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.5 |
security-control/Opensearch.5 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.6 |
security-control/Opensearch.6 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.7 |
security-control/Opensearch.7 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.8 |
security-control/Opensearch.8 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.1 |
security-control/RDS.1 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.2 |
security-control/RDS.2 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.3 |
security-control/RDS.3 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.4 |
security-control/RDS.4 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.5 |
security-control/RDS.5 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.6 |
security-control/RDS.6 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.8 |
security-control/RDS.8 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.9 |
security-control/RDS.9 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.10 |
security-control/RDS.10 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.11 |
security-control/RDS.11 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.13 |
security-control/RDS.13 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.17 |
security-control/RDS.17 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.18 |
security-control/RDS.18 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.19 |
security-control/RDS.19 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.20 |
security-control/RDS.20 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.21 |
security-control/RDS.21 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.22 |
security-control/RDS.22 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.23 |
security-control/RDS.23 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.25 |
security-control/RDS.25 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.1 |
security-control/Redshift.1 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.2 |
security-control/Redshift.2 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.4 |
security-control/Redshift.4 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.6 |
security-control/Redshift.6 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.7 |
security-control/Redshift.7 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.8 |
security-control/Redshift.8 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.9 |
security-control/Redshift.9 |
|
service-managed-aws-control-tower/v/1.0.0/S3.1 |
security-control/S3.1 |
|
service-managed-aws-control-tower/v/1.0.0/S3.2 |
security-control/S3.2 |
|
service-managed-aws-control-tower/v/1.0.0/S3.3 |
security-control/S3.3 |
|
service-managed-aws-control-tower/v/1.0.0/S3.5 |
security-control/S3.5 |
|
service-managed-aws-control-tower/v/1.0.0/S3.6 |
security-control/S3.6 |
|
service-managed-aws-control-tower/v/1.0.0/S3.8 |
security-control/S3.8 |
|
service-managed-aws-control-tower/v/1.0.0/S3.9 |
security-control/S3.9 |
|
service-managed-aws-control-tower/v/1.0.0/S3.12 |
security-control/S3.12 |
|
service-managed-aws-control-tower/v/1.0.0/S3.13 |
security-control/S3.13 |
|
service-managed-aws-control-tower/v/1.0.0/SageMaker.1 |
security-control/SageMaker.1 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.1 |
security-control/SecretsManager.1 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.2 |
security-control/SecretsManager.2 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.3 |
security-control/SecretsManager.3 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.4 |
security-control/SecretsManager.4 |
|
service-managed-aws-control-tower/v/1.0.0/SQS.1 |
security-control/SQS.1 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.1 |
security-control/SSM.1 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.2 |
security-control/SSM.2 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.3 |
security-control/SSM.3 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.4 |
security-control/SSM.4 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.2 |
security-control/WAF.2 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.3 |
security-control/WAF.3 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.4 |
security-control/WAF.4 |
Cómo afecta la consolidación a las identificaciones y títulos de control
La vista de los controles consolidados y los resultados de control consolidados estandarizan los identificadores y títulos de los controles en todos los estándares. Los términos Identificador de control de seguridad y título de control de seguridad se refieren a estos valores independientes de los estándares.
La consola del CSPM de Security Hub muestra identificadores y títulos de controles de seguridad que no dependen de un estándar, sin importar si la cuenta tiene habilitados o desactivados los resultados consolidados de controles. Sin embargo, los resultados del CSPM de Security Hub incluyen títulos de controles específicos de cada estándar (como PCI-DSS y CIS v1.2.0) cuando la cuenta tiene desactivados los resultados consolidados de controles. Además, los resultados del CSPM de Security Hub incluyen el identificador específico del estándar y el identificador del control de seguridad. Para ver ejemplos de cómo la consolidación afecta los resultados de controles, consulte Ejemplos de resultados de controles.
En el caso de los controles que forman parte del estándar administrado por el servicio: AWS Control Tower, el prefijo CT. se elimina del identificador y el título del control en los resultados cuando los resultados consolidados de controles están habilitados.
Para desactivar un control de seguridad en el CSPM de Security Hub, debe desactivar todos los controles del estándar que correspondan a ese control de seguridad. En la siguiente tabla se muestra la asignación de los identificadores y títulos de control de seguridad a los identificadores y títulos de control específicos de la norma. Los identificadores y títulos de los controles que pertenecen al estándar Prácticas recomendadas de seguridad básica de AWS no dependen de un estándar. Para asignar los controles a los requisitos de Center for Internet Security (CIS) v3.0.0 (CIS), consulte Asignación de los controles a los requisitos del CIS en cada versión. Para ejecutar sus propios scripts con esta tabla, puede descargarla como un archivo .csv.
| Estándar | Identificador y título del control estándar | Identificador y título del control de seguridad |
|---|---|---|
|
CIS v1.2.0 |
1.1 Evitar el uso del usuario raíz |
|
|
CIS v1.2.0 |
1.10 Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas |
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas |
|
CIS v1.2.0 |
1.11 Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos |
|
|
CIS v1.2.0 |
1.12 Asegurar que no existe una clave de acceso del usuario raíz |
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir |
|
CIS v1.2.0 |
1.13 Asegurar que la MFA está activada para el usuario raíz |
|
|
CIS v1.2.0 |
1.14 Asegurar que la MFA está activada para el usuario raíz |
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz |
|
CIS v1.2.0 |
1.16 Asegurar que las políticas de IAM solo están asociadas a grupos o roles |
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas |
|
CIS v1.2.0 |
1.2 Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola |
|
|
CIS v1.2.0 |
1.20 Asegurar que se ha creado un rol de soporte para administrar incidentes con Soporte |
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support |
|
CIS v1.2.0 |
1.22 Asegurar que no se crean políticas de IAM que permiten privilegios administrativos completos “*:*” |
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*” |
|
CIS v1.2.0 |
1.3 Asegurar que se deshabilitan las credenciales no usadas durante 90 días o más |
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas |
|
CIS v1.2.0 |
1.4 Asegurar que las claves de acceso se rotan cada 90 días o menos |
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos |
|
CIS v1.2.0 |
1.5 Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula |
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula |
|
CIS v1.2.0 |
1.6 Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula |
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula |
|
CIS v1.2.0 |
1.7 Asegurar que la política de contraseñas de IAM requiere al menos un símbolo |
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo |
|
CIS v1.2.0 |
1.8 Asegurar que la política de contraseñas de IAM requiere al menos un número |
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número |
|
CIS v1.2.0 |
1.9 Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más |
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más |
|
CIS v1.2.0 |
2.1 Asegurar que CloudTrail esté habilitado en todas las regiones |
|
|
CIS v1.2.0 |
2.2 Asegurar que la validación de archivos de registro de CloudTrail esté habilitada |
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada |
|
CIS v1.2.0 |
2.3 Asegurar que los registros de CloudTrail del bucket de S3 no son de acceso público |
|
|
CIS v1.2.0 |
2.4 Asegúrese de que las rutas de CloudTrail estén integradas con Registros de CloudWatch |
[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch |
|
CIS v1.2.0 |
2.5 Asegurar que AWS Config esté habilitado |
|
|
CIS v1.2.0 |
2.6 Asegurar que el registro de acceso al bucket de S3 esté habilitado en el bucket de S3 de CloudTrail |
|
|
CIS v1.2.0 |
2.7 Asegurar que los registros de CloudTrail se cifren en reposo con CMK de KMS |
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo |
|
CIS v1.2.0 |
2.8 Asegurar que está habilitada la rotación de las CMK creadas por el cliente |
|
|
CIS v1.2.0 |
2.9 Asegurar que el registro de flujo de la VPC está habilitado en todas las VPC |
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC |
|
CIS v1.2.0 |
3.1 Asegurar que haya un filtro de métricas de registro y alarma para las llamadas no autorizadas a la API |
|
|
CIS v1.2.0 |
3.10 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad |
|
|
CIS v1.2.0 |
3.11 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las listas de control de acceso a la red (NACL) |
|
|
CIS v1.2.0 |
3.12 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las gateways de la red |
|
|
CIS v1.2.0 |
3.13 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios ala tabla de enrutamiento |
|
|
CIS v1.2.0 |
3.14 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC |
|
|
CIS v1.2.0 |
3.2 Asegurar que haya un filtro de métricas de registro y alarma de registro para el inicio de sesión en la Consola de administración sin MFA |
|
|
CIS v1.2.0 |
3.3 Asegurar que haya un filtro de métricas de registro y alarma de registro para el uso del usuario raíz |
|
|
CIS v1.2.0 |
3.4 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM |
|
|
CIS v1.2.0 |
3.5 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de CloudTrail |
|
|
CIS v1.2.0 |
3.6 Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de Consola de administración de AWS |
|
|
CIS v1.2.0 |
3.7 Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de CMK creadas por el cliente |
|
|
CIS v1.2.0 |
3.8 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de bucket de S3 |
|
|
CIS v1.2.0 |
3.9 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config |
|
|
CIS v1.2.0 |
4.1 Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22 |
[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 |
|
CIS v1.2.0 |
4.2 Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389 |
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 |
|
CIS v1.2.0 |
4.3 Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico |
|
|
CIS v1.4.0 |
1.10 Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola |
|
|
CIS v1.4.0 |
1.14 Asegurar que las claves de acceso se rotan cada 90 días o menos |
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos |
|
CIS v1.4.0 |
1.16 Asegurar que no se adjunten políticas de IAM que permitan privilegios administrativos completos “*:*” |
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*” |
|
CIS v1.4.0 |
1.17 Asegurar que se ha creado un rol de soporte para administrar incidentes con Soporte |
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support |
|
CIS v1.4.0 |
1.4 Asegurar que no existe una clave de acceso del usuario raíz |
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir |
|
CIS v1.4.0 |
1.5 Asegurar que la MFA esté activada para el usuario raíz |
|
|
CIS v1.4.0 |
1.6 Asegurar que la MFA basada en hardware está activada para el usuario raíz |
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz |
|
CIS v1.4.0 |
1.7 Elimine el uso del usuario raíz para las tareas administrativas y diarias |
|
|
CIS v1.4.0 |
1.8 Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más |
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más |
|
CIS v1.4.0 |
1.9 Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas |
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas |
|
CIS v1.4.0 |
2.1.2 Asegúrese de que la política de buckets de S3 esté configurada para denegar las solicitudes HTTP |
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL |
|
CIS v1.4.0 |
2.1.5.1 La configuración de S3 Block Public Access debe estar habilitada |
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público |
|
CIS v1.4.0 |
2.1.5.2 La configuración de acceso público al bloque S3 debe estar habilitada en el nivel de bucket |
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público |
|
CIS v1.4.0 |
2.2.1 Asegúrese de que el cifrado de volúmenes de EBS esté activado |
[EC2.7] El cifrado predeterminado de EBS debe estar activado |
|
CIS v1.4.0 |
2.3.1 Asegúrese de que el cifrado esté habilitado para las instancias RDS |
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo |
|
CIS v1.4.0 |
3.1 Asegurar que CloudTrail esté habilitado en todas las regiones |
|
|
CIS v1.4.0 |
3.2 Asegurar que la validación de archivos de registro de CloudTrail esté habilitada |
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada |
|
CIS v1.4.0 |
3.4 Asegúrese de que las rutas de CloudTrail estén integradas con Registros de CloudWatch |
[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch |
|
CIS v1.4.0 |
3.5 Asegurar que AWS Config está habilitado en todas las regiones |
|
|
CIS v1.4.0 |
3.6 Asegurar que el registro de acceso al bucket de S3 esté habilitado en el bucket de S3 de CloudTrail |
|
|
CIS v1.4.0 |
3.7 Asegurar que los registros de CloudTrail se cifren en reposo con CMK de KMS |
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo |
|
CIS v1.4.0 |
3.8 Asegurar que está habilitada la rotación de las CMK creadas por el cliente |
|
|
CIS v1.4.0 |
3.9 Asegurar que el registro de flujo de la VPC está habilitado en todas las VPC |
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC |
|
CIS v1.4.0 |
4.4 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM |
|
|
CIS v1.4.0 |
4.5 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de CloudTrail |
|
|
CIS v1.4.0 |
4.6 Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de Consola de administración de AWS |
|
|
CIS v1.4.0 |
4.7 Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de CMK creadas por el cliente |
|
|
CIS v1.4.0 |
4.8 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de bucket de S3 |
|
|
CIS v1.4.0 |
4.9 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config |
|
|
CIS v1.4.0 |
4.10 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad |
|
|
CIS v1.4.0 |
4.11 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las listas de control de acceso a la red (NACL) |
|
|
CIS v1.4.0 |
4.12 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red |
|
|
CIS v1.4.0 |
4.13 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios ala tabla de enrutamiento |
|
|
CIS v1.4.0 |
4.14 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC |
|
|
CIS v1.4.0 |
5.1 Asegúrese de que los ACL de la red no permitan el ingreso desde el 0.0.0.0/0 a los puertos de administración de servidores remotos |
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389 |
|
CIS v1.4.0 |
5.3 Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico |
|
|
PCI DSS v3.2.1 |
[PCI.AutoScaling.1] Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado |
|
|
PCI DSS v3.2.1 |
PCI.CloudTrail.1 Los registros de CloudTrail se deben cifrar en reposo mediante las CMK de AWS KMS |
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo |
|
PCI DSS v3.2.1 |
PCI.CloudTrail.2 CloudTrail debe estar habilitado |
[CloudTrail.3] Al menos un registro de seguimiento de CloudTrail debe habilitarse |
|
PCI DSS v3.2.1 |
PCI.CloudTrail.3 La validación de archivo de registro de CloudTrail debe estar habilitada |
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada |
|
PCI DSS v3.2.1 |
PCI.CloudTrail.4 Los registros de seguimiento de CloudTrail deben integrarse con los registros de Amazon CloudWatch |
[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch |
|
PCI DSS v3.2.1 |
PCI.CodeBuild.1 Las URL del repositorio de origen de GitHub o Bitbucket de CodeBuild deben usar OAuth |
|
|
PCI DSS v3.2.1 |
PCI.CodeBuild.2 Las variables de entorno del proyecto de CodeBuild no deben contener credenciales de texto sin cifrar |
|
|
PCI DSS v3.2.1 |
PCI.config.1 AWS Config debe estar habilitado |
|
|
PCI DSS v3.2.1 |
PCI.CW.1 Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz” |
|
|
PCI DSS v3.2.1 |
Las instancias de replicación del Servicio de migración de bases de datos PCI.DMS.1 no deben ser públicas |
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas |
|
PCI DSS v3.2.1 |
PCI.EC2.1 Las instantáneas de EBS no se deben poder restaurar públicamente |
[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente |
|
PCI DSS v3.2.1 |
PCI.EC2.2 El grupo de seguridad predeterminado de la VPC debería prohibir el tráfico entrante y saliente |
|
|
PCI DSS v3.2.1 |
PCI.EC2.4 Los EIP EC2 sin utilizar deben eliminarse |
[EC2.12] Los EIP EC2 de Amazon sin utilizar deben eliminarse |
|
PCI DSS v3.2.1 |
PCI.EC2.5 Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22 |
[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 |
|
PCI DSS v3.2.1 |
El registro de flujo de PCI.EC2.6 de VPC debe estar habilitado en todos los VPC |
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC |
|
PCI DSS v3.2.1 |
PCI.ELBv2.1 El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS |
|
|
PCI DSS v3.2.1 |
PCI.ES.1 Los dominios de Elasticsearch deberían estar en una VPC |
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público |
|
PCI DSS v3.2.1 |
PCI.ES.2 Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo |
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo |
|
PCI DSS v3.2.1 |
GuardDuty de PCI.GuardDuty.1 debe estar activado |
|
|
PCI DSS v3.2.1 |
PCI.IAM.1 La clave de acceso de usuario raíz de IAM no debe existir |
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir |
|
PCI DSS v3.2.1 |
PCI.IAM.2 Los usuarios de IAM no deben tener políticas de IAM asociadas |
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas |
|
PCI DSS v3.2.1 |
PCI.IAM.3 Las políticas de IAM no deben permitir privilegios administrativos completos «*» |
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*” |
|
PCI DSS v3.2.1 |
PCI.IAM.4 La MFA de hardware debe estar habilitada para el usuario raíz |
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz |
|
PCI DSS v3.2.1 |
PCI.IAM.5 La MFA virtual debe estar habilitada para el usuario raíz |
|
|
PCI DSS v3.2.1 |
PCI.IAM.6 MFA se debe habilitar para todos los usuarios de IAM |
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM |
|
PCI DSS v3.2.1 |
PCI.IAM.7 Las credenciales de usuario de IAM deben deshabilitarse si no se utilizan en un número de días predefinido |
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas |
|
PCI DSS v3.2.1 |
PCI.IAM.8 Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras |
[IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras |
|
PCI DSS v3.2.1 |
PCI.KMS.1 La rotación de la clave maestra del cliente (CMK) debe estar habilitada |
|
|
PCI DSS v3.2.1 |
PCI.lambda.1 Las funciones de Lambda deberían prohibir el acceso público |
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público |
|
PCI DSS v3.2.1 |
PCI.lambda.2 Las funciones de Lambda deben estar en una VPC |
|
|
PCI DSS v3.2.1 |
Los dominios OpenSearch de PCI.OpenSearch.1 deben estar en un VPC |
[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público |
|
PCI DSS v3.2.1 |
PCI.Opensearch.2 Las instantáneas de EBS no se deben poder restaurar públicamente |
[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo |
|
PCI DSS v3.2.1 |
PCI.RDS.1 Las instantáneas de RDS deben ser privadas |
|
|
PCI DSS v3.2.1 |
PCI.RDS.2 Las instancias de base de datos de RDS deberían prohibir el acceso público |
|
|
PCI DSS v3.2.1 |
PCI.Redshift.1 Los clústeres de Amazon Redshift deberían prohibir el acceso público |
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público |
|
PCI DSS v3.2.1 |
PCI.S3.1 Los buckets de S3 deberían prohibir el acceso de escritura pública |
[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura |
|
PCI DSS v3.2.1 |
PCI.S3.2 Los buckets de S3 deberían prohibir el acceso público de lectura |
[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura |
|
PCI DSS v3.2.1 |
PCI.S3.3 Los buckets de S3 deben tener habilitada la replicación entre regiones |
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones |
|
PCI DSS v3.2.1 |
Los buckets PCI.S3.5 S3 deberían requerir solicitudes para usar Secure Socket Layer |
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL |
|
PCI DSS v3.2.1 |
PCI.S3.6 La configuración de S3 Block Public Access debe estar habilitada |
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público |
|
PCI DSS v3.2.1 |
Las instancias de cuaderno de Amazon SageMaker PCI.SageMaker.1 no deberían tener acceso directo a Internet |
|
|
PCI DSS v3.2.1 |
PCI.SSM.1 Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche |
|
|
PCI DSS v3.2.1 |
Las instancias EC2 de PCI.SSM.2 administradas por el Administrador de sistemas deben tener un estado de conformidad de asociación de COMPLIANT |
|
|
PCI DSS v3.2.1 |
Las instancias EC2 de PCI.SSM.3 tienen que ser administradas por AWS Systems Manager |
[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager |
Actualización de los flujos de trabajo para la consolidación
Si los flujos de trabajo no dependen del formato específico de ninguno de los campos en los resultados de controles, no se requiere ninguna acción.
Si los flujos de trabajo dependen del formato específico de uno o varios campos en los resultados de controles, como se indica en las tablas anteriores, debe actualizar los flujos de trabajo. Por ejemplo, si creó una regla de Amazon EventBridge que desencadena una acción para un identificador de control específico, como invocar la función de AWS Lambda cuando el identificador de control es CIS 2.7, debe actualizar la regla para usar CloudTrail.2, que es el valor del campo Compliance.SecurityControlId para ese control.
Si usted creó productos de información personalizados que usan alguno de los campos o valores que cambiaron, debe actualizar esos productos de información de modo que utilicen los nuevos campos o valores.
