Deshabilitación de un control en un estándar específico - AWS Security Hub

Deshabilitación de un control en un estándar específico

Puede desactivar un control solo en estándares de seguridad específicos, en lugar de hacerlo en todos los estándares. Si el control se aplica a otros estándares habilitados, el CSPM de AWS Security Hub continúa con la ejecución de las comprobaciones de seguridad para el control, por lo que aún recibirá resultados correspondientes al control.

Sin embargo, recomendamos alinear el estado de habilitación de un control en todos los estándares habilitados a los que se aplica el control. Para obtener información sobre cómo desactivar un control en todos los estándares a los que aplica, consulte Deshabilitar un control en todos los estándares.

En la página de detalles de los estándares, también puede desactivar los controles de un estándar específico. Debe desactivar los controles en los estándares específicos por separado en cada Cuenta de AWS y Región de AWS. Cuando desactiva un control en estándares específicos, esto afecta únicamente a la cuenta y a la región actuales.

Elija el método de su preferencia y siga estos pasos para desactivar un control en uno o más estándares específicos.

Security Hub CSPM console
Deshabilitación de un control en un estándar específico

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. Elija Estándares de seguridad en el panel de navegación. Seleccione Ver resultados para el estándar correspondiente.

  3. Seleccione un control.

  4. Elija la opción Desactivar el control. Esta opción no aparece para un control que ya esté desactivado.

  5. Indique el motivo para deshabilitar el control y confirme seleccionando Deshabilitar.

Security Hub CSPM API
Deshabilitación de un control en un estándar específico

  1. Ejecute ListSecurityControlDefinitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute DescribeStandards. Esta API devuelve los identificadores de control de seguridad independientes del estándar, no los identificadores de control específicos del estándar.

    Ejemplo de solicitud:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Ejecute ListStandardsControlAssociations y proporcione un identificador de control específico para devolver el estado de activación actual de un control en cada estándar.

    Ejemplo de solicitud:

    {
    "SecurityControlId": "IAM.1"
}

  3. Ejecuta BatchUpdateStandardsControlAssociations. Proporcione el ARN del estándar en el que desea deshabilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a DISABLED. Si sigue estos pasos para un control que ya está deshabilitado, la API devuelve una respuesta con el código de estado HTTP 200.

    Ejemplo de solicitud:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
}
AWS CLI
Deshabilitación de un control en un estándar específico

  1. Ejecute el comando list-security-control-definitions y proporcione un ARN estándar para obtener una lista de los controles disponibles para un estándar específico. Para obtener un ARN estándar, ejecute describe-standards. Este comando devuelve los identificadores de control de seguridad independientes del estándar, no los identificadores de control específicos del estándar.

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Ejecute el comando list-standards-control-associations y proporcione un identificador de control específico para devolver el estado de habilitación actual de un control en cada estándar.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Ejecute el comando batch-update-standards-control-associations. Proporcione el ARN del estándar en el que desea deshabilitar el control.

  4. Defina el parámetro AssociationStatus equivalente a DISABLED. Si sigue estos pasos para un control que ya está habilitado, el comando devuelve una respuesta con el código de estado HTTP 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'