Reversión de los valores predeterminados de los parámetros de control
Un parámetro de control puede tener un valor predeterminado que define el CSPM de AWS Security Hub. En ocasiones, el CSPM de Security Hub actualiza el valor predeterminado de un parámetro para alinearlo con la evolución de las prácticas recomendadas de seguridad. Si no ha especificado un valor personalizado para un parámetro de control, el control hace un seguimiento automático de esas actualizaciones y utiliza el nuevo valor predeterminado.
Puede volver a utilizar los valores predeterminados del parámetro para un control. Las instrucciones para revertir parámetros dependen de si usa la configuración centralizada en el CSPM de Security Hub. La configuración centralizada es una característica que el administrador delegado del CSPM de Security Hub puede usar para configurar las capacidades del CSPM de Security Hub en Regiones de AWS, las cuentas y las unidades organizativas (UO).
No todos los parámetros de control tienen un valor predeterminado del CSPM de Security Hub. En esos casos, cuando ValueType se establece en DEFAULT, no existe un valor predeterminado específico que utilice el CSPM de Security Hub. En su lugar, el CSPM de Security Hub omite el parámetro si no hay un valor personalizado.
Reversión a los parámetros de control predeterminados en varias cuentas y regiones
Si utiliza la configuración centralizada, puede revertir los parámetros de control para varias cuentas y unidades organizativas administradas de manera centralizada en la región de origen y las regiones vinculadas.
Elija el método que prefiera y siga los pasos para revertir a los valores predeterminados de los parámetros en varias cuentas y regiones mediante la configuración centralizada.
- Security Hub CSPM console
-
Para revertir los valores predeterminados de los parámetros de control en varias cuentas y regiones (consola)
Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.
Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.
-
En el panel de navegación, seleccione Configuración y Configuración.
-
Elija la pestaña Policies.
-
Seleccione una política y, a continuación, elija Editar.
-
En Política personalizada, la sección Controles muestra una lista de controles para los que especificó parámetros personalizados.
-
Busque el control que tenga uno o varios valores de parámetros que revertir. A continuación, elija Eliminar para revertir a los valores predeterminados.
En la sección Cuentas, compruebe las cuentas o unidades organizativas a las que quiere aplicar la política.
-
Elija Siguiente.
-
Revise los cambios y compruebe que sean correctos. Cuando termine, elija Guardar y aplicar política. Tanto en su región de origen como en todas regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas y unidades organizativas asociadas a esta política de configuración. Las cuentas y las unidades organizativas se pueden asociar a una política de configuración mediante una aplicación directa o la herencia de un elemento principal.
- Security Hub CSPM API
-
Para revertir los valores predeterminados de los parámetros de control en varias cuentas y regiones (API)
Invoque la API UpdateConfigurationPolicy desde la cuenta de administrador delegado de la región de origen.
En el campo Identifier, indique el nombre de recurso de Amazon (ARN) o el identificador de la política que quiere actualizar.
Para el objeto SecurityControlCustomParameters, indique el identificador de cada control para revertir uno o varios parámetros.
En el objeto Parameters, para cada parámetro que quiere revertir, indique DEFAULT en el campo ValueType. Si ValueType está establecido en DEFAULT, no es necesario proporcionar un valor para el campo Value. Si se incluye un valor en la solicitud, el CSPM de Security Hub lo ignora. Si la solicitud omite un parámetro que el control admite, ese parámetro conserva su valor actual.
Si omite un objeto de control del campo SecurityControlCustomParameters, el CSPM de Security Hub revierte todos los parámetros personalizados del control a sus valores predeterminados. Una lista completamente vacía para SecurityControlCustomParameters revierte los parámetros personalizados de todos los controles a sus valores predeterminados.
Por ejemplo, el siguiente comando AWS CLI recupera los parámetros de control daysToExpiration para ACM.1 a su valor predeterminado en la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
Reversión a los parámetros de control predeterminados en una sola cuenta y región
Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, puede revertir al uso de los valores predeterminados de los parámetros para su cuenta en una región a la vez.
Elija el método que prefiera y siga los pasos para revertir a los valores predeterminados de los parámetros para su cuenta en una sola región. Para volver a los valores predeterminados de los parámetros en otras regiones, repita estos pasos en cada región adicional.
Si desactiva el CSPM de Security Hub, se restablecen los parámetros de control personalizados. Si vuelve a habilitar el CSPM de Security Hub en el futuro, todos los controles utilizarán los valores predeterminados de los parámetros para comenzar.
- Security Hub CSPM console
-
Para revertir los valores predeterminados de los parámetros de control en una cuenta o región (consola)
Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.
-
En el panel de navegación, elija Controles. Elija el control que quiere revertir a los valores predeterminados de los parámetros.
-
En la pestaña Parameters, elija Personalizado junto a un parámetro de control. A continuación, seleccione Eliminar personalización. Este parámetro ahora usa el valor predeterminado del CSPM de Security Hub y se actualiza automáticamente cuando dicho valor cambie en el futuro.
-
Repita el paso anterior para cada valor de parámetro que quiere revertir.
- Security Hub CSPM API
-
Para revertir los valores predeterminados de los parámetros de control en una cuenta o región (API)
Invoque la API UpdateSecurityControl.
En SecurityControlId, indique el ARN o el identificador del control cuyos parámetros quiere revertir.
En el objeto Parameters, para cada parámetro que quiere revertir, indique DEFAULT en el campo ValueType. Si ValueType está establecido en DEFAULT, no es necesario proporcionar un valor para el campo Value. Si se incluye un valor en la solicitud, el CSPM de Security Hub lo ignora.
De manera opcional, en LastUpdateReason, indique un motivo para revertir a los valores predeterminados de los parámetros.
Por ejemplo, el siguiente comando AWS CLI recupera los parámetros de control daysToExpiration para ACM.1 a su valor predeterminado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
