Konfiguration von Steuerungen in bestimmten Standards - AWS Security Hub
Ein Steuerelement in einem bestimmten Standard aktivierenDeaktivierung eines Steuerelements in einem bestimmten Standard

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration von Steuerungen in bestimmten Standards

Wenn Sie einen Standard aktivieren in AWS Security Hub, werden alle für ihn geltenden Kontrollen in diesem Standard automatisch aktiviert (die Ausnahme bilden servicemanagierte Standards). Anschließend können Sie bestimmte Steuerelemente im Standard deaktivieren und wieder aktivieren. Wir empfehlen jedoch, den Aktivierungsstatus eines Steuerelements auf alle aktivierten Standards abzustimmen.

Anmerkung

Wenn Sie die zentrale Konfiguration von Security Hub verwenden, kann der delegierte Administrator Kontrollen für Organisationskonten für alle aktivierten Standards aktivieren und deaktivieren. Wir empfehlen diesen Ansatz, damit der Aktivierungsstatus einer Steuerung standardübergreifend einheitlich ist. Der delegierte Administrator kann jedoch Konten als selbstverwaltete Konten kennzeichnen, sodass er Kontrollen in bestimmten Standards aktivieren und deaktivieren kann. Weitere Informationen finden Sie unter Grundlegendes zur zentralen Konfiguration in Security Hub.

Die Detailseite für einen Standard enthält die Liste der für den Standard geltenden Kontrollen sowie Informationen darüber, welche Kontrollen derzeit in diesem Standard aktiviert und deaktiviert sind.

Auf der Seite mit den Standarddetails können Sie auch Steuerelemente in einem bestimmten Standard aktivieren und deaktivieren. Sie müssen die Steuerelemente in jedem Fall separat aktivieren und deaktivieren AWS-Konto and AWS-Region. Wenn Sie ein Steuerelement aktivieren oder deaktivieren, wirkt sich dies nur auf das Girokonto und die Region aus.

Sie können Steuerungen in jeder Region aktivieren und deaktivieren, indem Sie die Security Hub-Konsole, den Security Hub API oder AWS CLI. Wenn Sie eine Aggregationsregion festgelegt haben, werden Ihnen Steuerelemente aus allen verknüpften Regionen angezeigt. Wenn ein Steuerelement in einer verknüpften Region verfügbar ist, aber nicht in der Aggregationsregion, können Sie dieses Steuerelement nicht in der Aggregationsregion aktivieren oder deaktivieren. Skripts zur Deaktivierung von Steuerungen für mehrere Konten und Regionen finden Sie unter Security Hub-Steuerelemente in einer Umgebung mit mehreren Konten deaktivieren.

Ein Steuerelement in einem bestimmten Standard aktivieren

Um ein Steuerelement in einem Standard zu aktivieren, müssen Sie zunächst mindestens einen Standard aktivieren, für den das Steuerelement gilt. Anweisungen zur Aktivierung eines Standards finden Sie unterKonfiguration von Standards in Security Hub. Wenn Sie ein Steuerelement in einem Standard aktivieren, AWS Security Hub beginnt, Ergebnisse für dieses Steuerelement zu generieren. Security Hub bezieht den Kontrollstatus in die Berechnung der Gesamtsicherheitsbewertung und der Standardsicherheitsbewertungen ein. Selbst wenn Sie eine Kontrolle in mehreren Standards aktivieren, erhalten Sie bei jeder standardübergreifenden Sicherheitsüberprüfung nur ein Ergebnis, wenn Sie die konsolidierten Kontrollergebnisse aktivieren. Weitere Informationen finden Sie unter Konsolidierte Erkenntnisse zu Kontrollen.

Um eine Kontrolle in einem Standard zu aktivieren, muss die Kontrolle in Ihrer aktuellen Region verfügbar sein. Weitere Informationen finden Sie unter Verfügbarkeit von Steuerelementen nach Regionen.

Gehen Sie wie folgt vor, um ein Security Hub-Steuerelement in einem bestimmten Standard zu aktivieren. Anstatt der folgenden Schritte können Sie die UpdateStandardsControlAPIAktion auch verwenden, um Steuerungen in einem bestimmten Standard zu aktivieren. Anweisungen zum Aktivieren eines Steuerelements in allen Standards finden Sie unterAktivierung einer Steuerung nach allen Standards in einem einzigen Konto und in einer einzigen Region.

Security Hub console
So aktivieren Sie ein Steuerelement in einem bestimmten Standard

  1. Öffnen Sie AWS Security Hub Konsole bei https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im Navigationsbereich Sicherheitsstandards aus.

  3. Wählen Sie Ergebnisse anzeigen für den entsprechenden Standard aus.

  4. Wählen Sie ein Steuerelement aus.

  5. Wählen Sie Steuerung aktivieren (diese Option wird nicht für ein Steuerelement angezeigt, das bereits aktiviert ist). Bestätigen Sie, indem Sie „Aktivieren“ wählen.

Security Hub API
Um ein Steuerelement in einem bestimmten Standard zu aktivieren

  1. Führen Sie ListSecurityControlDefinitions einen Standard aus und stellen Sie ihn bereitARN, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard zu erhalten. Um einen Standard zu erhaltenARN, führen Sie den Befehl aus DescribeStandards. Dadurch wird eine standardunabhängige Sicherheitskontrolle API zurückgegebenIDs, keine standardspezifische Steuerung. IDs

    Beispiel für eine Anfrage:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Führen Sie ListStandardsControlAssociations den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

    Beispiel für eine Anfrage:

    {
    "SecurityControlId": "IAM.1"
}

  3. Führen Sie BatchUpdateStandardsControlAssociations. Geben Sie ARN den Standard an, in dem Sie das Steuerelement aktivieren möchten.

  4. Stellen Sie den AssociationStatus Parameter aufENABLED.

    Beispiel für eine Anfrage:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
AWS CLI
Um ein Steuerelement in einem bestimmten Standard zu aktivieren

  1. Führen Sie den list-security-control-definitions Befehl aus und geben Sie einen Standard ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Um einen Standard zu erhaltenARN, führen Sie den Befehl ausdescribe-standards. Dieser Befehl gibt eine standardunabhängige Sicherheitskontrolle zurückIDs, keine standardspezifische Steuerung. IDs

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Führen Sie den list-standards-control-associations Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Führen Sie den Befehl batch-update-standards-control-associations aus. Geben Sie den Standard ARN an, für den Sie das Steuerelement aktivieren möchten.

  4. Stellen Sie den AssociationStatus Parameter aufENABLED.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'

Deaktivierung eines Steuerelements in einem bestimmten Standard

Wenn Sie ein Steuerelement in einem Standard deaktivieren, generiert Security Hub keine Ergebnisse mehr für das Steuerelement. Der Kontrollstatus wird bei der Berechnung der Sicherheitsbewertung für den Standard nicht mehr verwendet.

Eine Möglichkeit, ein Steuerelement zu deaktivieren, besteht darin, alle Standards zu deaktivieren, für die das Steuerelement gilt. Wenn Sie einen Standard deaktivieren, werden alle Steuerelemente, die für den Standard gelten, deaktiviert (diese Steuerelemente können jedoch in anderen Standards weiterhin aktiviert bleiben). Anweisungen zum Deaktivieren eines Standards finden Sie unterKonfiguration von Standards in Security Hub.

Wenn Sie ein Steuerelement deaktivieren, indem Sie einen Standard deaktivieren, für den es gilt, passiert Folgendes:

  • Sicherheitsüberprüfungen für das Steuerelement werden für diesen Standard nicht mehr durchgeführt. Das bedeutet, dass der Kontrollstatus keinen Einfluss auf die Standardsicherheitsbewertung hat (Security Hub führt weiterhin Sicherheitsprüfungen für das Steuerelement durch, wenn es in anderen Standards aktiviert ist).

  • Für dieses Steuerelement werden keine zusätzlichen Funde generiert.

  • Bestehende Ergebnisse werden automatisch nach 3—5 Tagen archiviert (beachten Sie, dass dies nach bestem Wissen erfolgt und nicht garantiert werden kann).

  • Die damit verbundenen AWS Config Regeln, die Security Hub erstellt hat, werden entfernt.

Wenn Sie einen Standard deaktivieren, verfolgt Security Hub nicht, welche Kontrollen deaktiviert wurden. Wenn Sie den Standard anschließend wieder aktivieren, werden alle Steuerelemente, die für ihn gelten, automatisch aktiviert. Darüber hinaus ist das Deaktivieren eines Steuerelements eine einmalige Aktion. Angenommen, Sie deaktivieren ein Steuerelement und aktivieren dann einen Standard, der zuvor deaktiviert war. Wenn der Standard dieses Steuerelement enthält, wird es in diesem Standard aktiviert. Wenn Sie einen Standard in Security Hub aktivieren, werden alle Kontrollen, die für diesen Standard gelten, automatisch aktiviert.

Anstatt ein Steuerelement zu deaktivieren, indem Sie einen Standard deaktivieren, für den es gilt, können Sie das Steuerelement einfach in einem oder mehreren bestimmten Standards deaktivieren.

Um das Suchgeräusch zu reduzieren, kann es nützlich sein, Steuerungen zu deaktivieren, die für Ihre Umgebung nicht relevant sind. Empfehlungen dazu, welche Steuerelemente Sie deaktivieren sollten, finden Sie unter Security Hub-Steuerelemente, die Sie möglicherweise deaktivieren möchten.

Gehen Sie wie folgt vor, um ein Steuerelement in bestimmten Standards zu deaktivieren. Anstelle der folgenden Schritte können Sie die UpdateStandardsControlAPIAktion auch verwenden, um Steuerelemente in einem bestimmten Standard zu deaktivieren. Anweisungen zum Deaktivieren eines Steuerelements in allen Standards finden Sie unterStandardübergreifende Konfiguration von Steuerungen.

Security Hub console
So deaktivieren Sie ein Steuerelement in einem bestimmten Standard

  1. Öffnen Sie AWS Security Hub Konsole bei https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im Navigationsbereich Sicherheitsstandards aus. Wählen Sie Ergebnisse anzeigen für den entsprechenden Standard aus.

  3. Wählen Sie ein Steuerelement aus.

  4. Wählen Sie Steuerung deaktivieren (diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist).

  5. Geben Sie einen Grund für die Deaktivierung des Steuerelements an und bestätigen Sie, indem Sie „Deaktivieren“ wählen.

Security Hub API
Um ein Steuerelement in einem bestimmten Standard zu deaktivieren

  1. Führen Sie ListSecurityControlDefinitions einen Standard aus und stellen Sie ihn bereitARN, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard zu erhalten. Um einen Standard zu erhaltenARN, führen Sie den Befehl aus DescribeStandards. Dadurch wird eine standardunabhängige Sicherheitskontrolle API zurückgegebenIDs, keine standardspezifische Steuerung. IDs

    Beispiel für eine Anfrage:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Führen Sie ListStandardsControlAssociations den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

    Beispiel für eine Anfrage:

    {
    "SecurityControlId": "IAM.1"
}

  3. Führen Sie BatchUpdateStandardsControlAssociations. Geben Sie ARN den Standard an, in dem Sie das Steuerelement deaktivieren möchten.

  4. Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, wird die Antwort mit dem HTTP Statuscode 200 API zurückgegeben.

    Beispiel für eine Anfrage:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
}
AWS CLI
Um ein Steuerelement in einem bestimmten Standard zu deaktivieren

  1. Führen Sie den list-security-control-definitions Befehl aus und geben Sie einen Standard ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Um einen Standard zu erhaltenARN, führen Sie den Befehl ausdescribe-standards. Dieser Befehl gibt eine standardunabhängige Sicherheitskontrolle zurückIDs, keine standardspezifische Steuerung. IDs

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Führen Sie den list-standards-control-associations Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Führen Sie den Befehl batch-update-standards-control-associations aus. Geben Sie den Standard ARN an, in dem Sie das Steuerelement deaktivieren möchten.

  4. Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt der Befehl eine Antwort mit dem HTTP Statuscode 200 zurück.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'