Benutzerdefinierte Steuerungsparameter - AWS Security Hub
So funktionieren benutzerdefinierte SteuerparameterSteuerparameter anpassenÜberprüfen des Status der SteuerparameterÜberprüfung der SteuerparameterRückkehr zu den Standardwerten der SteuerparameterSteuerelemente, die benutzerdefinierte Parameter unterstützen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerdefinierte Steuerungsparameter

Einige Security Hub-Steuerelemente verwenden Parameter, die beeinflussen, wie die Steuerung bewertet wird. In der Regel werden solche Kontrollen anhand der von Security Hub definierten Standardparameterwerte bewertet. Für eine Teilmenge dieser Steuerelemente können Sie die Parameterwerte jedoch anpassen. Wenn Sie einen Parameterwert für ein Steuerelement anpassen, beginnt Security Hub, das Steuerelement anhand des von Ihnen angegebenen Werts auszuwerten. Wenn die dem Steuerelement zugrunde liegende Ressource den benutzerdefinierten Wert erfüllt, generiert Security Hub einen PASSED Befund. Wenn die Ressource den benutzerdefinierten Wert nicht erfüllt, generiert Security Hub einen FAILED Befund.

Durch die Anpassung der Kontrollparameter können Sie die von Security Hub empfohlenen und überwachten bewährten Sicherheitsmethoden verfeinern, um sie an Ihre Geschäftsanforderungen und Sicherheitserwartungen anzupassen. Anstatt die Ergebnisse einer Kontrolle zu unterdrücken, können Sie einen oder mehrere ihrer Parameter anpassen, um Ergebnisse zu erhalten, die Ihren Sicherheitsanforderungen entsprechen.

Im Folgenden finden Sie einige Anwendungsbeispiele für benutzerdefinierte Steuerparameter:

  • [CloudWatch.16] — CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

    Sie können den Aufbewahrungszeitraum angeben.

  • [IAM.7] — Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben

    Sie können Parameter angeben, die sich auf die Passwortstärke beziehen.

  • [EC2.18] — Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen

    Sie können angeben, welche Ports uneingeschränkten eingehenden Verkehr zulassen dürfen.

  • [Lambda.5] — VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

    Sie können die Mindestanzahl von Availability Zones angeben, die zu einem erfolgreichen Ergebnis führen.

In diesem Abschnitt wird erklärt, wie Sie Steuerparameter anpassen und verwalten.

So funktionieren benutzerdefinierte Steuerparameter

Ein Steuerelement kann einen oder mehrere anpassbare Parameter haben. Zu den möglichen Datentypen für einzelne Steuerparameter gehören die folgenden:

  • Boolesch

  • Double

  • Enum

  • EnumList

  • Ganzzahl

  • IntegerList

  • String

  • StringList

Bei einigen Steuerelementen müssen akzeptable Parameterwerte ebenfalls in einen bestimmten Bereich fallen, um gültig zu sein. In diesen Fällen bietet Security Hub den akzeptablen Bereich.

Security Hub wählt Standardparameterwerte aus und aktualisiert sie möglicherweise gelegentlich. Nachdem Sie einen Steuerparameter angepasst haben, entspricht sein Wert weiterhin dem Wert, den Sie für den Parameter angegeben haben, sofern Sie ihn nicht ändern. Das heißt, der Parameter stoppt die Verfolgung von Aktualisierungen des Security Hub-Standardwerts, auch wenn der benutzerdefinierte Wert des Parameters mit dem aktuellen, von Security Hub definierten Standardwert übereinstimmt. Hier ist ein Beispiel für die Steuerung [ACM.1] — Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Im vorherigen Beispiel hat der daysToExpiration Parameter den benutzerdefinierten Wert. 30 Der aktuelle Standardwert für diesen Parameter ist ebenfalls30. Wenn Security Hub den Standardwert auf ändert14, verfolgt der Parameter in diesem Beispiel diese Änderung nicht. Er behält den Wert von30.

Wenn Sie Aktualisierungen des Security Hub Hub-Standardwerts für einen Parameter verfolgen möchten, setzen Sie das ValueType Feld auf DEFAULT statt aufCUSTOM. Weitere Informationen finden Sie unter Zurücksetzen auf Standardparameterwerte in einem einzigen Konto und einer Region.

Wenn Sie einen Parameterwert ändern, lösen Sie auch eine neue Sicherheitsüberprüfung aus, bei der das Steuerelement anhand des neuen Werts bewertet wird. Security Hub generiert dann neue Kontrollergebnisse auf der Grundlage des neuen Werts. Bei regelmäßigen Updates zur Kontrolle der Ergebnisse verwendet Security Hub auch den neuen Parameterwert. Wenn Sie Parameterwerte für ein Steuerelement ändern, aber keine Standards aktiviert haben, die das Steuerelement enthalten, führt Security Hub keine Sicherheitsprüfungen mit den neuen Werten durch. Sie müssen mindestens einen relevanten Standard für Security Hub aktivieren, um die Steuerung anhand des neuen Parameterwerts auszuwerten.

Benutzerdefinierte Parameterwerte gelten für alle Ihre aktivierten Standards. Sie können die Parameter für ein Steuerelement, das in Ihrer aktuellen Region nicht unterstützt wird, nicht anpassen. Eine Liste der regionalen Grenzwerte für einzelne Steuerelemente finden Sie unterRegionale Grenzwerte für Kontrollen.

Steuerparameter anpassen

Die Anweisungen zum Anpassen der Steuerparameter variieren je nachdem, ob Sie die zentrale Konfiguration verwenden. Die zentrale Konfiguration ist eine Funktion, mit der der delegierte Security Hub-Administrator die Security Hub Hub-Funktionen für AWS-Regionen Konten und Organisationseinheiten (OUs) in seiner Organisation verwalten kann.

Wenn Ihre Organisation die zentrale Konfiguration verwendet, kann der delegierte Administrator Konfigurationsrichtlinien mit benutzerdefinierten Steuerungsparametern erstellen. Diese Richtlinien können mit zentral verwalteten Mitgliedskonten und Organisationseinheiten verknüpft werden und gelten in Ihrer Heimatregion und allen verknüpften Regionen. Der delegierte Administrator kann auch ein oder mehrere Konten als selbstverwaltete Konten festlegen, sodass der Kontoinhaber seine eigenen Parameter in jeder Region separat konfigurieren kann. Wenn Ihre Organisation keine zentrale Konfiguration verwendet, müssen Sie die Steuerparameter für jedes Konto und jede Region separat anpassen.

Anpassen der Steuerparameter für mehrere Konten und Regionen

Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerparameter für zentral verwaltete Konten und Organisationseinheiten über mehrere Konten und Regionen hinweg anpassen. Wir empfehlen, die zentrale Konfiguration zu verwenden, da Sie so die Werte der Steuerparameter in verschiedenen Teilen Ihrer Organisation aufeinander abstimmen können. Beispielsweise könnten alle Ihre Testkonten bestimmte Parameterwerte verwenden, und alle Produktionskonten könnten unterschiedliche Werte verwenden.

Wenn Sie der delegierte Security Hub-Administrator für eine Organisation sind, die die zentrale Konfiguration verwendet, wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Steuerungsparameter für mehrere Konten und Regionen anzupassen.

Security Hub console
So passen Sie die Steuerparameter in mehreren Konten und Regionen an

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Vergewissern Sie sich, dass Sie in der Heimatregion angemeldet sind.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie die Registerkarte Policies.

  4. Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Parametern zu erstellen, wählen Sie Richtlinie erstellen aus. Um benutzerdefinierte Parameter in einer vorhandenen Konfigurationsrichtlinie anzugeben, wählen Sie die Richtlinie aus und klicken Sie dann auf Bearbeiten.

    Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Parametern zu erstellen

    1. Wählen Sie im Abschnitt Benutzerdefinierte Richtlinie die Sicherheitsstandards und Kontrollen aus, die Sie aktivieren möchten.

    2. Wählen Sie Steuerungsparameter anpassen aus.

    3. Wählen Sie ein Steuerelement aus, und geben Sie dann benutzerdefinierte Werte für einen oder mehrere Parameter an.

    4. Um Parameter für weitere Steuerelemente anzupassen, wählen Sie Zusätzliche Steuerung anpassen.

    5. Wählen Sie im Abschnitt Konten die Konten oder Organisationseinheiten aus, auf die Sie die Richtlinie anwenden möchten.

    6. Wählen Sie Weiter aus.

    7. Wählen Sie Richtlinie erstellen und anwenden aus. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen von Konten und Organisationseinheiten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten und Organisationseinheiten können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

    Um benutzerdefinierte Parameter in einer vorhandenen Konfigurationsrichtlinie hinzuzufügen oder zu bearbeiten

    1. Geben Sie im Abschnitt Steuerelemente unter Benutzerdefinierte Richtlinie die gewünschten neuen benutzerdefinierten Parameterwerte an.

    2. Wenn Sie in dieser Richtlinie zum ersten Mal Steuerparameter anpassen, wählen Sie Steuerparameter anpassen aus und wählen Sie dann ein Steuerelement aus, das Sie anpassen möchten. Um die Parameter für weitere Steuerelemente anzupassen, wählen Sie Zusätzliche Steuerung anpassen.

    3. Überprüfen Sie im Abschnitt Konten die Konten oder Organisationseinheiten, auf die Sie die Richtlinie anwenden möchten.

    4. Wählen Sie Weiter aus.

    5. Überprüfen Sie Ihre Änderungen und stellen Sie sicher, dass sie korrekt sind. Wenn Sie fertig sind, wählen Sie Richtlinie speichern und anwenden. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen von Konten und Organisationseinheiten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten und Organisationseinheiten können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

Security Hub API

Um Steuerparameter in mehreren Konten und Regionen anzupassen

Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Parametern zu erstellen

  1. Rufen Sie die CreateConfigurationPolicyAPI über das delegierte Administratorkonto in der Heimatregion auf.

  2. Geben Sie für das SecurityControlCustomParameters Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.

  3. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Das Value Feld darf nicht leer sein, wenn ValueType es leer istCUSTOM. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die GetSecurityControlDefinitionAPI aufrufen.

Um benutzerdefinierte Parameter in einer vorhandenen Konfigurationsrichtlinie hinzuzufügen oder zu bearbeiten

  1. Rufen Sie die UpdateConfigurationPolicyAPI über das delegierte Administratorkonto in der Heimatregion auf.

  2. Geben Sie für das Identifier Feld den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, die Sie aktualisieren möchten.

  3. Geben Sie für das SecurityControlCustomParameters Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.

  4. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die GetSecurityControlDefinitionAPI aufrufen.

Beispiel für eine API-Anfrage zum Erstellen einer neuen Konfigurationsrichtlinie:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI

Um die Steuerparameter in mehreren Konten und Regionen anzupassen

Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Parametern zu erstellen

  1. Führen Sie den create-configuration-policyBefehl über das delegierte Administratorkonto in der Heimatregion aus.

  2. Geben Sie für das SecurityControlCustomParameters Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.

  3. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Das Value Feld darf nicht leer sein, wenn ValueType es leer istCUSTOM. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie den get-security-control-definitionBefehl ausführen.

Um Parameter zu einer vorhandenen Konfigurationsrichtlinie hinzuzufügen oder zu bearbeiten

  1. Um benutzerdefinierte Eingabeparameter in einer vorhandenen Konfigurationsrichtlinie hinzuzufügen oder zu aktualisieren, führen Sie den update-configuration-policyBefehl über das delegierte Administratorkonto in der Heimatregion aus.

  2. Geben Sie für das identifier Feld den Amazon-Ressourcennamen (ARN) oder die ID der Richtlinie ein, die Sie aktualisieren möchten.

  3. Geben Sie für das SecurityControlCustomParameters Objekt die ID jedes Steuerelements an, das Sie anpassen möchten.

  4. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie den get-security-control-definitionBefehl ausführen.

Beispielbefehl zum Erstellen einer neuen Konfigurationsrichtlinie:

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'

Anpassen von Steuerungsparametern in einem einzigen Konto und einer einzigen Region

Wenn Sie keine zentrale Konfiguration verwenden oder kein selbstverwaltetes Konto haben, können Sie die Steuerparameter für Ihr Konto jeweils in einer Region anpassen

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Anpassung der Steuerparameter. Ihre Änderungen gelten nur für Ihr Konto in der aktuellen Region. Um die Steuerungsparameter in weiteren Regionen anzupassen, wiederholen Sie die folgenden Schritte für jedes weitere Konto und jede Region, in der Sie die Parameter anpassen möchten. Das gleiche Steuerelement kann in verschiedenen Regionen unterschiedliche Parameterwerte verwenden.

Security Hub console
Um die Steuerparameter in einem Konto und einer Region anzupassen

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im Navigationsbereich Controls aus. Wählen Sie in der Tabelle ein Steuerelement aus, das benutzerdefinierte Parameter unterstützt und für das Sie die Parameter ändern möchten. In der Spalte Benutzerdefinierte Parameter wird angegeben, welche Steuerelemente benutzerdefinierte Parameter unterstützen.

  3. Wählen Sie auf der Detailseite für das Steuerelement die Registerkarte Parameter und dann Bearbeiten aus.

  4. Geben Sie die gewünschten Parameterwerte an.

  5. Wählen Sie optional im Abschnitt Grund für die Änderung einen Grund für die Anpassung der Parameter aus.

  6. Wählen Sie Speichern.

Security Hub API
Um die Steuerparameter in einem Konto und einer Region anzupassen

  1. Rufen Sie die UpdateSecurityControlAPI auf.

  2. Geben Sie für SecurityControlId die ID des Steuerelements an, das Sie anpassen möchten.

  3. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die GetSecurityControlDefinitionAPI aufrufen.

  4. Geben Sie optional einen Grund für die Anpassung der Steuerparameter an. LastUpdateReason

Beispiel für eine API-Anfrage:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 15
            }
        }
    },
    "LastUpdateReason": "Internal compliance requirement"
}
AWS CLI
Um die Steuerparameter in einem Konto und einer Region anzupassen

  1. Führen Sie den Befehl update-security-control aus.

  2. Geben Sie für security-control-id die ID des Steuerelements an, das Sie anpassen möchten.

  3. Geben Sie für das parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie den get-security-control-definitionBefehl ausführen.

  4. Geben Sie optional für last-update-reason einen Grund für die Anpassung der Steuerparameter an.

Beispielbefehl:

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"

Überprüfen des Status der Steuerparameter

Es ist wichtig, den Status von Änderungen an den Steuerparametern zu validieren und zu überprüfen. Auf diese Weise wird sichergestellt, dass eine Kontrolle erwartungsgemäß funktioniert und den beabsichtigten Sicherheitswert bietet. Um zu überprüfen, ob ein Parameter-Update erfolgreich war, können Sie die Details der Steuerung auf der Security Hub Hub-Konsole überprüfen. Wählen Sie auf der Konsole das Steuerelement aus, dessen Details angezeigt werden sollen. Auf der Registerkarte „Parameter“ wird der Status der Parameteränderung angezeigt.

Wenn Ihre Anfrage zur Aktualisierung eines Parameters gültig ist, ist der Wert des UpdateStatus Felds programmgesteuert eine Antwort auf den BatchGetSecurityControlsVorgang. UPDATING Das bedeutet, dass die Aktualisierung gültig war, Ihre Ergebnisse jedoch möglicherweise noch nicht die aktualisierten Parameterwerte enthalten. Wenn sich der Wert von UpdateState ändertREADY, beginnen Ihre Ergebnisse, die aktualisierten Parameterwerte zu enthalten.

Der UpdateSecurityControl Vorgang gibt eine InvalidInputException Antwort für ungültige Parameterwerte zurück. Die Antwort enthält zusätzliche Details zur Ursache des Fehlers. Beispielsweise haben Sie möglicherweise einen Wert angegeben, der außerhalb des gültigen Bereichs für einen Parameter liegt. Oder Sie haben einen Wert angegeben, der nicht den richtigen Datentyp verwendet. Senden Sie Ihre Anfrage erneut mit einer gültigen Eingabe. Wenn ein Parameter-Update nicht erfolgreich ist, behält Security Hub den aktuellen Wert für den Parameter bei.

Wenn beim Versuch, einen Parameterwert zu aktualisieren, ein interner Fehler auftritt, versucht Security Hub es automatisch erneut, sofern Sie AWS Config es aktiviert haben. Weitere Informationen finden Sie unter Konfiguration AWS Config.

Überprüfung der Steuerparameter

Sie können die aktuellen Werte für einzelne Steuerparameter in Ihrem Konto überprüfen. Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Security Hub-Administrator auch Parameterwerte überprüfen, die in einer Konfigurationsrichtlinie angegeben sind.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die aktuellen Steuerparameterwerte zu überprüfen.

Security Hub console
Um die aktuellen Parameterwerte zu überprüfen

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im Navigationsbereich Controls aus. Wählen Sie ein Steuerelement aus.

  3. Wählen Sie die Registerkarte Parameters aus. Auf dieser Registerkarte werden die aktuellen Parameterwerte für das Steuerelement angezeigt.

Security Hub API

Um die aktuellen Parameterwerte zu überprüfen

Rufen Sie die BatchGetSecurityControlsAPI auf und geben Sie eine oder mehrere Sicherheitskontroll-IDs oder ARNs an. Das Parameters Objekt in der Antwort zeigt die aktuellen Parameterwerte für die angegebenen Steuerelemente.

Beispiel für eine API-Anfrage:

{
    "SecurityControlIds": ["APIGateway.1", "CloudWatch.15", "IAM.7"]
}
AWS CLI

Um aktuelle Parameterwerte zu überprüfen

Führen Sie den batch-get-security-controlsBefehl aus und geben Sie eine oder mehrere Sicherheitskontroll-IDs oder ARNs ein. Das Parameters Objekt in der Antwort zeigt die aktuellen Parameterwerte für die angegebenen Steuerelemente an.

Beispielbefehl:

$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'

Wählen Sie Ihre bevorzugte Methode, um die aktuellen Parameterwerte in einer zentralen Konfigurationsrichtlinie anzuzeigen.

Security Hub console
Um aktuelle Parameterwerte in einer Konfigurationsrichtlinie zu überprüfen

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie auf der Registerkarte Richtlinien die Konfigurationsrichtlinie und dann Details anzeigen aus. Anschließend werden die Richtliniendetails angezeigt, einschließlich der aktuellen Parameterwerte.

Security Hub API
Um aktuelle Parameterwerte in einer Konfigurationsrichtlinie zu überprüfen

  1. Rufen Sie die GetConfigurationPolicyAPI über das delegierte Administratorkonto in der Heimatregion auf.

  2. Geben Sie den ARN oder die ID der Konfigurationsrichtlinie an, deren Details Sie sehen möchten. Die Antwort enthält aktuelle Parameterwerte.

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
AWS CLI
Um aktuelle Parameterwerte in einer Konfigurationsrichtlinie zu überprüfen

  1. Führen Sie den get-configuration-policyBefehl über das delegierte Administratorkonto in der Heimatregion aus.

  2. Geben Sie den ARN oder die ID der Konfigurationsrichtlinie an, deren Details Sie sehen möchten. Die Antwort enthält aktuelle Parameterwerte.

$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Ihre Kontrollergebnisse zeigen auch aktuelle Parameterwerte. In der AWS Syntax des Security Finding Format (ASFF) erscheinen diese Werte im Parameters Feld des Compliance Objekts. Um die Ergebnisse auf der Security Hub Hub-Konsole zu überprüfen, wählen Sie im Navigationsbereich Findings aus. Verwenden Sie den Vorgang, um die Ergebnisse programmgesteuert zu überprüfen. GetFindings

Anmerkung

Nach der Veröffentlichung der Funktion für benutzerdefinierte Steuerparameter aktualisiert Security Hub die vorhandenen Kontrollergebnisse, um das Parameters ASFF-Feld einzubeziehen. Dies kann bis zu 24 Stunden dauern.

Rückkehr zu den Standardwerten der Steuerparameter

Ein Steuerparameter kann einen Standardwert haben, den Security Hub definiert. Möglicherweise aktualisieren wir den Standardwert für einen Parameter, um den sich entwickelnden bewährten Sicherheitsmethoden Rechnung zu tragen. Wenn Sie keinen benutzerdefinierten Wert für einen Steuerparameter angegeben haben, verfolgt das Steuerelement diese Aktualisierungen automatisch und verwendet den neuen Standardwert.

Sie können zur Verwendung der Standardparameterwerte für ein Steuerelement zurückkehren. Wie Sie das tun, hängt davon ab, ob Sie die zentrale Konfiguration verwenden.

Anmerkung

Nicht alle Steuerparameter haben einen Security Hub Hub-Standardwert. In solchen Fällen, wenn auf gesetzt ValueType istDEFAULT, gibt es keinen bestimmten Standardwert, den Security Hub verwendet. Stattdessen ignoriert Security Hub den Parameter, wenn kein benutzerdefinierter Wert vorhanden ist.

Rückkehr zu Standardparameterwerten für mehrere Konten und Regionen

Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerparameter für zentral verwaltete Konten und Organisationseinheiten über mehrere Konten und Regionen hinweg zurücksetzen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um mithilfe der zentralen Konfiguration zu den Standardparameterwerten für mehrere Konten und Regionen zurückzukehren.

Security Hub console
So kehren Sie in mehreren Konten und Regionen zu den Standardparameterwerten zurück

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie die Registerkarte Policies.

  4. Wählen Sie eine Richtlinie aus und klicken Sie dann auf Bearbeiten.

  5. Unter Benutzerdefinierte Richtlinie wird im Abschnitt Steuerelemente eine Liste der Steuerelemente angezeigt, für die Sie benutzerdefinierte Parameter angegeben haben.

  6. Suchen Sie das Steuerelement mit einem oder mehreren Parameterwerten, die rückgängig gemacht werden sollen. Wählen Sie dann Entfernen, um zu den Standardwerten zurückzukehren.

  7. Überprüfen Sie im Abschnitt Konten die Konten oder Organisationseinheiten, auf die Sie die Richtlinie anwenden möchten.

  8. Wählen Sie Weiter aus.

  9. Überprüfen Sie Ihre Änderungen und stellen Sie sicher, dass sie korrekt sind. Wenn Sie fertig sind, wählen Sie Richtlinie speichern und anwenden. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen von Konten und Organisationseinheiten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten und Organisationseinheiten können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

Security Hub API
Um in mehreren Konten und Regionen zu den Standardparameterwerten zurückzukehren

  1. Rufen Sie die UpdateConfigurationPolicyAPI vom delegierten Administratorkonto in der Heimatregion aus auf.

  2. Geben Sie für das Identifier Feld den Amazon-Ressourcennamen (ARN) oder die ID der Richtlinie ein, die Sie aktualisieren möchten.

  3. Geben Sie für das SecurityControlCustomParameters Objekt die ID jedes Steuerelements an, für das Sie einen oder mehrere Parameter rückgängig machen möchten.

  4. Geben Sie im Parameters Objekt für jeden Parameter, den Sie rückgängig machen möchten, das ValueType Feld DEFAULT an. Wenn auf gesetzt ValueType istDEFAULT, müssen Sie keinen Wert für das Value Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub ihn. Wenn Ihre Anfrage einen Parameter auslässt, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei.

Warnung

Wenn Sie ein Kontrollobjekt aus dem SecurityControlCustomParameters Feld weglassen, setzt Security Hub alle benutzerdefinierten Parameter für das Steuerelement auf ihre Standardwerte zurück. Eine völlig leere Liste für SecurityControlCustomParameters setzt benutzerdefinierte Parameter für alle Steuerelemente auf ihre Standardwerte zurück.

Beispiel für eine API-Anfrage:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "TestConfigurationPolicy",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Revert ACM.1 parameter to default value",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
             "SecurityControlsConfiguration": {
                "DisbledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "DEFAULT"
                             }
                         }
                    }
                ]
             }
        }
    }
}
AWS CLI
Um zu den Standardparameterwerten in mehreren Konten und Regionen zurückzukehren

  1. Führen Sie den update-configuration-policyBefehl über das delegierte Administratorkonto in der Heimatregion aus.

  2. Geben Sie für das identifier Feld den Amazon-Ressourcennamen (ARN) oder die ID der Richtlinie ein, die Sie aktualisieren möchten.

  3. Geben Sie für das SecurityControlCustomParameters Objekt die ID jedes Steuerelements an, für das Sie einen oder mehrere Parameter rückgängig machen möchten.

  4. Geben Sie im Parameters Objekt für jeden Parameter, den Sie rückgängig machen möchten, das ValueType Feld DEFAULT an. Wenn auf gesetzt ValueType istDEFAULT, müssen Sie keinen Wert für das Value Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub ihn. Wenn Ihre Anfrage einen Parameter auslässt, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei.

Warnung

Wenn Sie ein Kontrollobjekt aus dem SecurityControlCustomParameters Feld weglassen, setzt Security Hub alle benutzerdefinierten Parameter für das Steuerelement auf ihre Standardwerte zurück. Eine völlig leere Liste für SecurityControlCustomParameters setzt benutzerdefinierte Parameter für alle Steuerelemente auf ihre Standardwerte zurück.

Beispielbefehl:

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

Zurücksetzen auf Standardparameterwerte in einem einzigen Konto und einer Region

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie für Ihr Konto in jeweils einer Region wieder die Standardparameterwerte verwenden.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um zu den Standardparameterwerten für Ihr Konto in einer einzelnen Region zurückzukehren. Um in weiteren Regionen zu den Standardparameterwerten zurückzukehren, wiederholen Sie diese Schritte in jeder weiteren Region.

Anmerkung

Wenn Sie Security Hub deaktivieren, werden Ihre benutzerdefinierten Steuerungsparameter zurückgesetzt. Wenn Sie Security Hub in future erneut aktivieren, verwenden alle Steuerelemente beim Start Standardparameterwerte.

Security Hub console
Um zu den Standardparameterwerten in einem Konto und einer Region zurückzukehren

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im Navigationsbereich Controls aus. Wählen Sie das Steuerelement aus, für das Sie die Standardparameterwerte wiederherstellen möchten.

  3. Wählen Sie auf der Parameters Registerkarte neben einem Steuerparameter die Option Benutzerdefiniert aus. Wählen Sie dann Anpassung entfernen aus. Dieser Parameter verwendet jetzt den Security Hub Hub-Standardwert und verfolgt future Updates auf den Standardwert.

  4. Wiederholen Sie den vorherigen Schritt für jeden Parameterwert, den Sie wiederherstellen möchten.

Security Hub API
Um zu den Standardparameterwerten in einem Konto und einer Region zurückzukehren

  1. Rufen Sie die API auf UpdateSecurityControl.

  2. Geben Sie für SecurityControlId den ARN oder die ID des Steuerelements an, dessen Parameter Sie rückgängig machen möchten.

  3. Geben Sie im Parameters Objekt für jeden Parameter, den Sie rückgängig machen möchten, das ValueType Feld DEFAULT an. Wenn auf gesetzt ValueType istDEFAULT, müssen Sie keinen Wert für das Value Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub ihn.

  4. Geben Sie optional einen Grund für LastUpdateReason die Rückkehr zu den Standardparameterwerten an.

Beispiel für eine API-Anfrage:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "DEFAULT"
        },
    "LastUpdateReason": "New internal requirement"
}
AWS CLI
Um zu den Standardparameterwerten in einem Konto und einer Region zurückzukehren

  1. Führen Sie den Befehl update-security-control aus.

  2. Geben Sie für security-control-id den ARN oder die ID des Steuerelements an, dessen Parameter Sie rückgängig machen möchten.

  3. Geben Sie im parameters Objekt für jeden Parameter, den Sie rückgängig machen möchten, das ValueType Feld DEFAULT an. Wenn auf gesetzt ValueType istDEFAULT, müssen Sie keinen Wert für das Value Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub ihn.

  4. Geben Sie optional einen Grund für last-update-reason die Rückkehr zu den Standardparameterwerten an.

Beispielbefehl:

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"

Steuerelemente, die benutzerdefinierte Parameter unterstützen

Eine Liste der Sicherheitskontrollen, die benutzerdefinierte Parameter unterstützen, finden Sie auf der Seite Kontrollen in der Security Hub Hub-Konsole oder imReferenz zu Security Hub-Steuerungen. Um diese Liste programmgesteuert abzurufen, können Sie den ListSecurityControlDefinitionsVorgang verwenden. In der Antwort gibt das CustomizableProperties Objekt an, welche Steuerelemente anpassbare Parameter unterstützen.