Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Grundlegendes zu den Steuerungsparametern in Security Hub CSPM
Einige Steuerelemente in AWS Security Hub CSPM verwenden Parameter, die beeinflussen, wie die Steuerung bewertet wird. In der Regel werden solche Kontrollen anhand der von Security Hub CSPM definierten Standardparameterwerte bewertet. Für eine Teilmenge dieser Steuerelemente können Sie die Parameterwerte jedoch ändern. Wenn Sie einen Steuerparameterwert ändern, beginnt Security Hub CSPM, die Steuerung anhand des von Ihnen angegebenen Werts auszuwerten. Wenn die dem Steuerelement zugrunde liegende Ressource den benutzerdefinierten Wert erfüllt, generiert Security Hub CSPM einen Befund. `PASSED` Wenn die Ressource den benutzerdefinierten Wert nicht erfüllt, generiert Security Hub CSPM einen `FAILED` Befund.
Durch die Anpassung der Kontrollparameter können Sie die von Security Hub CSPM empfohlenen und überwachten bewährten Sicherheitsmethoden verfeinern, um sie an Ihre Geschäftsanforderungen und Sicherheitserwartungen anzupassen. Anstatt die Ergebnisse einer Kontrolle zu unterdrücken, können Sie einen oder mehrere ihrer Parameter anpassen, um Ergebnisse zu erhalten, die Ihren Sicherheitsanforderungen entsprechen.
Im Folgenden finden Sie einige Anwendungsbeispiele für das Ändern von Steuerparametern und das Festlegen benutzerdefinierter Werte:
+ **[CloudWatch.16] — CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden**
Sie können den Aufbewahrungszeitraum angeben.
+ **[IAM.7] — Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben**
Sie können Parameter angeben, die sich auf die Passwortstärke beziehen.
+ **[EC2.18] — Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen**
Sie können angeben, welche Ports uneingeschränkten eingehenden Verkehr zulassen dürfen.
+ **[Lambda.5] — VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren**
Sie können die Mindestanzahl von Availability Zones angeben, die zu einem erfolgreichen Ergebnis führen.
In diesem Abschnitt werden Dinge behandelt, die Sie bei der Änderung von Steuerungsparametern beachten sollten.
## Auswirkung der Änderung von Steuerparameterwerten
Wenn Sie einen Parameterwert ändern, lösen Sie auch eine neue Sicherheitsüberprüfung aus, bei der das Steuerelement anhand des neuen Werts bewertet wird. Security Hub CSPM generiert dann neue Kontrollergebnisse auf der Grundlage des neuen Werts. Bei regelmäßigen Updates zur Kontrolle der Ergebnisse verwendet Security Hub CSPM auch den neuen Parameterwert. Wenn Sie Parameterwerte für ein Steuerelement ändern, aber keine Standards aktiviert haben, die das Steuerelement enthalten, führt Security Hub CSPM keine Sicherheitsprüfungen mit den neuen Werten durch. Sie müssen mindestens einen relevanten Standard für Security Hub CSPM aktivieren, um die Kontrolle auf der Grundlage des neuen Parameterwerts auszuwerten.
Ein Steuerelement kann einen oder mehrere anpassbare Parameter haben. Zu den möglichen Datentypen für jeden Steuerparameter gehören die folgenden:
+ Boolesch
+ Double
+ Enum
+ EnumList
+ Ganzzahl
+ IntegerList
+ Zeichenfolge
+ StringList
Benutzerdefinierte Parameterwerte gelten für alle Ihre aktivierten Standards. Sie können die Parameter für ein Steuerelement, das in Ihrer aktuellen Region nicht unterstützt wird, nicht anpassen. Eine Liste der regionalen Grenzwerte für einzelne Steuerelemente finden Sie unter[Regionale Beschränkungen der Security Hub CSPM-Steuerungen](regions-controls.md).
Bei einigen Kontrollen müssen akzeptable Parameterwerte in einen bestimmten Bereich fallen, um gültig zu sein. In diesen Fällen bietet Security Hub CSPM den akzeptablen Bereich.
Security Hub CSPM wählt Standardparameterwerte aus und aktualisiert sie möglicherweise gelegentlich. Nachdem Sie einen Steuerparameter angepasst haben, entspricht sein Wert weiterhin dem Wert, den Sie für den Parameter angegeben haben, sofern Sie ihn nicht ändern. Das heißt, der Parameter stoppt die Nachverfolgung von Aktualisierungen des Security Hub CSPM-Standardwerts, auch wenn der benutzerdefinierte Wert des Parameters mit dem aktuellen, von Security Hub CSPM definierten Standardwert übereinstimmt. Hier ist ein Beispiel für die Steuerung **[ACM.1] — Importierte und von ACM ausgestellte Zertifikate sollten** nach einem bestimmten Zeitraum erneuert werden:
```
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 30
}
}
}
}
```
Im vorherigen Beispiel hat der `daysToExpiration` Parameter den benutzerdefinierten Wert. `30` Der aktuelle Standardwert für diesen Parameter ist ebenfalls`30`. Wenn Security Hub CSPM den Standardwert auf ändert`14`, verfolgt der Parameter in diesem Beispiel diese Änderung nicht. Er behält den Wert von. `30`
Wenn Sie Aktualisierungen des Security Hub CSPM-Standardwerts für einen Parameter verfolgen möchten, setzen Sie das `ValueType` Feld auf `DEFAULT` statt auf. `CUSTOM` Weitere Informationen finden Sie unter [Zurücksetzen auf die Standardsteuerungsparameter in einem einzigen Konto und einer Region](revert-default-parameter-values.md#revert-default-parameter-values-local-config).
## Steuerelemente, die benutzerdefinierte Parameter unterstützen
Eine Liste der Sicherheitskontrollen, die benutzerdefinierte Parameter unterstützen, finden Sie auf der Seite **Steuerelemente** der Security Hub CSPM-Konsole oder unter. [Kontrollreferenz für Security Hub CSPM](securityhub-controls-reference.md) Um diese Liste programmgesteuert abzurufen, können Sie den Vorgang verwenden. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) In der Antwort gibt das `CustomizableProperties` Objekt an, welche Steuerelemente anpassbare Parameter unterstützen.
# Überprüfung der aktuellen Steuerparameterwerte
Es kann hilfreich sein, den aktuellen Wert eines Steuerparameters zu kennen, bevor Sie ihn ändern.
Sie können die aktuellen Werte für einzelne Steuerparameter in Ihrem Konto überprüfen. Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte AWS Security Hub CSPM-Administrator auch Parameterwerte überprüfen, die in einer Konfigurationsrichtlinie angegeben sind.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die aktuellen Steuerparameterwerte zu überprüfen.
------
#### [ Security Hub CSPM console ]
**Um die aktuellen Steuerparameterwerte zu überprüfen (Konsole)**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Controls aus.** Wählen Sie ein Steuerelement aus.
1. Wählen Sie die Registerkarte **Parameters** aus. Auf dieser Registerkarte werden die aktuellen Parameterwerte für das Steuerelement angezeigt.
------
#### [ Security Hub CSPM API ]
**Um die aktuellen Steuerparameterwerte (API) zu überprüfen**
Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API auf und stellen Sie eine oder mehrere Sicherheitskontrollen bereit IDs oder ARNs. Das `Parameters` Objekt in der Antwort zeigt die aktuellen Parameterwerte für die angegebenen Steuerelemente an.
Der folgende AWS CLI Befehl zeigt beispielsweise die aktuellen Parameterwerte für `APIGatway.1``CloudWatch.15`, und`IAM.7`. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```
------
Wählen Sie Ihre bevorzugte Methode, um die aktuellen Parameterwerte in einer zentralen Konfigurationsrichtlinie anzuzeigen.
------
#### [ Security Hub CSPM console ]
**Um die aktuellen Kontrollparameterwerte in einer Konfigurationsrichtlinie (Konsole) zu überprüfen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.
1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****
1. Wählen Sie auf der Registerkarte **Richtlinien** die Konfigurationsrichtlinie aus und klicken Sie dann **auf Details anzeigen**. Anschließend werden die Richtliniendetails angezeigt, einschließlich der aktuellen Parameterwerte.
------
#### [ Security Hub CSPM API ]
**Um die aktuellen Steuerparameterwerte in einer Konfigurationsrichtlinie (API) zu überprüfen**
1. Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.
1. Geben Sie den ARN oder die ID der Konfigurationsrichtlinie an, deren Details Sie sehen möchten. Die Antwort enthält aktuelle Parameterwerte.
Mit dem folgenden AWS CLI Befehl werden beispielsweise die aktuellen Steuerparameterwerte in der angegebenen Konfigurationsrichtlinie abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
Zu den Kontrollergebnissen gehören auch die aktuellen Werte der Steuerparameter. In der [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) erscheinen diese Werte im `Parameters` Feld des `Compliance` Objekts. **Um die Ergebnisse auf der Security Hub CSPM-Konsole zu überprüfen, wählen Sie im Navigationsbereich Findings aus.** Verwenden Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)Betrieb der Security Hub CSPM-API, um die Ergebnisse programmatisch zu überprüfen.
# Anpassen von Steuerparameterwerten
Die Anweisungen zum Anpassen der Steuerparameter variieren je nachdem, ob Sie die [zentrale Konfiguration](central-configuration-intro.md) in AWS Security Hub CSPM verwenden. Die zentrale Konfiguration ist eine Funktion, mit der der delegierte Security Hub CSPM-Administrator die Security Hub CSPM-Funktionen für Konten und Organisationseinheiten AWS-Regionen konfigurieren kann (). OUs
Wenn Ihr Unternehmen die zentrale Konfiguration verwendet, kann der delegierte Administrator Konfigurationsrichtlinien erstellen, die benutzerdefinierte Steuerungsparameter enthalten. Diese Richtlinien können mit zentral verwalteten Mitgliedskonten verknüpft werden und OUs treten in Ihrer Heimatregion und allen verknüpften Regionen in Kraft. Der delegierte Administrator kann auch ein oder mehrere Konten als selbstverwaltete Konten festlegen, sodass der Kontoinhaber seine eigenen Parameter in jeder Region separat konfigurieren kann. Wenn Ihre Organisation keine zentrale Konfiguration verwendet, müssen Sie die Steuerparameter für jedes Konto und jede Region separat anpassen.
Wir empfehlen, die zentrale Konfiguration zu verwenden, da Sie so die Werte der Steuerparameter in verschiedenen Teilen Ihrer Organisation aufeinander abstimmen können. Beispielsweise könnten alle Ihre Testkonten bestimmte Parameterwerte verwenden, und alle Produktionskonten könnten unterschiedliche Werte verwenden.
## Anpassen von Steuerungsparametern in mehreren Konten und Regionen
Wenn Sie der delegierte Security Hub CSPM-Administrator für eine Organisation sind, die die zentrale Konfiguration verwendet, wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Steuerungsparameter für mehrere Konten und Regionen anzupassen.
------
#### [ Security Hub CSPM console ]
**So passen Sie die Werte der Steuerparameter in mehreren Konten und Regionen an (Konsole)**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Stellen Sie sicher, dass Sie in der Heimatregion angemeldet sind.
1. Wählen Sie im Navigationsbereich **Einstellungen** und **Konfiguration** aus.
1. Wählen Sie die Registerkarte **Policies**.
1. Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Parametern zu erstellen, wählen Sie **Richtlinie erstellen** aus. Um benutzerdefinierte Parameter in einer vorhandenen Konfigurationsrichtlinie anzugeben, wählen Sie die Richtlinie aus und klicken Sie dann auf **Bearbeiten**.
**Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Steuerparameterwerten zu erstellen**
1. Wählen Sie im Abschnitt **Benutzerdefinierte Richtlinie** die Sicherheitsstandards und Kontrollen aus, die Sie aktivieren möchten.
1. Wählen Sie **Steuerungsparameter anpassen** aus.
1. Wählen Sie ein Steuerelement aus, und geben Sie dann benutzerdefinierte Werte für einen oder mehrere Parameter an.
1. Um Parameter für weitere Steuerelemente anzupassen, wählen Sie **Zusätzliche Steuerung anpassen**.
1. Wählen Sie im Abschnitt **Konten** die Konten aus OUs , auf die Sie die Richtlinie anwenden möchten.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie **Richtlinie erstellen und anwenden**. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.
**Um die Werte der Steuerparameter in einer vorhandenen Konfigurationsrichtlinie anzupassen**
1. Geben Sie im Abschnitt **Steuerelemente** unter **Benutzerdefinierte Richtlinie** die gewünschten neuen benutzerdefinierten Parameterwerte an.
1. Wenn Sie in dieser Richtlinie zum ersten Mal Steuerparameter anpassen, wählen Sie **Steuerparameter anpassen aus und wählen Sie dann ein Steuerelement** aus, das Sie anpassen möchten. Um die Parameter für weitere Steuerelemente anzupassen, wählen Sie **Zusätzliche Steuerung anpassen**.
1. Überprüfen Sie im Abschnitt **Konten** die Konten oder OUs die Konten, auf die Sie die Richtlinie anwenden möchten.
1. Wählen Sie **Weiter** aus.
1. Überprüfe deine Änderungen und vergewissere dich, dass sie korrekt sind. Wenn Sie fertig sind, wählen Sie **Richtlinie speichern und anwenden**. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.
------
#### [ Security Hub CSPM API ]
**Zum Anpassen von Steuerparameterwerten in mehreren Konten und Regionen (API)**
**Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Steuerparameterwerten zu erstellen**
1. Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.
1. Geben Sie für das `SecurityControlCustomParameters` Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.
1. Geben Sie für das `Parameters` Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes `CUSTOM` an`ValueType`. Geben Sie für `Value` den Datentyp des Parameters und den benutzerdefinierten Wert an. Das `Value` Feld darf nicht leer sein, wenn `ValueType` es leer ist`CUSTOM`. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API aufrufen.
**Um die Werte der Steuerparameter in einer vorhandenen Konfigurationsrichtlinie anzupassen**
1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.
1. Geben Sie für das `Identifier` Feld den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, die Sie aktualisieren möchten.
1. Geben Sie für das `SecurityControlCustomParameters` Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.
1. Geben Sie für das `Parameters` Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes `CUSTOM` an`ValueType`. Geben Sie für `Value` den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API aufrufen.
Mit dem folgenden AWS CLI Befehl wird beispielsweise eine neue Konfigurationsrichtlinie mit einem benutzerdefinierten Wert für den `daysToExpiration` Parameter von `ACM.1` erstellt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```
------
## Anpassen der Steuerparameter in einem einzigen Konto und einer Region
Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie die Steuerparameter für Ihr Konto jeweils nur in einer Region anpassen.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Anpassung der Steuerparameter. Ihre Änderungen gelten nur für Ihr Konto in der aktuellen Region. Um die Steuerungsparameter in weiteren Regionen anzupassen, wiederholen Sie die folgenden Schritte für jedes weitere Konto und jede Region, in der Sie die Parameter anpassen möchten. Das gleiche Steuerelement kann in verschiedenen Regionen unterschiedliche Parameterwerte verwenden.
------
#### [ Security Hub CSPM console ]
**Um die Werte der Steuerparameter in einem Konto und einer Region (Konsole) anzupassen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Controls aus.** Wählen Sie in der Tabelle ein Steuerelement aus, das benutzerdefinierte Parameter unterstützt und für das Sie die Parameter ändern möchten. In der Spalte **Benutzerdefinierte Parameter** wird angegeben, welche Steuerelemente benutzerdefinierte Parameter unterstützen.
1. Wählen Sie auf der Detailseite für das Steuerelement die Registerkarte **Parameter** und dann **Bearbeiten** aus.
1. Geben Sie die gewünschten Parameterwerte an.
1. Wählen Sie optional im Abschnitt **Grund für die Änderung** einen Grund für die Anpassung der Parameter aus.
1. Wählen Sie **Speichern**.
------
#### [ Security Hub CSPM API ]
**Um die Werte der Steuerparameter in einem Konto und einer Region (API) anzupassen**
1. Rufen Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API auf.
1. Geben Sie für `SecurityControlId` die ID des Steuerelements an, das Sie anpassen möchten.
1. Geben Sie für das `Parameters` Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes `CUSTOM` an`ValueType`. Geben Sie für `Value` den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API aufrufen.
1. Geben Sie optional für `LastUpdateReason` einen Grund für die Anpassung der Steuerparameter an.
Der folgende AWS CLI Befehl definiert beispielsweise einen benutzerdefinierten Wert für den `daysToExpiration` Parameter von`ACM.1`. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```
------
# Rückkehr zu den Standardwerten der Steuerparameter
Ein Steuerparameter kann einen Standardwert haben, den AWS Security Hub CSPM definiert. Gelegentlich aktualisiert Security Hub CSPM den Standardwert für einen Parameter, um den sich entwickelnden bewährten Sicherheitsmethoden Rechnung zu tragen. Wenn Sie keinen benutzerdefinierten Wert für einen Steuerparameter angegeben haben, verfolgt das Steuerelement diese Aktualisierungen automatisch und verwendet den neuen Standardwert.
Sie können zur Verwendung der Standardparameterwerte für ein Steuerelement zurückkehren. Die Anweisungen für die Umkehrung hängen davon ab, ob Sie die [zentrale Konfiguration](central-configuration-intro.md) in Security Hub CSPM verwenden. Die zentrale Konfiguration ist eine Funktion, mit der der delegierte Security Hub CSPM-Administrator die Security Hub CSPM-Funktionen für Konten und Organisationseinheiten AWS-Regionen konfigurieren kann (). OUs
**Anmerkung**
Nicht alle Steuerparameter haben einen standardmäßigen Security Hub CSPM-Wert. In solchen Fällen, wenn auf gesetzt `ValueType` ist`DEFAULT`, gibt es keinen bestimmten Standardwert, den Security Hub CSPM verwendet. Stattdessen ignoriert Security Hub CSPM den Parameter, wenn kein benutzerdefinierter Wert vorhanden ist.
## Rückkehr zu den Standardsteuerungsparametern in mehreren Konten und Regionen
Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerparameter für mehrere zentral verwaltete Konten sowie für die Heimatregion und OUs verknüpfte Regionen wiederherstellen.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um mithilfe der zentralen Konfiguration zu den Standardparameterwerten für mehrere Konten und Regionen zurückzukehren.
------
#### [ Security Hub CSPM console ]
**So kehren Sie in mehreren Konten und Regionen zu den Standardwerten der Steuerparameter zurück (Konsole)**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.
1. **Wählen Sie im Navigationsbereich **Einstellungen und Konfiguration aus.****
1. Wählen Sie die Registerkarte **Policies**.
1. Wählen Sie eine Richtlinie aus und klicken Sie dann auf **Bearbeiten**.
1. Unter **Benutzerdefinierte Richtlinie** wird im Abschnitt **Steuerelemente** eine Liste der Steuerelemente angezeigt, für die Sie benutzerdefinierte Parameter angegeben haben.
1. Suchen Sie das Steuerelement mit einem oder mehreren Parameterwerten, die rückgängig gemacht werden sollen. Wählen Sie dann **Entfernen**, um zu den Standardwerten zurückzukehren.
1. Überprüfen Sie im Abschnitt **Konten** die Konten oder die Konten OUs , auf die Sie die Richtlinie anwenden möchten.
1. Wählen Sie **Weiter** aus.
1. Überprüfe deine Änderungen und vergewissere dich, dass sie korrekt sind. Wenn Sie fertig sind, wählen Sie **Richtlinie speichern und anwenden**. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.
------
#### [ Security Hub CSPM API ]
**Um zu den Standardwerten der Steuerparameter in mehreren Konten und Regionen zurückzukehren (API)**
1. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API über das delegierte Administratorkonto in der Heimatregion auf.
1. Geben Sie für das `Identifier` Feld den Amazon-Ressourcennamen (ARN) oder die ID der Richtlinie ein, die Sie aktualisieren möchten.
1. Geben Sie für das `SecurityControlCustomParameters` Objekt die ID jedes Steuerelements an, für das Sie einen oder mehrere Parameter rückgängig machen möchten.
1. Geben Sie im `Parameters` Objekt für jeden Parameter, den Sie rückgängig machen möchten, das `ValueType` Feld `DEFAULT` an. Wenn auf gesetzt `ValueType` ist`DEFAULT`, müssen Sie keinen Wert für das `Value` Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub CSPM ihn. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei.
**Warnung**
Wenn Sie ein Kontrollobjekt aus dem `SecurityControlCustomParameters` Feld weglassen, setzt Security Hub CSPM alle benutzerdefinierten Parameter für das Steuerelement auf ihre Standardwerte zurück. Eine völlig leere Liste für `SecurityControlCustomParameters` setzt benutzerdefinierte Parameter für alle Steuerelemente auf ihre Standardwerte zurück.
Mit dem folgenden AWS CLI Befehl wird beispielsweise der `daysToExpiration` Steuerparameter für `ACM.1` auf seinen Standardwert in der angegebenen Konfigurationsrichtlinie zurückgesetzt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```
------
## Zurücksetzen auf die Standardsteuerungsparameter in einem einzigen Konto und einer Region
Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie für Ihr Konto in jeweils einer Region wieder die Standardparameterwerte verwenden.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um zu den Standardparameterwerten für Ihr Konto in einer einzelnen Region zurückzukehren. Um in weiteren Regionen zu den Standardparameterwerten zurückzukehren, wiederholen Sie diese Schritte in jeder weiteren Region.
**Anmerkung**
Wenn Sie Security Hub CSPM deaktivieren, werden Ihre benutzerdefinierten Steuerungsparameter zurückgesetzt. Wenn Sie Security Hub CSPM in future erneut aktivieren, verwenden alle Steuerelemente beim Start Standardparameterwerte.
------
#### [ Security Hub CSPM console ]
**Um zu den Standardwerten der Steuerparameter in einem Konto und einer Region (Konsole) zurückzukehren**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Controls aus.** Wählen Sie das Steuerelement aus, für das Sie die Standardparameterwerte wiederherstellen möchten.
1. **Wählen Sie auf der `Parameters` Registerkarte neben einem Steuerparameter die Option Benutzerdefiniert aus.** Wählen Sie dann **Anpassung entfernen** aus. Dieser Parameter verwendet jetzt den standardmäßigen Security Hub CSPM-Wert und verfolgt future Updates auf den Standardwert.
1. Wiederholen Sie den vorherigen Schritt für jeden Parameterwert, den Sie wiederherstellen möchten.
------
#### [ Security Hub CSPM API ]
**Um zu den Standardwerten der Steuerparameter in einem Konto und einer Region (API) zurückzukehren**
1. Rufen Sie die API auf [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).
1. Geben Sie für `SecurityControlId` den ARN oder die ID des Steuerelements an, dessen Parameter Sie rückgängig machen möchten.
1. Geben Sie im `Parameters` Objekt für jeden Parameter, den Sie rückgängig machen möchten, das `ValueType` Feld `DEFAULT` an. Wenn auf gesetzt `ValueType` ist`DEFAULT`, müssen Sie keinen Wert für das `Value` Feld angeben. Wenn in Ihrer Anfrage ein Wert enthalten ist, ignoriert Security Hub CSPM ihn.
1. Geben Sie optional einen Grund für `LastUpdateReason` die Rückkehr zu den Standardparameterwerten an.
Mit dem folgenden AWS CLI Befehl wird beispielsweise der `daysToExpiration` Steuerparameter für `ACM.1` auf seinen Standardwert zurückgesetzt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```
------
# Überprüfung des Status von Änderungen der Steuerparameter
Wenn Sie versuchen, einen Steuerparameter anzupassen oder den Standardwert wiederherzustellen, können Sie überprüfen, ob die gewünschten Änderungen wirksam waren. Dadurch wird sichergestellt, dass ein Steuerelement erwartungsgemäß funktioniert und den gewünschten Sicherheitswert bietet. Wenn ein Parameter-Update nicht erfolgreich ist, behält Security Hub CSPM den aktuellen Wert für den Parameter bei.
Um zu überprüfen, ob ein Parameter-Update erfolgreich war, können Sie die Details der Steuerung auf der Security Hub CSPM-Konsole überprüfen. Wählen Sie auf der Konsole im Navigationsbereich **Controls** aus. Wählen Sie dann ein Steuerelement aus, um dessen Details anzuzeigen. Auf der Registerkarte **Parameter** wird der Status der Parameteränderung angezeigt.
Wenn Ihre Anfrage zur Aktualisierung eines Parameters gültig ist, ist der Wert des `UpdateStatus` Felds programmgesteuert eine Antwort auf den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)Vorgang. `UPDATING` Das bedeutet, dass die Aktualisierung gültig war, aber möglicherweise noch nicht alle Ergebnisse die aktualisierten Parameterwerte enthalten. Wenn sich der Wert von `UpdateState` ändert`READY`, verwendet Security Hub CSPM die aktualisierten Steuerparameterwerte bei der Ausführung von Sicherheitsprüfungen des Steuerelements. Zu den Ergebnissen gehören die aktualisierten Parameterwerte.
Die `UpdateSecurityControl` Operation gibt eine `InvalidInputException` Antwort für ungültige Parameterwerte zurück. Die Antwort enthält zusätzliche Details zur Ursache des Fehlers. Möglicherweise haben Sie einen Wert angegeben, der außerhalb des gültigen Bereichs für einen Parameter liegt. Oder Sie haben möglicherweise einen Wert angegeben, der nicht den richtigen Datentyp verwendet. Senden Sie Ihre Anfrage erneut mit einer gültigen Eingabe.
Wenn beim Versuch, einen Parameterwert zu aktualisieren, ein interner Fehler auftritt, versucht Security Hub CSPM es automatisch erneut, sofern Sie es aktiviert haben. AWS Config Weitere Informationen finden Sie unter [Überlegungen vor der Aktivierung und Konfiguration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).