Aktivierung eines Sicherheitsstandards in Security Hub - AWS Security Hub
Einen Standard in mehreren Konten und Regionen aktivierenAktivierung eines Standards in einem einzigen Konto und einer Region

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung eines Sicherheitsstandards in Security Hub

Wenn Sie einen Sicherheitsstandard in aktivieren AWS Security Hub, werden alle Steuerelemente, die für den Standard gelten, darin automatisch aktiviert. Security Hub beginnt auch mit der Durchführung von Sicherheitsprüfungen und der Generierung von Ergebnissen für Kontrollen, die für den Standard gelten.

Bevor Sie Sicherheitsstandards aktivieren, sollten Sie die Ressourcenaufzeichnung AWS Config für alle Ressourcen aktivieren, die von den für den Standard geltenden Kontrollen verwendet werden. Andernfalls ist Security Hub möglicherweise nicht in der Lage, Ergebnisse für die Kontrollen zu generieren, die für einen Standard gelten. Weitere Informationen finden Sie unter Konfigurieren AWS Config für Security Hub.

Sie können in jedem Standard wählen, welche Steuerelemente aktiviert und deaktiviert werden sollen. Wenn Sie ein Steuerelement deaktivieren, werden keine Ergebnisse für das Steuerelement generiert, und das Steuerelement wird bei der Berechnung der Sicherheitsbewertungen ignoriert.

Wenn Sie Security Hub aktivieren, berechnet Security Hub innerhalb von 30 Minuten nach Ihrem ersten Besuch der Übersichtsseite oder der Seite Sicherheitsstandards in der Security Hub-Konsole die anfängliche Sicherheitsbewertung für einen Standard. In den Regionen China und kann es bis zu 24 Stunden dauern, bis zum ersten Mal Sicherheitsbewertungen generiert werden. AWS GovCloud (US) Region Bewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten besuchen. Darüber hinaus muss die AWS Config Ressourcenaufzeichnung konfiguriert sein, damit Ergebnisse angezeigt werden. Nach der erstmaligen Generierung des Scores aktualisiert Security Hub den Sicherheits-Score alle 24 Stunden. Security Hub zeigt einen Zeitstempel an, der angibt, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde. Um eine Liste der Standards einzusehen, die derzeit in Ihrem Konto aktiviert sind, rufen Sie den GetEnabledStandards API.

Die Anweisungen zur Aktivierung eines Standards hängen davon ab, ob Sie die zentrale Konfiguration verwenden oder nicht. Sie können die zentrale Konfiguration verwenden, wenn Sie Security Hub und integrieren AWS Organizations. Wir empfehlen die zentrale Konfiguration, wenn Sie Standards in Umgebungen mit mehreren Konten und mehreren Regionen aktivieren möchten. Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie jeden Standard in jedem Konto und jeder Region einzeln aktivieren.

Einen Standard in mehreren Konten und Regionen aktivieren

Um einen Sicherheitsstandard für mehrere Konten und zu aktivieren AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards aktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass in einer Organisationseinheit nur die Best Practices für AWS grundlegende Sicherheit (FSBP) aktiviert werden, und Sie können festlegen, dass Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 in einer anderen Organisationseinheit aktiviert FSBP wird. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standards aktiviert, finden Sie unter Konfigurationsrichtlinien erstellen und zuordnen

Wenn Sie die zentrale Konfiguration verwenden, aktiviert Security Hub nicht automatisch Standards in neuen oder bestehenden Konten. Stattdessen definiert der delegierte Administrator bei der Erstellung einer Konfigurationsrichtlinie, welche Standards für verschiedene Konten aktiviert werden sollen. Security Hub bietet eine empfohlene Konfigurationsrichtlinie, in der nur aktiviert FSBP ist. Weitere Informationen finden Sie unter Arten von Konfigurationsrichtlinien.

Anmerkung

Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um jeden Standard außer Service-Managed Standard zu aktivieren:. AWS Control Tower Sie können diesen Standard nur im Service aktivieren. AWS Control Tower Wenn Sie die zentrale Konfiguration verwenden, können Sie die Steuerungen in diesem Standard nur für ein zentral verwaltetes Konto in aktivieren und deaktivieren AWS Control Tower.

Wenn Sie möchten, dass einige Konten ihre eigenen Standards konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Standards in jeder Region separat konfigurieren.

Aktivierung eines Standards in einem einzigen Konto und einer Region

Wenn Sie keine zentrale Konfiguration verwenden oder wenn Sie ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Standards in mehreren Konten und Regionen zentral zu aktivieren. Sie können jedoch die folgenden Schritte verwenden, um einen Standard in einem einzigen Konto und einer Region zu aktivieren.

Security Hub console
Um einen Standard in einem Konto und einer Region zu aktivieren

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Vergewissern Sie sich, dass Sie Security Hub in der Region verwenden, in der Sie den Standard aktivieren möchten.

  3. Wählen Sie im Security Hub-Navigationsbereich die Option Sicherheitsstandards aus.

  4. Wählen Sie für den Standard, den Sie aktivieren möchten, Enable (Aktivieren) aus. Dadurch werden auch alle Kontrollen innerhalb dieses Standards aktiviert.

  5. Wiederholen Sie dies in jeder Region, in der Sie den Standard aktivieren möchten.

Security Hub API
Um einen Standard in einem Konto und einer Region zu aktivieren

  1. Rufen Sie das auf BatchEnableStandards API.

  2. Geben Sie den Amazon-Ressourcennamen (ARN) des Standards an, den Sie aktivieren möchten. Um den Standard zu erhaltenARN, rufen Sie den DescribeStandards API.

  3. Wiederholen Sie dies in jeder Region, in der Sie den Standard aktivieren möchten.

AWS CLI
Um einen Standard in einem Konto und einer Region zu aktivieren

  1. Ausführen des sbatch-enable-standardsBefehl.

  2. Geben Sie den Amazon-Ressourcennamen (ARN) des Standards an, den Sie aktivieren möchten. Um den Standard zu erhaltenARN, führen Sie den describe-standardsBefehl.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Beispiel

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. Wiederholen Sie den Vorgang in jeder Region, in der Sie den Standard aktivieren möchten.