Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einen Sicherheitsstandard aktivieren
<a name="enable-standards"></a>

Wenn Sie einen Sicherheitsstandard in AWS Security Hub CSPM aktivieren, erstellt und aktiviert Security Hub CSPM automatisch alle Kontrollen, die für den Standard gelten. Security Hub CSPM beginnt auch mit der Durchführung von Sicherheitsprüfungen und der Generierung von Ergebnissen für die Kontrollen.

Um die Abdeckung und Genauigkeit der Ergebnisse zu optimieren, aktivieren und konfigurieren Sie die Ressourcenaufzeichnung, AWS Config bevor Sie einen Standard aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten. Weitere Informationen finden Sie unter [Aktivierung und Konfiguration AWS Config für Security Hub CSPM](securityhub-setup-prereqs.md).

Nachdem Sie einen Standard aktiviert haben, können Sie einzelne Kontrollen, die für den Standard gelten, deaktivieren oder später wieder aktivieren. Wenn Sie ein Steuerelement für einen Standard deaktivieren, generiert Security Hub CSPM keine Ergebnisse mehr für das Steuerelement. Darüber hinaus ignoriert Security Hub CSPM das Steuerelement bei der Berechnung der Sicherheitsbewertung für den Standard. Die Sicherheitsbewertung ist der Prozentsatz der Kontrollen, die die Bewertung bestanden haben, im Verhältnis zur Gesamtzahl der Kontrollen, die für den Standard gelten, aktiviert sind und über Bewertungsdaten verfügen.

Wenn Sie einen Standard aktivieren, generiert Security Hub CSPM eine vorläufige Sicherheitsbewertung für den Standard, in der Regel innerhalb von 30 Minuten nach Ihrem ersten Besuch der Seite **Zusammenfassung** oder **Sicherheitsstandards auf der Security** Hub CSPM-Konsole. Sicherheitsbewertungen werden nur für Standards generiert, die aktiviert sind, wenn Sie diese Seiten auf der Konsole aufrufen. Darüber hinaus muss die Ressourcenaufzeichnung konfiguriert sein, damit AWS Config die Punktzahlen angezeigt werden. In den China Regionen und kann es bis zu 24 Stunden dauern AWS GovCloud (US) Regions, bis Security Hub CSPM eine vorläufige Sicherheitsbewertung für einen Standard generiert. Nachdem Security Hub CSPM eine vorläufige Bewertung generiert hat, wird die Bewertung alle 24 Stunden aktualisiert. Um festzustellen, wann eine Sicherheitsbewertung zuletzt aktualisiert wurde, können Sie sich auf einen Zeitstempel beziehen, den Security Hub CSPM für die Bewertung bereitstellt. Weitere Informationen finden Sie unter [Berechnung von Sicherheitswerten](standards-security-score.md).

Wie Sie einen Standard aktivieren, hängt davon ab, ob Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, um Security Hub CSPM für mehrere Konten zu verwalten und. AWS-Regionen Wir empfehlen die zentrale Konfiguration, wenn Sie Standards in Umgebungen mit mehreren Konten und mehreren Regionen aktivieren möchten. Sie können die zentrale Konfiguration verwenden, wenn Sie Security Hub CSPM mit integrieren. AWS Organizations Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie jeden Standard separat in jedem Konto und jeder Region aktivieren.

**Topics**
+ [Aktivierung eines Standards in mehreren Konten und AWS-Regionen](#enable-standards-central-configuration)
+ [Aktivierung eines Standards in einem einzigen Konto und AWS-Region](#securityhub-standard-enable-console)
+ [Den Status eines Standards überprüfen](#standard-subscription-status)

## Aktivierung eines Standards in mehreren Konten und AWS-Regionen
<a name="enable-standards-central-configuration"></a>

Verwenden Sie die [zentrale Konfiguration, um einen Sicherheitsstandard für mehrere Konten zu aktivieren und AWS-Regionen zu konfigurieren](central-configuration-intro.md). Bei der zentralen Konfiguration kann der delegierte Security Hub CSPM-Administrator Security Hub CSPM-Konfigurationsrichtlinien erstellen, die einen oder mehrere Standards aktivieren. Der Administrator kann dann einzelnen Konten, Organisationseinheiten (OUs) oder dem Stammkonto eine Konfigurationsrichtlinie zuordnen. Eine Konfigurationsrichtlinie wirkt sich auf die Heimatregion, die auch als *Aggregationsregion* bezeichnet wird, und auf alle verknüpften Regionen aus.

Konfigurationsrichtlinien bieten Anpassungsoptionen. Sie können sich beispielsweise dafür entscheiden, nur den FSBP-Standard ( AWS Foundational Security Best Practices) für eine Organisationseinheit zu aktivieren. Für eine andere Organisationseinheit könnten Sie sich dafür entscheiden, sowohl den FSBP-Standard als auch den Benchmark v1.4.0-Standard der Center for Internet Security (CIS) AWS Foundations zu aktivieren. Informationen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte von Ihnen angegebene Standards aktiviert, finden Sie unter. [Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md)

Wenn Sie die zentrale Konfiguration verwenden, aktiviert Security Hub CSPM nicht automatisch Standards in neuen oder bestehenden Konten. Stattdessen gibt der Security Hub CSPM-Administrator an, welche Standards für verschiedene Konten aktiviert werden sollen, wenn er Security Hub CSPM-Konfigurationsrichtlinien für seine Organisation erstellt. Security Hub CSPM bietet eine empfohlene Konfigurationsrichtlinie, in der nur der FSBP-Standard aktiviert ist. Weitere Informationen finden Sie unter [Arten von Konfigurationsrichtlinien](configuration-policies-overview.md#policy-types).

**Anmerkung**  
Der Security Hub CSPM-Administrator kann mithilfe von Konfigurationsrichtlinien jeden Standard außer dem vom [AWS Control Tower Service](service-managed-standard-aws-control-tower.md) verwalteten Standard aktivieren. Um diesen Standard zu aktivieren, muss der Administrator ihn direkt verwenden. AWS Control Tower Sie müssen außerdem einzelne Steuerungen in diesem Standard für ein zentral verwaltetes Konto aktivieren oder deaktivieren. AWS Control Tower 

*Wenn Sie möchten, dass einige Konten Standards für ihre eigenen Konten aktivieren und konfigurieren, kann der Security Hub CSPM-Administrator diese Konten als selbstverwaltete Konten kennzeichnen.* Selbstverwaltete Konten müssen Standards in jeder Region separat aktivieren und konfigurieren.

## Aktivierung eines Standards in einem einzigen Konto und AWS-Region
<a name="securityhub-standard-enable-console"></a>

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie keine Konfigurationsrichtlinien verwenden, um Sicherheitsstandards zentral in mehreren Konten zu aktivieren oder AWS-Regionen. Sie können jedoch einen Standard für ein einzelnes Konto und eine Region aktivieren. Sie können dies mithilfe der Security Hub CSPM-Konsole oder der Security Hub CSPM-API tun.

------
#### [ Security Hub CSPM console ]

Gehen Sie wie folgt vor, um mithilfe der Security Hub CSPM-Konsole einen Standard für ein Konto und eine Region zu aktivieren.

**Um einen Standard in einem Konto und einer Region zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie den Standard aktivieren möchten.

1. **Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus.** Auf der Seite **Sicherheitsstandards** sind alle Standards aufgeführt, die Security Hub CSPM derzeit unterstützt. Wenn Sie bereits einen Standard aktiviert haben, enthält der Abschnitt für den Standard die aktuelle Sicherheitsbewertung und zusätzliche Details zum Standard.

1. Wählen Sie im Abschnitt für den Standard, den Sie aktivieren möchten, die Option **Standard aktivieren** aus.

Um den Standard in weiteren Regionen zu aktivieren, wiederholen Sie die vorherigen Schritte in jeder weiteren Region.

------
#### [ Security Hub CSPM API ]

Verwenden Sie den Vorgang, um einen Standard programmgesteuert in einem einzigen Konto und einer Region zu aktivieren. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchEnableStandards.html) Oder, wenn Sie die AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html)Befehl aus.

Verwenden Sie in Ihrer Anfrage den `StandardsArn` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, den Sie aktivieren möchten. Geben Sie auch die Region an, für die Ihre Anfrage gilt. Mit dem folgenden Befehl wird beispielsweise der FSBP-Standard ( AWS Foundational Security Best Practices) aktiviert:

```
$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1
```

Wo *arn:aws:securityhub:*us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0** ist der ARN des FSBP-Standards in der Region USA Ost (Nord-Virginia), und *us-east-1* ist die Region, in der er aktiviert werden soll.

Um den ARN für einen Standard abzurufen, verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang oder, falls Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)Befehl aus.

Um zunächst eine Liste der Standards zu überprüfen, die derzeit in Ihrem Konto aktiviert sind, können Sie den [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)Vorgang verwenden. Wenn Sie den verwenden AWS CLI, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um diese Liste abzurufen.

------

Nachdem Sie einen Standard aktiviert haben, beginnt Security Hub CSPM mit der Ausführung von Aufgaben, um den Standard im Konto und in der angegebenen Region zu aktivieren. Dazu gehört die Erstellung aller Kontrollen, die für den Standard gelten. Um den Status dieser Aufgaben zu überwachen, können Sie den Status des Standards für das Konto und die Region überprüfen.

## Den Status eines Standards überprüfen
<a name="standard-subscription-status"></a>

Wenn Sie einen Sicherheitsstandard für ein Konto aktivieren, beginnt Security Hub CSPM mit der Erstellung aller Kontrollen, die für den Standard im Konto gelten. Security Hub CSPM führt auch zusätzliche Aufgaben aus, um den Standard für das Konto zu aktivieren, z. B. die Generierung einer vorläufigen Sicherheitsbewertung für den Standard. Während Security Hub CSPM diese Aufgaben ausführt, bezieht sich der Status des Standards auf das *Pending*Konto. Der Status des Standards durchläuft dann weitere Status, die Sie überwachen und überprüfen können.

**Anmerkung**  
Änderungen an einzelnen Kontrollen für eine Norm wirken sich nicht auf den Gesamtstatus der Norm aus. Wenn Sie beispielsweise ein Steuerelement aktivieren, das Sie zuvor deaktiviert haben, wirkt sich Ihre Änderung nicht auf den Status des Standards aus. Ebenso wirkt sich Ihre Änderung nicht auf den Status des Standards aus, wenn Sie einen Parameterwert für ein aktiviertes Steuerelement ändern.

Um den Status eines Standards mithilfe der Security Hub CSPM-Konsole zu überprüfen, wählen Sie im Navigationsbereich **Sicherheitsstandards** aus. Auf der Seite **Sicherheitsstandards** sind alle Standards aufgeführt, die Security Hub CSPM derzeit unterstützt. Wenn Security Hub CSPM derzeit Aufgaben zur Aktivierung des Standards ausführt, gibt der Abschnitt für den Standard an, dass Security Hub CSPM immer noch eine Sicherheitsbewertung für den Standard generiert. Wenn ein Standard aktiviert ist, enthält der Abschnitt für den Standard die aktuelle Bewertung. Wählen Sie **Ergebnisse anzeigen**, um zusätzliche Details zu überprüfen, einschließlich des Status einzelner Kontrollen, die für den Standard gelten. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

Verwenden Sie den Vorgang, um den Status eines Standards programmgesteuert mit der Security Hub CSPM-API zu überprüfen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) Verwenden Sie in Ihrer Anfrage optional den `StandardsSubscriptionArns` Parameter, um den Amazon-Ressourcennamen (ARN) des Standards anzugeben, dessen Status Sie überprüfen möchten. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, können Sie den [get-enabled-standards](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-enabled-standards.html)Befehl ausführen, um den Status eines Standards zu überprüfen. Verwenden Sie den `standards-subscription-arns` Parameter, um den ARN des zu prüfenden Standards anzugeben. Um zu ermitteln, welcher ARN angegeben werden soll, können Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html)Vorgang verwenden oder für den den AWS CLI den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards.html)Befehl ausführen.

Wenn Ihre Anfrage erfolgreich ist, antwortet Security Hub CSPM mit einer Reihe von Objekten. `StandardsSubscription` Ein *Standardabonnement* ist eine AWS Ressource, die Security Hub CSPM in einem Konto erstellt, wenn ein Standard für das Konto aktiviert ist. Jedes `StandardsSubscription` Objekt enthält Details zu einem Standard, der derzeit für das Konto aktiviert ist oder gerade aktiviert oder deaktiviert wird. In jedem Objekt gibt das `StandardsStatus` Feld den aktuellen Status des Standards für das Konto an.

Der Status eines Standards (`StandardsStatus`) kann einer der folgenden sein.

**PENDING**  
Security Hub CSPM führt derzeit Aufgaben aus, um den Standard für das Konto zu aktivieren. Dazu gehören die Erstellung der Kontrollen, die für den Standard gelten, und die Erstellung einer vorläufigen Sicherheitsbewertung für den Standard. Es kann mehrere Minuten dauern, bis Security Hub CSPM alle Aufgaben abgeschlossen hat. Ein Standard kann diesen Status auch haben, wenn er bereits für das Konto aktiviert ist und Security Hub CSPM dem Standard derzeit neue Steuerungen hinzufügt.  
Wenn ein Standard diesen Status hat, können Sie möglicherweise nicht die Details einzelner Kontrollen abrufen, die für den Standard gelten. Darüber hinaus sind Sie möglicherweise nicht in der Lage, einzelne Steuerelemente für den Standard zu konfigurieren oder zu deaktivieren. Wenn Sie beispielsweise versuchen, ein Steuerelement mithilfe des [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)Vorgangs zu deaktivieren, tritt ein Fehler auf.  
Anhand des Werts für das `StandardsControlsUpdatable` Feld können Sie feststellen, ob Sie einzelne Steuerelemente für den Standard konfigurieren oder anderweitig verwalten können. Wenn der Wert für dieses Feld lautet`READY_FOR_UPDATES`, können Sie mit der Verwaltung einzelner Steuerelemente für den Standard beginnen. Warten Sie andernfalls, bis Security Hub CSPM zusätzliche Verarbeitungsaufgaben abgeschlossen hat, um den Standard zu aktivieren.

**READY**  
Der Standard ist derzeit für das Konto aktiviert. Security Hub CSPM kann Sicherheitsprüfungen durchführen und Ergebnisse für alle Kontrollen generieren, die für den Standard gelten und derzeit aktiviert sind. Security Hub CSPM kann auch eine Sicherheitsbewertung für den Standard berechnen.  
Wenn ein Standard diesen Status hat, können Sie die Details der einzelnen Kontrollen abrufen, die für den Standard gelten. Darüber hinaus können Sie die Steuerelemente konfigurieren, deaktivieren oder erneut aktivieren. Sie können den Standard auch deaktivieren.

**INCOMPLETE**  
Security Hub CSPM konnte den Standard für das Konto nicht vollständig aktivieren. Security Hub CSPM kann keine Sicherheitsprüfungen durchführen und keine Ergebnisse für alle Kontrollen generieren, die für den Standard gelten und derzeit aktiviert sind. Darüber hinaus kann Security Hub CSPM keine Sicherheitsbewertung für den Standard berechnen.  
Anhand der Informationen im Array können Sie feststellen, warum der Standard nicht vollständig aktiviert wurde. `StandardsStatusReason` Dieses Array spezifiziert Probleme, die Security Hub CSPM daran gehindert haben, den Standard zu aktivieren. Wenn ein interner Fehler aufgetreten ist, versuchen Sie erneut, den Standard für das Konto zu aktivieren. Bei anderen Problemen [überprüfen Sie Ihre AWS Config Einstellungen](securityhub-setup-prereqs.md). Sie können auch [einzelne Steuerelemente deaktivieren](disable-controls-overview.md), die Sie nicht überprüfen möchten, oder den Standard vollständig deaktivieren.

**DELETING**  
Security Hub CSPM bearbeitet derzeit eine Anfrage zur Deaktivierung des Standards für das Konto. Dazu gehören die Deaktivierung der Kontrollen, die für den Standard gelten, und das Entfernen der zugehörigen Sicherheitsbewertung. Es kann mehrere Minuten dauern, bis Security Hub CSPM die Bearbeitung der Anfrage abgeschlossen hat.  
Wenn ein Standard diesen Status hat, können Sie den Standard nicht erneut aktivieren oder erneut versuchen, ihn für das Konto zu deaktivieren. Security Hub CSPM muss zuerst die Bearbeitung der aktuellen Anfrage abschließen. Darüber hinaus können Sie die Details einzelner Kontrollen, die für den Standard gelten, nicht abrufen oder die Kontrollen verwalten.

**FAILED**  
Security Hub CSPM konnte den Standard für das Konto nicht deaktivieren. Ein oder mehrere Fehler traten auf, als Security Hub CSPM versuchte, den Standard zu deaktivieren. Darüber hinaus kann Security Hub CSPM keine Sicherheitsbewertung für den Standard berechnen.  
Anhand der Informationen im Array können Sie feststellen, warum der Standard nicht vollständig deaktiviert wurde. `StandardsStatusReason` Dieses Array spezifiziert Probleme, die Security Hub CSPM daran gehindert haben, den Standard zu deaktivieren.  
Wenn ein Standard diesen Status hat, können Sie die Details einzelner Kontrollen, die für den Standard gelten, nicht abrufen oder die Kontrollen verwalten. Sie können den Standard jedoch für das Konto wieder aktivieren. Wenn Sie die Probleme beheben, die Security Hub CSPM daran gehindert haben, den Standard zu deaktivieren, können Sie auch erneut versuchen, den Standard zu deaktivieren.

Wenn der Status eines Standards lautet`READY`, führt Security Hub CSPM Sicherheitsprüfungen durch und generiert Ergebnisse für alle Kontrollen, die für den Standard gelten und derzeit aktiviert sind. Bei anderen Status führt Security Hub CSPM möglicherweise Prüfungen durch und generiert Ergebnisse für einige, aber nicht alle aktivierten Kontrollen. Es kann bis zu 24 Stunden dauern, bis die Kontrollergebnisse generiert oder aktualisiert werden. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).