Steuerungen aktivieren Steuerelemente deaktivieren

Standardübergreifende Konfiguration von Steuerungen

AWS Security Hub generiert Ergebnisse für aktivierte Kontrollen und berücksichtigt bei der Berechnung der Sicherheitsbewertungen alle aktivierten Kontrollen. Sie können die Kontrollen für alle Sicherheitsstandards aktivieren und deaktivieren oder den Aktivierungsstatus in verschiedenen Standards unterschiedlich konfigurieren. Wir empfehlen die erstere Option, bei der der Aktivierungsstatus einer Steuerung auf alle aktivierten Standards abgestimmt ist. In diesem Abschnitt wird erklärt, wie Sie Kontrollen standardübergreifend aktivieren und deaktivieren. Informationen zum Aktivieren oder Deaktivieren eines Steuerelements in einem oder mehreren bestimmten Standards finden Sie unterKonfiguration von Steuerungen in bestimmten Standards.

Wenn Sie eine Aggregationsregion festgelegt haben, zeigt die Security Hub Hub-Konsole Steuerelemente aus allen verknüpften Regionen an. Wenn ein Steuerelement in einer verknüpften Region verfügbar ist, aber nicht in der Aggregationsregion, können Sie dieses Steuerelement nicht in der Aggregationsregion aktivieren oder deaktivieren.

Anmerkung

Die Anweisungen zum Aktivieren und Deaktivieren von Steuerelementen hängen davon ab, ob Sie die zentrale Konfiguration verwenden oder nicht. In diesem Abschnitt werden die Unterschiede beschrieben. Die zentrale Konfiguration steht Benutzern zur Verfügung, die Security Hub integrieren und AWS Organizations. Wir empfehlen, die zentrale Konfiguration zu verwenden, um das Aktivieren und Deaktivieren von Steuerungen in Umgebungen mit mehreren Konten und mehreren Regionen zu vereinfachen.

Steuerungen aktivieren

Wenn Sie ein Steuerelement in einem Standard aktivieren, beginnt Security Hub, Sicherheitsprüfungen für das Steuerelement durchzuführen und Kontrollergebnisse zu generieren.

Security Hub bezieht den Kontrollstatus in die Berechnung der Gesamtsicherheitsbewertung und der Standardsicherheitsbewertungen ein. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie ein einziges Ergebnis für eine Sicherheitsüberprüfung, auch wenn Sie eine Kontrolle in mehreren Standards aktiviert haben. Weitere Informationen finden Sie unter Konsolidierte Erkenntnisse zu Kontrollen.

Aktivierung einer Kontrolle in allen Standards über mehrere Konten und Regionen hinweg

Um eine Sicherheitskontrolle für mehrere Konten zu ermöglichen und AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards ermöglichen. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass alle Steuerelemente in einer Organisationseinheit aktiviert werden, und Sie können festlegen, dass nur Amazon Elastic Compute Cloud (EC2) -Steuerelemente in einer anderen Organisationseinheit aktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für die Sicherheitsabdeckung in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standardkontrollen ermöglicht, finden Sie unterKonfigurationsrichtlinien erstellen und zuordnen.

Anmerkung

Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem Service-Managed Standard zu verwalten: AWS Control Tower. Die Steuerungen für diesen Standard sollten in der konfiguriert werden AWS Control Tower Dienst.

Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Kontrollen in jeder Region separat konfigurieren.

Aktivierung einer Steuerung nach allen Standards in einem einzigen Konto und in einer einzigen Region

Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu aktivieren. Sie können jedoch die folgenden Schritte verwenden, um eine Steuerung für ein einzelnes Konto und eine Region zu aktivieren.

Security Hub console

Um eine standardübergreifende Steuerung in einem Konto und einer Region zu ermöglichen

Öffnen Sie AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.
Wählen Sie im Navigationsbereich die Option Steuerelemente aus.
Wählen Sie die Registerkarte Deaktiviert.
Wählen Sie die Option neben einem Steuerelement.
Wählen Sie Steuerung aktivieren (diese Option wird nicht für ein Steuerelement angezeigt, das bereits aktiviert ist).
Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement aktivieren möchten.

Security Hub API

Um eine standardübergreifende Steuerung in einem Konto und einer Region zu ermöglichen

Rufen Sie den auf ListStandardsControlAssociationsAPI. Geben Sie eine Sicherheitskontroll-ID an.

Beispiel für eine Anfrage:
```
{
    "SecurityControlId": "IAM.1"
}
```
Rufen Sie die auf BatchUpdateStandardsControlAssociationsAPI. Geben Sie den Amazon-Ressourcennamen (ARN) aller Standards an, in denen die Steuerung nicht aktiviert ist. Um den Standard zu erhaltenARNs, führen Sie den Befehl aus DescribeStandards.

Stellen Sie den AssociationStatus Parameter aufENABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, wird die Antwort mit dem HTTP Statuscode 200 API zurückgegeben.

Beispiel für eine Anfrage:


{
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

Wiederholen Sie dies in jeder Region, in der Sie das Steuerelement aktivieren möchten.

AWS CLI

Um eine standardübergreifende Steuerung in einem Konto und einer Region zu ermöglichen

Ausführen des slist-standards-control-associationsBefehl. Geben Sie eine Sicherheitskontroll-ID ein.


aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

Ausführen des sbatch-update-standards-control-associationsBefehl. Geben Sie den Amazon-Ressourcennamen (ARN) aller Standards an, in denen die Steuerung nicht aktiviert ist. Um den Standard zu erhaltenARNs, führen Sie den describe-standards Befehl aus.

Stellen Sie den AssociationStatus Parameter aufENABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt der Befehl eine Antwort mit dem HTTP Statuscode 200 zurück.


aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement aktivieren möchten.

Automatisches Aktivieren neuer Steuerelemente in aktivierten Standards

Security Hub veröffentlicht regelmäßig neue Sicherheitskontrollen und fügt sie zu einem oder mehreren Standards hinzu. Sie können wählen, ob neue Kontrollen in Ihren aktivierten Standards automatisch aktiviert werden sollen.

Anmerkung

Wir empfehlen, die zentrale Konfiguration zu verwenden, um neue Steuerungen automatisch zu aktivieren. Wenn Ihre Konfigurationsrichtlinie eine Liste von Steuerelementen enthält, die deaktiviert werden sollen (programmatisch, entspricht dies dem DisabledSecurityControlIdentifiers Parameter), aktiviert Security Hub automatisch alle anderen Kontrollen standardübergreifend, einschließlich neu veröffentlichter Steuerelemente. Wenn Ihre Richtlinie eine Liste der zu aktivierenden Kontrollen enthält (dies entspricht dem EnabledSecurityControlIdentifiers Parameter), deaktiviert Security Hub automatisch alle anderen Kontrollen standardübergreifend, auch die neu veröffentlichten. Weitere Informationen finden Sie unter So funktionieren Konfigurationsrichtlinien in Security Hub.

Wählen Sie Ihre bevorzugte Zugriffsmethode und folgen Sie den Schritten, um neue Kontrollen in aktivierten Standards automatisch zu aktivieren. Die folgenden Anweisungen gelten nur, wenn Sie die zentrale Konfiguration nicht verwenden.

Security Hub console

Um neue Steuerelemente automatisch zu aktivieren

Öffnen Sie AWS Security Hub Konsole bei https://console.aws.amazon.com/securityhub/.
Wählen Sie im Navigationsbereich Einstellungen und dann die Registerkarte Allgemein aus.
Wählen Sie unter Steuerelemente die Option Bearbeiten aus.
Aktivieren Sie die Option Neue Steuerelemente in aktivierten Standards automatisch aktivieren.
Wählen Sie Save (Speichern) aus.

Security Hub API

Um neue Steuerelemente automatisch zu aktivieren

Rufen Sie den auf UpdateSecurityHubConfiguration API.
Um neue Steuerelemente für aktivierte Standards automatisch zu aktivieren, setzen Sie AutoEnableControls auftrue. Wenn Sie neue Steuerelemente nicht automatisch aktivieren möchten, legen Sie den Wert AutoEnableControls auf False fest.

AWS CLI

Um neue Steuerelemente automatisch zu aktivieren

Ausführen des supdate-security-hub-configurationBefehl.
Geben Sie an, um automatisch neue Steuerelemente für aktivierte Standards zu aktivieren--auto-enable-controls. Wenn Sie neue Steuerelemente nicht automatisch aktivieren möchten, geben Sie Folgendes an--no-auto-enable-controls.
```
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
```
Beispiel für einen Befehl
```
aws securityhub update-security-hub-configuration --auto-enable-controls
```

Steuerelemente deaktivieren

Wenn Sie ein Steuerelement in allen Standards deaktivieren, passiert Folgendes:

Sicherheitsüberprüfungen für das Steuerelement werden nicht mehr durchgeführt.
Für dieses Steuerelement werden keine zusätzlichen Funde generiert.
Bestehende Ergebnisse werden automatisch nach 3—5 Tagen archiviert (beachten Sie, dass dies der beste Weg ist).
Irgendwelche verwandten AWS Config Regeln, die Security Hub erstellt hat, werden entfernt.

Anstatt ein Steuerelement in allen Standards zu deaktivieren, können Sie es einfach in einem oder mehreren spezifischen Standards deaktivieren. Wenn Sie dies tun, führt Security Hub keine Sicherheitsprüfungen für das Steuerelement für die Standards durch, in denen Sie es deaktiviert haben, sodass sich dies nicht auf die Sicherheitsbewertung für diese Standards auswirkt. Security Hub behält jedoch die AWS Config Regel und setzt die Durchführung von Sicherheitsprüfungen für das Steuerelement fort, falls es in anderen Standards aktiviert ist. Dies kann sich auf Ihre Sicherheitsbewertung in der Zusammenfassung auswirken. Anweisungen zur Konfiguration von Steuerungen in bestimmten Standards finden Sie unterKonfiguration von Steuerungen in bestimmten Standards.

Um das Suchgeräusch zu reduzieren, kann es nützlich sein, Steuerungen zu deaktivieren, die für Ihre Umgebung nicht relevant sind. Empfehlungen dazu, welche Steuerelemente Sie deaktivieren sollten, finden Sie unter Security Hub-Steuerelemente, die Sie möglicherweise deaktivieren möchten.

Wenn Sie einen Standard deaktivieren, werden alle Steuerelemente, die für den Standard gelten, deaktiviert (diese Steuerelemente können jedoch in anderen Standards aktiviert bleiben). Informationen zum Deaktivieren eines Standards finden Sie unterKonfiguration von Standards in Security Hub.

Wenn Sie einen Standard deaktivieren, verfolgt Security Hub nicht, welche der entsprechenden Kontrollen deaktiviert wurden. Wenn Sie denselben Standard anschließend wieder aktivieren, werden alle für ihn geltenden Kontrollen automatisch aktiviert. Darüber hinaus ist das Deaktivieren eines Steuerelements keine permanente Aktion. Angenommen, Sie deaktivieren ein Steuerelement und aktivieren dann einen Standard, der zuvor deaktiviert war. Wenn der Standard dieses Steuerelement enthält, wird es in diesem Standard aktiviert. Wenn Sie einen Standard in Security Hub aktivieren, werden alle Kontrollen, die für diesen Standard gelten, automatisch aktiviert. Sie können wählen, ob Sie bestimmte Steuerelemente deaktivieren möchten.

Deaktivierung eines Steuerelements in allen Standards für mehrere Konten und Regionen

Um eine Sicherheitskontrolle für mehrere Konten zu deaktivieren und AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards deaktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten oder dem Stammkonto zuordnen. OUs Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.

Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können sich beispielsweise dafür entscheiden, alle zu deaktivieren AWS CloudTrail Steuerungen in einer Organisationseinheit, und Sie können festlegen, dass alle IAM Steuerungen in einer anderen Organisationseinheit deaktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für den Sicherheitsschutz in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Kontrollen standardübergreifend deaktiviert, finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen

Anmerkung

Deaktivierung einer Steuerung in allen Standards in einem einzigen Konto und in einer Region

Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch die folgenden Schritte verwenden, um eine Steuerung in einem einzelnen Konto und einer Region zu deaktivieren.

Security Hub console

So deaktivieren Sie ein standardübergreifendes Steuerelement in einem Konto und einer Region

Öffnen Sie AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.
Wählen Sie im Navigationsbereich die Option Steuerelemente aus.
Wählen Sie die Option neben einem Steuerelement aus.
Wählen Sie Steuerung deaktivieren (diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist).
Wählen Sie einen Grund für die Deaktivierung der Steuerung aus und bestätigen Sie, indem Sie „Deaktivieren“ wählen.
Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

Security Hub API

Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren

Rufen Sie den auf ListStandardsControlAssociationsAPI. Geben Sie eine Sicherheitskontroll-ID an.

Beispiel für eine Anfrage:
```
{
    "SecurityControlId": "IAM.1"
}
```
Rufen Sie die auf BatchUpdateStandardsControlAssociationsAPI. Geben Sie ARN die Standards an, für die das Steuerelement aktiviert ist. Führen Sie den Befehl ausARNs, um den Standard abzurufen DescribeStandards.

Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, wird die Antwort mit dem HTTP Statuscode 200 API zurückgegeben.

Beispiel für eine Anfrage:


{
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}

Wiederholen Sie dies in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

AWS CLI

Um ein Steuerelement standardübergreifend in einem Konto und einer Region zu deaktivieren

Ausführen des slist-standards-control-associationsBefehl. Geben Sie eine Sicherheitskontroll-ID ein.


aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

Ausführen des sbatch-update-standards-control-associationsBefehl. Geben Sie ARN die Standards an, für die das Steuerelement aktiviert ist. Führen Sie den describe-standards Befehl ausARNs, um den Standard zu erhalten.

Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt der Befehl die Antwort mit dem HTTP Statuscode 200 zurück.


aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

Wiederholen Sie den Vorgang in jeder Region, in der Sie das Steuerelement deaktivieren möchten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Berechtigungen zum Konfigurieren von Steuerelementen

Konfiguration von Steuerungen in bestimmten Standards