Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Standardübergreifende Konfiguration von Steuerungen
AWS Security Hub generiert Ergebnisse für aktivierte Kontrollen und berücksichtigt bei der Berechnung der Sicherheitsbewertungen alle aktivierten Kontrollen. Sie können die Kontrollen für alle Sicherheitsstandards aktivieren und deaktivieren oder den Aktivierungsstatus in verschiedenen Standards unterschiedlich konfigurieren. Wir empfehlen die erstere Option, bei der der Aktivierungsstatus einer Steuerung auf alle aktivierten Standards abgestimmt ist. In diesem Abschnitt wird erklärt, wie Sie Kontrollen standardübergreifend aktivieren und deaktivieren. Informationen zum Aktivieren oder Deaktivieren eines Steuerelements in einem oder mehreren bestimmten Standards finden Sie unterKonfiguration von Steuerungen in bestimmten Standards.
Wenn Sie eine Aggregationsregion festgelegt haben, zeigt die Security Hub Hub-Konsole Steuerelemente aus allen verknüpften Regionen an. Wenn ein Steuerelement in einer verknüpften Region verfügbar ist, aber nicht in der Aggregationsregion, können Sie dieses Steuerelement nicht in der Aggregationsregion aktivieren oder deaktivieren.
Anmerkung
Die Anweisungen zum Aktivieren und Deaktivieren von Steuerelementen hängen davon ab, ob Sie die zentrale Konfiguration verwenden oder nicht. In diesem Abschnitt werden die Unterschiede beschrieben. Die zentrale Konfiguration steht Benutzern zur Verfügung, die Security Hub integrieren und AWS Organizations. Wir empfehlen, die zentrale Konfiguration zu verwenden, um das Aktivieren und Deaktivieren von Steuerungen in Umgebungen mit mehreren Konten und mehreren Regionen zu vereinfachen.
Steuerungen aktivieren
Wenn Sie ein Steuerelement in einem Standard aktivieren, beginnt Security Hub, Sicherheitsprüfungen für das Steuerelement durchzuführen und Kontrollergebnisse zu generieren.
Security Hub bezieht den Kontrollstatus in die Berechnung der Gesamtsicherheitsbewertung und der Standardsicherheitsbewertungen ein. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie ein einziges Ergebnis für eine Sicherheitsüberprüfung, auch wenn Sie eine Kontrolle in mehreren Standards aktiviert haben. Weitere Informationen finden Sie unter Konsolidierte Erkenntnisse zu Kontrollen.
Aktivierung einer Kontrolle in allen Standards über mehrere Konten und Regionen hinweg
Um eine Sicherheitskontrolle für mehrere Konten zu ermöglichen und AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.
Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards ermöglichen. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten und Organisationseinheiten (OUs) oder dem Stamm zuordnen. Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.
Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können beispielsweise festlegen, dass alle Steuerelemente in einer Organisationseinheit aktiviert werden, und Sie können festlegen, dass nur Amazon Elastic Compute Cloud (EC2) -Steuerelemente in einer anderen Organisationseinheit aktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für die Sicherheitsabdeckung in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Standardkontrollen ermöglicht, finden Sie unterKonfigurationsrichtlinien erstellen und zuordnen.
Anmerkung
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem Service-Managed Standard zu verwalten: AWS Control Tower. Die Steuerungen für diesen Standard sollten in der konfiguriert werden AWS Control Tower Dienst.
Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Kontrollen in jeder Region separat konfigurieren.
Aktivierung einer Steuerung nach allen Standards in einem einzigen Konto und in einer einzigen Region
Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu aktivieren. Sie können jedoch die folgenden Schritte verwenden, um eine Steuerung für ein einzelnes Konto und eine Region zu aktivieren.
Automatisches Aktivieren neuer Steuerelemente in aktivierten Standards
Security Hub veröffentlicht regelmäßig neue Sicherheitskontrollen und fügt sie zu einem oder mehreren Standards hinzu. Sie können wählen, ob neue Kontrollen in Ihren aktivierten Standards automatisch aktiviert werden sollen.
Anmerkung
Wir empfehlen, die zentrale Konfiguration zu verwenden, um neue Steuerungen automatisch zu aktivieren. Wenn Ihre Konfigurationsrichtlinie eine Liste von Steuerelementen enthält, die deaktiviert werden sollen (programmatisch, entspricht dies dem DisabledSecurityControlIdentifiers
Parameter), aktiviert Security Hub automatisch alle anderen Kontrollen standardübergreifend, einschließlich neu veröffentlichter Steuerelemente. Wenn Ihre Richtlinie eine Liste der zu aktivierenden Kontrollen enthält (dies entspricht dem EnabledSecurityControlIdentifiers
Parameter), deaktiviert Security Hub automatisch alle anderen Kontrollen standardübergreifend, auch die neu veröffentlichten. Weitere Informationen finden Sie unter So funktionieren Konfigurationsrichtlinien in Security Hub.
Wählen Sie Ihre bevorzugte Zugriffsmethode und folgen Sie den Schritten, um neue Kontrollen in aktivierten Standards automatisch zu aktivieren. Die folgenden Anweisungen gelten nur, wenn Sie die zentrale Konfiguration nicht verwenden.
Steuerelemente deaktivieren
Wenn Sie ein Steuerelement in allen Standards deaktivieren, passiert Folgendes:
-
Sicherheitsüberprüfungen für das Steuerelement werden nicht mehr durchgeführt.
-
Für dieses Steuerelement werden keine zusätzlichen Funde generiert.
-
Bestehende Ergebnisse werden automatisch nach 3—5 Tagen archiviert (beachten Sie, dass dies der beste Weg ist).
-
Irgendwelche verwandten AWS Config Regeln, die Security Hub erstellt hat, werden entfernt.
Anstatt ein Steuerelement in allen Standards zu deaktivieren, können Sie es einfach in einem oder mehreren spezifischen Standards deaktivieren. Wenn Sie dies tun, führt Security Hub keine Sicherheitsprüfungen für das Steuerelement für die Standards durch, in denen Sie es deaktiviert haben, sodass sich dies nicht auf die Sicherheitsbewertung für diese Standards auswirkt. Security Hub behält jedoch die AWS Config Regel und setzt die Durchführung von Sicherheitsprüfungen für das Steuerelement fort, falls es in anderen Standards aktiviert ist. Dies kann sich auf Ihre Sicherheitsbewertung in der Zusammenfassung auswirken. Anweisungen zur Konfiguration von Steuerungen in bestimmten Standards finden Sie unterKonfiguration von Steuerungen in bestimmten Standards.
Um das Suchgeräusch zu reduzieren, kann es nützlich sein, Steuerungen zu deaktivieren, die für Ihre Umgebung nicht relevant sind. Empfehlungen dazu, welche Steuerelemente Sie deaktivieren sollten, finden Sie unter Security Hub-Steuerelemente, die Sie möglicherweise deaktivieren möchten.
Wenn Sie einen Standard deaktivieren, werden alle Steuerelemente, die für den Standard gelten, deaktiviert (diese Steuerelemente können jedoch in anderen Standards aktiviert bleiben). Informationen zum Deaktivieren eines Standards finden Sie unterKonfiguration von Standards in Security Hub.
Wenn Sie einen Standard deaktivieren, verfolgt Security Hub nicht, welche der entsprechenden Kontrollen deaktiviert wurden. Wenn Sie denselben Standard anschließend wieder aktivieren, werden alle für ihn geltenden Kontrollen automatisch aktiviert. Darüber hinaus ist das Deaktivieren eines Steuerelements keine permanente Aktion. Angenommen, Sie deaktivieren ein Steuerelement und aktivieren dann einen Standard, der zuvor deaktiviert war. Wenn der Standard dieses Steuerelement enthält, wird es in diesem Standard aktiviert. Wenn Sie einen Standard in Security Hub aktivieren, werden alle Kontrollen, die für diesen Standard gelten, automatisch aktiviert. Sie können wählen, ob Sie bestimmte Steuerelemente deaktivieren möchten.
Deaktivierung eines Steuerelements in allen Standards für mehrere Konten und Regionen
Um eine Sicherheitskontrolle für mehrere Konten zu deaktivieren und AWS-Regionen, müssen Sie die zentrale Konfiguration verwenden.
Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator Security Hub Hub-Konfigurationsrichtlinien erstellen, die bestimmte Kontrollen für alle aktivierten Standards deaktivieren. Anschließend können Sie die Konfigurationsrichtlinie bestimmten Konten oder dem Stammkonto zuordnen. OUs Eine Konfigurationsrichtlinie wird in Ihrer Heimatregion (auch Aggregationsregion genannt) und allen verknüpften Regionen wirksam.
Konfigurationsrichtlinien bieten Anpassungsmöglichkeiten. Sie können sich beispielsweise dafür entscheiden, alle zu deaktivieren AWS CloudTrail Steuerungen in einer Organisationseinheit, und Sie können festlegen, dass alle IAM Steuerungen in einer anderen Organisationseinheit deaktiviert werden. Der Grad der Granularität hängt von Ihren beabsichtigten Zielen für den Sicherheitsschutz in Ihrem Unternehmen ab. Anweisungen zum Erstellen einer Konfigurationsrichtlinie, die bestimmte Kontrollen standardübergreifend deaktiviert, finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen
Anmerkung
Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Kontrollen in allen Standards außer dem Service-Managed Standard zu verwalten: AWS Control Tower. Die Steuerungen für diesen Standard sollten in der konfiguriert werden AWS Control Tower Dienst.
Wenn Sie möchten, dass einige Konten ihre eigenen Steuerungen konfigurieren und nicht der delegierte Administrator, kann der delegierte Administrator diese Konten als selbstverwaltet kennzeichnen. Selbstverwaltete Konten müssen die Kontrollen in jeder Region separat konfigurieren.
Deaktivierung einer Steuerung in allen Standards in einem einzigen Konto und in einer Region
Wenn Sie keine zentrale Konfiguration verwenden oder ein selbstverwaltetes Konto haben, können Sie keine Konfigurationsrichtlinien verwenden, um Steuerungen in mehreren Konten und Regionen zentral zu deaktivieren. Sie können jedoch die folgenden Schritte verwenden, um eine Steuerung in einem einzelnen Konto und einer Region zu deaktivieren.