Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Von Diensten verwaltete Standards in Security Hub CSPM
<a name="service-managed-standards"></a>

Ein vom Service verwalteter Standard ist ein Sicherheitsstandard, der von einem anderen AWS-Service verwaltet wird, den Sie jedoch in Security Hub CSPM einsehen können. Zum Beispiel ist [Service-Managed Standard: ein vom Service verwalteter Standard](service-managed-standard-aws-control-tower.md), der verwaltet AWS Control Tower wird. AWS Control Tower Ein Service-Managed-Standard unterscheidet sich auf folgende Weise von einem AWS Sicherheitsstandard, den Security Hub CSPM verwaltet:
+ **Erstellung und Löschung von Standards** — Sie erstellen und löschen einen vom Service verwalteten Standard mit der Konsole oder API des verwaltenden Dienstes oder mit dem. AWS CLI Solange Sie den Standard nicht auf eine dieser Arten im Verwaltungsdienst erstellt haben, wird der Standard nicht in der Security Hub CSPM-Konsole angezeigt und ist nicht über die Security Hub CSPM-API zugänglich oder. AWS CLI
+ **Keine automatische Aktivierung von Kontrollen** — Wenn Sie einen vom Service verwalteten Standard erstellen, aktivieren Security Hub CSPM und der Verwaltungsdienst nicht automatisch die Kontrollen, die für den Standard gelten. Wenn Security Hub CSPM neue Kontrollen für den Standard veröffentlicht, werden diese außerdem nicht automatisch aktiviert. Dies ist eine Abkehr von den Standards, die Security Hub CSPM verwaltet. Weitere Informationen zur üblichen Konfiguration von Steuerelementen in Security Hub CSPM finden Sie unter. [Grundlegendes zu den Sicherheitskontrollen in Security Hub CSPM](controls-view-manage.md)
+ Steuerungen **aktivieren und deaktivieren — Wir empfehlen, die Steuerungen** im Verwaltungsdienst zu aktivieren und zu deaktivieren, um Abweichungen zu vermeiden.
+ **Verfügbarkeit von Kontrollen** — Der Verwaltungsdienst entscheidet, welche Kontrollen im Rahmen des vom Service verwalteten Standards verfügbar sind. Die verfügbaren Kontrollen können alle oder einen Teil der vorhandenen Security Hub CSPM-Steuerelemente umfassen.

Nachdem der Verwaltungsdienst den vom Service verwalteten Standard erstellt und Kontrollen dafür verfügbar gemacht hat, können Sie in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder auf Ihre Kontrollergebnisse, Kontrollstatus und Standardsicherheitsbewertung zugreifen. AWS CLI Einige oder alle dieser Informationen sind möglicherweise auch im Verwaltungsdienst verfügbar.

Wählen Sie einen vom Service verwalteten Standard aus der folgenden Liste aus, um weitere Informationen zu diesem Standard zu erhalten.

**Topics**
+ [Vom Service verwalteter Standard: AWS Control Tower](service-managed-standard-aws-control-tower.md)

# Vom Service verwalteter Standard: AWS Control Tower
<a name="service-managed-standard-aws-control-tower"></a>

Dieser Abschnitt enthält Informationen zum Service-Managed Standard:. AWS Control Tower

## Was ist Service-Managed Standard:? AWS Control Tower
<a name="aws-control-tower-standard-summary"></a>

Service-Managed Standard: AWS Control Tower ist ein vom Service verwalteter Standard, der eine Teilmenge der Security Hub-Steuerelemente AWS Control Tower verwaltet und unterstützt. Dieser Standard richtet sich an Benutzer von AWS Security Hub CSPM und. AWS Control Tower Damit können Sie die Detective Controls von Security Hub CSPM vom AWS Control Tower Service aus konfigurieren.

Detective Controls erkennt die Nichtkonformität von Ressourcen (z. B. Fehlkonfigurationen) in Ihrem. AWS-Konten

**Tipp**  
Von Services verwaltete Standards unterscheiden sich von den Standards, die AWS Security Hub CSPM verwaltet. Beispielsweise müssen Sie im Verwaltungsdienst einen vom Dienst verwalteten Standard erstellen und löschen. Weitere Informationen finden Sie unter [Von Diensten verwaltete Standards in Security Hub CSPM](service-managed-standards.md).

Wenn Sie eine Security Hub-CSPM-Steuerung aktivieren AWS Control Tower, aktiviert Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen, sofern dies nicht bereits aktiviert ist. In der Security Hub CSPM-Konsole und API können Sie Service-Managed Standard: AWS Control Tower neben anderen Security Hub CSPM-Standards anzeigen, sobald der Standard aktiviert ist. AWS Control Tower

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.

## Den Standard erstellen
<a name="aws-control-tower-standard-creation"></a>

Dieser Standard ist in Security Hub CSPM nur verfügbar, wenn Sie Security Hub CSPM-Steuerungen von aktivieren. AWS Control Tower AWS Control Tower erstellt den Standard, wenn Sie ein entsprechendes Steuerelement zum ersten Mal mithilfe einer der folgenden Methoden aktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)Befehl aus)

Wenn Sie eine Security Hub CSPM-Steuerung aktivieren, aktiviert Security Hub CSPM AWS Control Tower, sofern Sie Security Hub CSPM noch nicht aktiviert haben, AWS Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen.

Um ein Security Hub-CSPM-Steuerelement anhand der Kontroll-ID im Kontrollkatalog zu identifizieren, können Sie das Feld `Implementation.Identifier` in verwenden. AWS Control Tower Dieses Feld ist der Security Hub CSPM-Steuer-ID zugeordnet und kann verwendet werden, um nach einer bestimmten Kontroll-ID zu filtern. Um Kontrollmetadaten für ein bestimmtes Security Hub CSPM-Steuerelement (z. B. "CodeBuild.1") in abzurufen AWS Control Tower, können Sie die API verwenden: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)

`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'` 

Sie können diesen Standard nicht in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder AWS CLI ohne vorherige Einrichtung AWS Control Tower und Aktivierung der Security Hub CSPM-Steuerelemente AWS Control Tower mit einer der oben genannten Methoden anzeigen oder darauf zugreifen.

[Dieser Standard ist nur dort verfügbar, wo er verfügbar ist.AWS-RegionenAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)

## Steuerungen im Standard aktivieren und deaktivieren
<a name="aws-control-tower-standard-managing-controls"></a>

Nachdem Sie Security Hub CSPM Controls aktiviert haben AWS Control Tower und der Service-Managed Standard: AWS Control Tower Standard erstellt wurde, können Sie den Standard und die verfügbaren Kontrollen in Security Hub CSPM einsehen.

Wenn Security Hub CSPM dem Service-Managed Standard: AWS Control Tower Standard neue Steuerelemente hinzufügt, werden diese nicht automatisch für Kunden aktiviert, die den Standard aktiviert haben. Sie sollten die Steuerungen für den Standard AWS Control Tower von mit einer der folgenden Methoden aktivieren und deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufe das [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)und auf [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (führe die [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehle [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)und aus)

Wenn Sie den Aktivierungsstatus eines Steuerelements in ändern AWS Control Tower, spiegelt sich die Änderung auch in Security Hub CSPM wider.

Die Deaktivierung eines Steuerelements in Security Hub CSPM, das aktiviert ist, AWS Control Tower führt jedoch zu Kontrollabweichungen. Der Kontrollstatus in AWS Control Tower wird als angezeigt. `Drifted` Sie können diese Abweichung beheben, indem Sie mithilfe der [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API die Steuerung zurücksetzen, für die Drift gilt, oder indem [Sie in der AWS Control Tower Konsole die Option Organisationseinheit erneut registrieren](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) auswählen oder indem Sie die Steuerung deaktivieren und erneut aktivieren, indem Sie eine der AWS Control Tower oben genannten Methoden verwenden.

Wenn Sie die Aktivierungs- und Deaktivierungsaktionen in abschließen, können Sie Kontrollabweichungen vermeiden. AWS Control Tower 

Wenn Sie Kontrollen in aktivieren oder deaktivieren, gilt die Aktion für alle Konten und Regionen AWS Control Tower, die von verwaltet werden. AWS Control Tower Wenn Sie Kontrollen in Security Hub CSPM aktivieren und deaktivieren (für diesen Standard nicht empfohlen), gilt die Aktion nur für das aktuelle Konto und die Region.

**Anmerkung**  
[Die zentrale Konfiguration](central-configuration-intro.md) kann nicht zur Verwaltung von Service-Managed Standard: verwendet werden. AWS Control Tower Sie können *nur* den AWS Control Tower Dienst verwenden, um die Steuerungen in diesem Standard zu aktivieren und zu deaktivieren.

## Aktivierungsstatus und Kontrollstatus anzeigen
<a name="aws-control-tower-standard-control-status"></a>

Sie können den Aktivierungsstatus einer Kontrolle mit einer der folgenden Methoden anzeigen:
+ Security Hub CSPM-Konsole, Security Hub CSPM-API oder AWS CLI
+ AWS Control Tower Konsole
+ AWS Control Tower API, um eine Liste der aktivierten Steuerelemente zu sehen (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API auf)
+ AWS CLI um eine Liste der aktivierten Steuerelemente zu sehen (führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)Befehl aus)

Ein Steuerelement, das Sie deaktivieren, AWS Control Tower hat den Aktivierungsstatus `Disabled` in Security Hub CSPM, sofern Sie dieses Steuerelement nicht explizit in Security Hub CSPM aktivieren.

Security Hub CSPM berechnet den Kontrollstatus auf der Grundlage des Workflow-Status und des Compliance-Status der Kontrollergebnisse. Weitere Informationen zum Aktivierungsstatus und zum Kontrollstatus finden Sie unter. [Überprüfung der Details der Kontrollen in Security Hub CSPM](securityhub-standards-control-details.md)

Auf der Grundlage des Kontrollstatus berechnet Security Hub CSPM eine [Sicherheitsbewertung](standards-security-score.md) für Service-Managed Standard:. AWS Control Tower Diese Bewertung ist nur in Security Hub CSPM verfügbar. Darüber hinaus können Sie [Kontrollergebnisse](controls-findings-create-update.md) nur in Security Hub CSPM anzeigen. Die Standard-Sicherheitsbewertung und die Kontrollergebnisse sind in nicht verfügbar. AWS Control Tower

**Anmerkung**  
Wenn Sie Kontrollen für Service-Managed Standard: aktivieren AWS Control Tower, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die eine bestehende AWS Config serviceverknüpfte Regel verwenden. Möglicherweise verfügen Sie bereits über serviceverknüpfte Regeln, wenn Sie andere Standards und Kontrollen in Security Hub CSPM aktiviert haben. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).

## Den Standard löschen
<a name="aws-control-tower-standard-deletion"></a>

Sie können diesen vom Dienst verwalteten Standard löschen, AWS Control Tower indem Sie alle entsprechenden Steuerelemente mit einer der folgenden Methoden deaktivieren:
+ AWS Control Tower Konsole
+ AWS Control Tower API (rufen Sie die [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API auf)
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)Befehl aus)

Durch das Deaktivieren aller Steuerelemente wird der Standard in allen verwalteten Konten und verwalteten Regionen in gelöscht. AWS Control Tower Wenn Sie den Standard-in löschen, wird er von der Seite **Standards** der Security Hub CSPM-Konsole AWS Control Tower entfernt, und Sie können nicht mehr mit der Security Hub CSPM-API darauf zugreifen oder. AWS CLI

**Anmerkung**  
 Durch die Deaktivierung aller Steuerelemente aus dem Standard in Security Hub CSPM wird der Standard nicht deaktiviert oder gelöscht. 

Durch die Deaktivierung des Security Hub CSPM-Dienstes werden Service-Managed Standard: AWS Control Tower und alle anderen Standards, die Sie aktiviert haben, entfernt.

## Das Feldformat für Service-Managed Standard finden: AWS Control Tower
<a name="aws-control-tower-standard-finding-fields"></a>

Wenn Sie Service-Managed Standard: erstellen AWS Control Tower und Kontrollen dafür aktivieren, erhalten Sie ab sofort Kontrollergebnisse in Security Hub CSPM. Security Hub CSPM meldet Kontrollergebnisse in der. [AWS Format für Sicherheitssuche (ASFF)](securityhub-findings-format.md) Dies sind die ASFF-Werte für den Amazon Resource Name (ARN) dieses Standards und`GeneratorId`:
+ **Standard-ARN** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`

Ein Beispiel für einen Befund für Service-Managed Standard: finden Sie AWS Control Tower unter[Stichproben von Kontrollbefunden](sample-control-findings.md).

## Kontrollen, die für Service-Managed Standard gelten: AWS Control Tower
<a name="aws-control-tower-standard-controls"></a>

Service-Managed Standard: AWS Control Tower unterstützt eine Teilmenge von Kontrollen, die Teil des FSBP-Standards ( AWS Foundational Security Best Practices) sind. Wählen Sie ein Steuerelement aus, um Informationen darüber anzuzeigen, einschließlich Schritte zur Behebung fehlgeschlagener Ergebnisse.

Um zu sehen, von welchen Security Hub CSPM-Steuerelementen unterstützt werden AWS Control Tower, können Sie eine der folgenden Methoden verwenden:
+ AWS Steuern Sie die Catalog-Konsole, nach der Sie filtern können `“Control owner = AWS Security Hub”`
+ AWS Steuern Sie die Katalog-API (rufen Sie die [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API auf) mit dem Filter für`Implementations`, nach dem gesucht werden `Types` soll `AWS::SecurityHub::SecurityControl`
+ AWS CLI (führe den [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)Befehl aus) mit Filter für`Implementations`. Beispiel für einen CLI-Befehl:

  `aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`

Regionale Grenzwerte für Security Hub CSPM-Steuerungen, wenn sie über den Control Tower Tower-Standard aktiviert sind, stimmen möglicherweise nicht mit den regionalen Grenzwerten für die zugrunde liegenden Kontrollen überein.

Wenn in Security Hub CSPM [konsolidierte Kontrollergebnisse](controls-findings-create-update.md#consolidated-control-findings) in Ihrem Konto deaktiviert sind, verwendet das `ProductFields.ControlId` Feld in den generierten Ergebnissen die standardbasierte Kontroll-ID. **Die standardbasierte Kontroll-ID ist als CT formatiert. ***ControlId***(zum Beispiel CT. CodeBuild**.1).

Weitere Informationen zu diesem Standard finden Sie unter [Security Hub CSPM-Steuerelemente](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) im *AWS Control Tower Benutzerhandbuch*.