Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples d'utilisation de Security Hub AWS CLI
Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide de AWS Command Line Interface with Security Hub.
Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous montrent comment appeler des fonctions de service individuelles, vous pouvez les visualiser dans leur contexte dans leurs scénarios associés.
Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la façon de configurer et d'exécuter le code en contexte.
Rubriques
Actions
L'exemple de code suivant montre comment utiliseraccept-administrator-invitation
.
- AWS CLI
-
Pour accepter une invitation provenant d'un compte administrateur
L'
accept-administrator-invitation
exemple suivant accepte l'invitation spécifiée provenant du compte administrateur spécifié.aws securityhub accept-invitation \ --administrator-id
123456789012
\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4eb
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir AcceptAdministratorInvitation
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseraccept-invitation
.
- AWS CLI
-
Pour accepter une invitation provenant d'un compte administrateur
L'
accept-invitation
exemple suivant accepte l'invitation spécifiée provenant du compte administrateur spécifié.aws securityhub accept-invitation \ --master-id
123456789012
\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4eb
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir AcceptInvitation
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-delete-automation-rules
.
- AWS CLI
-
Pour supprimer des règles d'automatisation
L'
batch-delete-automation-rules
exemple suivant supprime la règle d'automatisation spécifiée. Vous pouvez supprimer une ou plusieurs règles à l'aide d'une seule commande. Seul le compte administrateur du Security Hub peut exécuter cette commande.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '
["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]
'Sortie :
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }
Pour plus d'informations, consultez la section Suppression des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchDeleteAutomationRules
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-disable-standards
.
- AWS CLI
-
Pour désactiver une norme
L'
batch-disable-standards
exemple suivant désactive la norme associée à l'abonnement ARN spécifié.aws securityhub batch-disable-standards \ --standards-subscription-arns
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
Sortie :
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Pour plus d'informations, consultez la section Désactivation ou activation d'une norme de sécurité dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchDisableStandards
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-enable-standards
.
- AWS CLI
-
Pour activer une norme
L'
batch-enable-standards
exemple suivant active la PCI DSS norme pour le compte demandeur.aws securityhub batch-enable-standards \ --standards-subscription-requests '
{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}
'Sortie :
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Pour plus d'informations, consultez la section Désactivation ou activation d'une norme de sécurité dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchEnableStandards
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-automation-rules
.
- AWS CLI
-
Pour obtenir des informations détaillées sur les règles d'automatisation
L'
batch-get-automation-rules
exemple suivant permet d'obtenir les détails de la règle d'automatisation spécifiée. Vous pouvez obtenir des informations détaillées sur une ou plusieurs règles d'automatisation à l'aide d'une seule commande.aws securityhub batch-get-automation-rules \ --automation-rules-arns '
["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]
'Sortie :
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }
Pour plus d'informations, consultez la section Affichage des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchGetAutomationRules
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-configuration-policy-associations
.
- AWS CLI
-
Pour obtenir les détails de l'association de configuration pour un lot de cibles
L'
batch-get-configuration-policy-associations
exemple suivant récupère les détails de l'association pour les cibles spécifiées. Vous pouvez fournir le compte IDsIDs, l'unité organisationnelle ou l'ID racine de la cible.aws securityhub batch-get-configuration-policy-associations \ --target '
{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Sortie :
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }
Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchGetConfigurationPolicyAssociations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-security-controls
.
- AWS CLI
-
Pour obtenir des informations sur les contrôles de sécurité
L'
batch-get-security-controls
exemple suivant permet d'obtenir des détails sur les contrôles de sécurité ACM .1 et IAM .1 du AWS compte courant et de AWS la région.aws securityhub batch-get-security-controls \ --security-control-ids '
["ACM.1", "IAM.1"]
'Sortie :
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }
Pour plus d'informations, consultez la section Affichage des détails d'un contrôle dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchGetSecurityControls
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-standards-control-associations
.
- AWS CLI
-
Pour obtenir le statut d'activation d'un contrôle
L'
batch-get-standards-control-associations
exemple suivant indique si les contrôles spécifiés sont activés dans les normes spécifiées.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '
[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]
'Sortie :
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }
Pour plus d'informations, consultez la section Activation et désactivation des contrôles dans des normes spécifiques dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchGetStandardsControlAssociations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-import-findings
.
- AWS CLI
-
Pour mettre à jour un résultat
L'
batch-import-findings
exemple suivant met à jour un résultat.aws securityhub batch-import-findings \ --findings '
[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]
'Sortie :
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }
Pour plus d'informations, consultez la section Utiliser BatchImportFindings pour créer et mettre à jour des résultats dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour API plus de détails, voir BatchImportFindings
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-update-automation-rules
.
- AWS CLI
-
Pour mettre à jour les règles d'automatisation
L'
batch-update-automation-rules
exemple suivant met à jour la règle d'automatisation spécifiée. Vous pouvez mettre à jour une ou plusieurs règles à l'aide d'une seule commande. Seul le compte administrateur du Security Hub peut exécuter cette commande.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '
[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]
'Sortie :
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }
Pour plus d'informations, consultez la section Modification des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchUpdateAutomationRules
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-update-findings
.
- AWS CLI
-
Exemple 1 : pour mettre à jour un résultat
L'
batch-update-findings
exemple suivant met à jour deux résultats pour ajouter une note, modifier l'étiquette de gravité et résoudre le problème.aws securityhub batch-update-findings \ --finding-identifiers '
[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]
' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}
' \ --severity '{"Label": "LOW"}
' \ --workflow '{"Status": "RESOLVED"}
'Sortie :
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }
Pour plus d'informations, consultez la section Utiliser BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l'utilisateur du AWS Security Hub.
Exemple 2 : Pour mettre à jour un résultat à l'aide d'une syntaxe abrégée
L'
batch-update-findings
exemple suivant met à jour deux résultats pour ajouter une note, modifier l'étiquette de gravité et la résoudre à l'aide d'une syntaxe abrégée.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"
Sortie :
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }
Pour plus d'informations, consultez la section Utiliser BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir BatchUpdateFindings
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-update-standards-control-associations
.
- AWS CLI
-
Pour mettre à jour le statut d'activation d'un contrôle dans les normes activées
L'
batch-update-standards-control-associations
exemple suivant désactive la version CloudTrail .1 dans les normes spécifiées.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '
[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]
'Cette commande ne produit aucune sortie lorsqu'elle réussit.
Pour plus d'informations, consultez les sections Activation et désactivation des contrôles dans des normes spécifiques et Activation et désactivation des contrôles dans toutes les normes dans le Guide de l'utilisateur AWS de Security Hub.
-
Pour API plus de détails, voir BatchUpdateStandardsControlAssociations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-action-target
.
- AWS CLI
-
Pour créer une action personnalisée
L'
create-action-target
exemple suivant crée une action personnalisée. Il fournit le nom, la description et l'identifiant de l'action.aws securityhub create-action-target \ --name
"Send to remediation"
\ --description"Action to send the finding for remediation tracking"
\ --id"Remediation"
Sortie :
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }
Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir CreateActionTarget
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-automation-rule
.
- AWS CLI
-
Pour créer une règle d'automatisation
L'
create-automation-rule
exemple suivant crée une règle d'automatisation dans le AWS compte courant et dans AWS la région. Security Hub filtre vos résultats en fonction des critères spécifiés et applique les actions aux résultats correspondants. Seul le compte administrateur du Security Hub peut exécuter cette commande.aws securityhub create-automation-rule \ --actions '
[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]
' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }
' \ --description"A sample rule"
\ --no-is-terminal \ --rule-name"sample rule"
\ --rule-order1
\ --rule-status"ENABLED"
Sortie :
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Pour plus d'informations, consultez la section Création de règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir CreateAutomationRule
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-configuration-policy
.
- AWS CLI
-
Pour créer une politique de configuration
L'
create-configuration-policy
exemple suivant crée une politique de configuration avec les paramètres spécifiés.aws securityhub create-configuration-policy \ --name
"SampleConfigurationPolicy"
\ --description"SampleDescription"
\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}
' \ --tags '{"Environment": "Prod"}
'Sortie :
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
Pour plus d'informations, consultez la section Création et association de politiques de configuration de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour API plus de détails, voir CreateConfigurationPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-finding-aggregator
.
- AWS CLI
-
Pour activer l'agrégation de recherche
L'
create-finding-aggregator
exemple suivant configure la recherche d'une agrégation. Il est géré depuis l'est des États-Unis (Virginie), qui désigne l'est des États-Unis (Virginie) comme région d'agrégation. Cela indique de ne lier que les régions spécifiées et de ne pas lier automatiquement de nouvelles régions. Elle sélectionne l'ouest des États-Unis (Californie du Nord) et l'ouest des États-Unis (Oregon) comme régions liées.aws securityhub create-finding-aggregator \ --region
us-east-1
\ --region-linking-modeSPECIFIED_REGIONS
\ --regionsus-west-1,us-west-2
Sortie :
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }
Pour plus d'informations, consultez la section Activation de l'agrégation des recherches dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir CreateFindingAggregator
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-insight
.
- AWS CLI
-
Pour créer un aperçu personnalisé
L'
create-insight
exemple suivant crée un aperçu personnalisé nommé Critical role findings qui renvoie des résultats critiques liés aux AWS rôles.aws securityhub create-insight \ --filters '
{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}
' \ --group-by-attribute"ResourceId"
\ --name"Critical role findings"
Sortie :
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Pour plus d'informations, consultez la section Gestion des informations personnalisées dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir CreateInsight
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-members
.
- AWS CLI
-
Pour ajouter des comptes en tant que comptes de membre
L'
create-members
exemple suivant ajoute deux comptes en tant que comptes membres au compte administrateur demandeur.aws securityhub create-members \ --account-details '
[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]
'Sortie :
{ "UnprocessedAccounts": [] }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir CreateMembers
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdecline-invitations
.
- AWS CLI
-
Pour refuser une invitation à devenir membre
L'
decline-invitations
exemple suivant refuse une invitation à devenir membre du compte administrateur spécifié. Le compte membre est le compte demandeur.aws securityhub decline-invitations \ --account-ids
"123456789012"
Sortie :
{ "UnprocessedAccounts": [] }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DeclineInvitations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-action-target
.
- AWS CLI
-
Pour supprimer une action personnalisée
L'
delete-action-target
exemple suivant supprime l'action personnalisée identifiée par le paramètre spécifiéARN.aws securityhub delete-action-target \ --action-target-arn
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
Sortie :
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }
Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DeleteActionTarget
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-configuration-policy
.
- AWS CLI
-
Pour supprimer une politique de configuration
L'
delete-configuration-policy
exemple suivant supprime la politique de configuration spécifiée.aws securityhub delete-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Suppression et dissociation des politiques de configuration de Security Hub dans le Guide de l'utilisateur AWS de Security Hub.
-
Pour API plus de détails, voir DeleteConfigurationPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-finding-aggregator
.
- AWS CLI
-
Pour arrêter de trouver une agrégation
L'
delete-finding-aggregator
exemple suivant arrête de rechercher l'agrégation. Il est géré depuis l'est des États-Unis (Virginie), qui est la région d'agrégation.aws securityhub delete-finding-aggregator \ --region
us-east-1
\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Arrêter de rechercher l'agrégation dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DeleteFindingAggregator
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-insight
.
- AWS CLI
-
Pour supprimer un aperçu personnalisé
L'
delete-insight
exemple suivant supprime l'aperçu personnalisé avec le paramètre spécifiéARN.aws securityhub delete-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Sortie :
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Pour plus d'informations, consultez la section Gestion des informations personnalisées dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DeleteInsight
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-invitations
.
- AWS CLI
-
Pour supprimer une invitation à devenir membre
L'
delete-invitations
exemple suivant supprime une invitation à devenir membre pour le compte administrateur spécifié. Le compte membre est le compte demandeur.aws securityhub delete-invitations \ --account-ids
"123456789012"
Sortie :
{ "UnprocessedAccounts": [] }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DeleteInvitations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-members
.
- AWS CLI
-
Pour supprimer des comptes de membres
L'
delete-members
exemple suivant supprime les comptes de membres spécifiés du compte d'administrateur demandeur.aws securityhub delete-members \ --account-ids
"123456789111"
"123456789222"
Sortie :
{ "UnprocessedAccounts": [] }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DeleteMembers
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-action-targets
.
- AWS CLI
-
Pour récupérer des informations sur les actions personnalisées
L'
describe-action-targets
exemple suivant récupère des informations sur l'action personnalisée identifiée par le paramètre spécifiéARN.aws securityhub describe-action-targets \ --action-target-arns
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
Sortie :
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }
Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DescribeActionTargets
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-hub
.
- AWS CLI
-
Pour obtenir des informations sur une ressource du hub
L'
describe-hub
exemple suivant renvoie la date d'abonnement pour la ressource hub spécifiée. La ressource du hub est identifiée par sonARN.aws securityhub describe-hub \ --hub-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
Sortie :
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }
Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour API plus de détails, voir DescribeHub
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-organization-configuration
.
- AWS CLI
-
Pour voir comment Security Hub est configuré pour une organisation
L'
describe-organization-configuration
exemple suivant renvoie des informations sur la manière dont une organisation est configurée dans Security Hub. Dans cet exemple, l'organisation utilise une configuration centralisée. Seul le compte administrateur du Security Hub peut exécuter cette commande.aws securityhub describe-organization-configuration
Sortie :
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }
Pour plus d'informations, consultez la section Gestion des comptes auprès d' AWS Organizations dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DescribeOrganizationConfiguration
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-products
.
- AWS CLI
-
Pour renvoyer des informations sur les intégrations de produits disponibles
L'
describe-products
exemple suivant renvoie les intégrations de produits disponibles une par une.aws securityhub describe-products \ --max-results
1
Sortie :
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }
Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DescribeProducts
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-standards-controls
.
- AWS CLI
-
Pour demander la liste des contrôles dans une norme activée
L'
describe-standards-controls
exemple suivant demande la liste des contrôles figurant dans l'abonnement du compte demandeur à la PCI DSS norme. La demande renvoie deux contrôles à la fois.aws securityhub describe-standards-controls \ --standards-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
\ --max-results2
Sortie :
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }
Pour plus d'informations, consultez la section Affichage des informations relatives aux contrôles dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DescribeStandardsControls
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-standards
.
- AWS CLI
-
Pour renvoyer une liste des normes disponibles
L'
describe-standards
exemple suivant renvoie la liste des normes disponibles.aws securityhub describe-standards
Sortie :
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }
Pour plus d'informations, consultez la section Normes de sécurité AWS de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour API plus de détails, voir DescribeStandards
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisable-import-findings-for-product
.
- AWS CLI
-
Pour ne plus recevoir les résultats de l'intégration d'un produit
L'
disable-import-findings-for-product
exemple suivant désactive le flux de résultats pour l'abonnement spécifié à une intégration de produit.aws securityhub disable-import-findings-for-product \ --product-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DisableImportFindingsForProduct
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisable-organization-admin-account
.
- AWS CLI
-
Pour supprimer un compte administrateur Security Hub
L'
disable-organization-admin-account
exemple suivant révoque l'attribution du compte spécifié en tant que compte administrateur Security Hub pour AWS Organizations.aws securityhub disable-organization-admin-account \ --admin-account-id
777788889999
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Désignation d'un compte administrateur Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DisableOrganizationAdminAccount
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisable-security-hub
.
- AWS CLI
-
Pour désactiver AWS Security Hub
L'
disable-security-hub
exemple suivant désactive AWS Security Hub pour le compte demandeur.aws securityhub disable-security-hub
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Désactivation AWS de Security Hub dans le Guide de l'utilisateur AWS de Security Hub.
-
Pour API plus de détails, voir DisableSecurityHub
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisassociate-from-administrator-account
.
- AWS CLI
-
Pour se dissocier d'un compte administrateur
L'
disassociate-from-administrator-account
exemple suivant dissocie le compte demandeur de son compte administrateur actuel.aws securityhub disassociate-from-administrator-account
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DisassociateFromAdministratorAccount
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisassociate-from-master-account
.
- AWS CLI
-
Pour se dissocier d'un compte administrateur
L'
disassociate-from-master-account
exemple suivant dissocie le compte demandeur de son compte administrateur actuel.aws securityhub disassociate-from-master-account
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DisassociateFromMasterAccount
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisassociate-members
.
- AWS CLI
-
Pour dissocier les comptes des membres
L'
disassociate-members
exemple suivant dissocie les comptes de membre spécifiés du compte d'administrateur demandeur.aws securityhub disassociate-members \ --account-ids
"123456789111"
"123456789222"
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir DisassociateMembers
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserenable-import-findings-for-product
.
- AWS CLI
-
Pour commencer à recevoir les résultats de l'intégration d'un produit
L'
enable-import-findings-for-product
exemple suivant active le flux des résultats issus de l'intégration de produits spécifiée.aws securityhub enable-import-findings-for-product \ --product-arn
"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
Sortie :
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }
Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir EnableImportFindingsForProduct
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserenable-organization-admin-account
.
- AWS CLI
-
Pour désigner un compte d'organisation en tant que compte administrateur du Security Hub
L'
enable-organization-admin-account
exemple suivant désigne le compte spécifié en tant que compte administrateur du Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id
777788889999
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Désignation d'un compte administrateur Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir EnableOrganizationAdminAccount
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserenable-security-hub
.
- AWS CLI
-
Pour activer AWS Security Hub
L'
enable-security-hub
exemple suivant active AWS Security Hub pour le compte demandeur. Il configure Security Hub pour activer les normes par défaut. Pour la ressource du hub, il attribue la valeurSecurity
à la baliseDepartment
.aws securityhub enable-security-hub \ --enable-default-standards \ --tags '
{"Department": "Security"}
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Enabling Security Hub dans le guide de l'utilisateur de AWS Security Hub.
-
Pour API plus de détails, voir EnableSecurityHub
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-administrator-account
.
- AWS CLI
-
Pour récupérer les informations relatives à un compte administrateur
L'
get-administrator-account
exemple suivant permet de récupérer des informations sur le compte administrateur du compte demandeur.aws securityhub get-administrator-account
Sortie :
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetAdministratorAccount
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-configuration-policy-association
.
- AWS CLI
-
Pour obtenir les détails de l'association de configuration pour une cible
L'
get-configuration-policy-association
exemple suivant récupère les détails de l'association pour la cible spécifiée. Vous pouvez fournir un identifiant de compte, un identifiant d'unité organisationnelle ou l'identifiant racine de la cible.aws securityhub get-configuration-policy-association \ --target '
{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Sortie :
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }
Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetConfigurationPolicyAssociation
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-configuration-policy
.
- AWS CLI
-
Pour afficher les détails de la politique de configuration
L'
get-configuration-policy
exemple suivant permet de récupérer les détails de la politique de configuration spécifiée.aws securityhub get-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Sortie :
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetConfigurationPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-enabled-standards
.
- AWS CLI
-
Pour récupérer des informations sur une norme activée
L'
get-enabled-standards
exemple suivant permet de récupérer des informations sur la PCI DSS norme.aws securityhub get-enabled-standards \ --standards-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
Sortie :
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Pour plus d'informations, consultez la section Normes de sécurité AWS de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour API plus de détails, voir GetEnabledStandards
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-finding-aggregator
.
- AWS CLI
-
Pour récupérer la configuration actuelle de l'agrégation des résultats
L'
get-finding-aggregator
exemple suivant récupère la configuration actuelle de l'agrégation des résultats.aws securityhub get-finding-aggregator \ --finding-aggregator-arn
arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
Sortie :
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }
Pour plus d'informations, consultez la section Affichage de la configuration actuelle de l'agrégation des résultats dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetFindingAggregator
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-finding-history
.
- AWS CLI
-
Pour accéder à l'historique des recherches
L'
get-finding-history
exemple suivant permet d'obtenir l'historique des 90 derniers jours pour le résultat spécifié. Dans cet exemple, les résultats sont limités à deux enregistrements de l'historique des recherches.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"
Sortie :
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }
Pour plus d'informations, consultez la section Recherche de l'historique dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetFindingHistory
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-findings
.
- AWS CLI
-
Exemple 1 : Pour renvoyer les résultats générés pour une norme spécifique
L'
get-findings
exemple suivant renvoie les résultats de la PCI DSS norme.aws securityhub get-findings \ --filters '
{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}
' \ --max-items1
Sortie :
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }
Exemple 2 : pour renvoyer des résultats de gravité critique dont le statut de flux de travail est NOTIFIED
L'
get-findings
exemple suivant renvoie des résultats dont la valeur d'étiquette de gravité CRITICAL et le statut du flux de travail sont deNOTIFIED. Les résultats sont triés par ordre décroissant selon la valeur de Confidence.aws securityhub get-findings \ --filters '
{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}
' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}
' \ --max-items1
Sortie :
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }
Pour plus d'informations, consultez la section Résultats relatifs au filtrage et au regroupement dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetFindings
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-insight-results
.
- AWS CLI
-
Pour récupérer les résultats afin d'obtenir un aperçu
L'
get-insight-results
exemple suivant renvoie la liste des résultats d'analyse pour l'aperçu avec la valeur spécifiéeARN.aws securityhub get-insight-results \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Sortie :
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }
Pour plus d'informations, consultez la section Afficher les résultats et les conclusions des analyses et prendre les mesures nécessaires dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetInsightResults
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-insights
.
- AWS CLI
-
Pour récupérer les informations relatives à un aperçu
L'
get-insights
exemple suivant récupère les détails de configuration de l'aperçu avec le paramètre spécifiéARN.aws securityhub get-insights \ --insight-arns
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Sortie :
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }
Pour plus d'informations, consultez Insights in AWS Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour API plus de détails, voir GetInsights
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-invitations-count
.
- AWS CLI
-
Pour récupérer le nombre d'invitations qui n'ont pas été acceptées
L'
get-invitations-count
exemple suivant permet de récupérer le nombre d'invitations que le compte demandeur a refusées ou auxquelles il n'a pas répondu.aws securityhub get-invitations-count
Sortie :
{ "InvitationsCount": 3 }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetInvitationsCount
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-master-account
.
- AWS CLI
-
Pour récupérer les informations relatives à un compte administrateur
L'
get-master-account
exemple suivant permet de récupérer des informations sur le compte administrateur du compte demandeur.aws securityhub get-master-account
Sortie :
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetMasterAccount
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-members
.
- AWS CLI
-
Pour récupérer des informations sur les comptes de membres sélectionnés
L'
get-members
exemple suivant permet de récupérer des informations sur les comptes de membres spécifiés.aws securityhub get-members \ --account-ids
"444455556666"
"777788889999"
Sortie :
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetMembers
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-security-control-definition
.
- AWS CLI
-
Pour obtenir des informations détaillées sur la définition des contrôles de sécurité
L'
get-security-control-definition
exemple suivant permet de récupérer les détails de définition d'un contrôle de sécurité Security Hub. Les détails incluent le titre du contrôle, la description, la disponibilité de la région, les paramètres et d'autres informations.aws securityhub get-security-control-definition \ --security-control-id
ACM.1
Sortie :
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }
Pour plus d'informations, consultez la section Paramètres de contrôle personnalisés dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir GetSecurityControlDefinition
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserinvite-members
.
- AWS CLI
-
Pour envoyer des invitations aux comptes des membres
L'
invite-members
exemple suivant envoie des invitations aux comptes de membres spécifiés.aws securityhub invite-members \ --account-ids
"123456789111"
"123456789222"
Sortie :
{ "UnprocessedAccounts": [] }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir InviteMembers
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-automation-rules
.
- AWS CLI
-
Pour consulter la liste des règles d'automatisation
L'
list-automation-rules
exemple suivant répertorie les règles d'automatisation d'un AWS compte. Seul le compte administrateur du Security Hub peut exécuter cette commande.aws securityhub list-automation-rules \ --max-results
3
\ --next-tokenNULL
Sortie :
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }
Pour plus d'informations, consultez la section Affichage des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListAutomationRules
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-configuration-policies
.
- AWS CLI
-
Pour répertorier les résumés des politiques de configuration
L'
list-configuration-policies
exemple suivant présente un résumé des politiques de configuration de l'organisation.aws securityhub list-configuration-policies \ --max-items
3
Sortie :
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }
Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListConfigurationPolicies
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-configuration-policy-associations
.
- AWS CLI
-
Pour répertorier les associations de configuration
L'
list-configuration-policy-associations
exemple suivant répertorie un résumé des associations de configuration pour l'organisation. La réponse inclut des associations avec des politiques de configuration et des comportements autogérés.aws securityhub list-configuration-policy-associations \ --association-type
"APPLIED"
\ --max-items4
Sortie :
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }
Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListConfigurationPolicyAssociations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-enabled-products-for-import
.
- AWS CLI
-
Pour renvoyer la liste des intégrations de produits activées
L'
list-enabled-products-for-import
exemple suivant renvoie la liste des abonnements ARNS pour les intégrations de produits actuellement activées.aws securityhub list-enabled-products-for-import
Sortie :
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }
Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListEnabledProductsForImport
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-finding-aggregators
.
- AWS CLI
-
Pour répertorier les widgets disponibles
L'
list-finding-aggregators
exemple suivant renvoie la configuration ARN d'agrégation de recherche.aws securityhub list-finding-aggregators
Sortie :
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }
Pour plus d'informations, consultez la section Affichage de la configuration actuelle de l'agrégation des résultats dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListFindingAggregators
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-invitations
.
- AWS CLI
-
Pour afficher une liste d'invitations
L'
list-invitations
exemple suivant permet de récupérer la liste des invitations envoyées au compte demandeur.aws securityhub list-invitations
Sortie :
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListInvitations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-members
.
- AWS CLI
-
Pour récupérer la liste des comptes des membres
L'
list-members
exemple suivant renvoie la liste des comptes membres pour le compte administrateur demandeur.aws securityhub list-members
Sortie :
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }
Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListMembers
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-organization-admin-accounts
.
- AWS CLI
-
Pour répertorier les comptes d'administrateur Security Hub désignés
L'
list-organization-admin-accounts
exemple suivant répertorie les comptes d'administrateur du Security Hub d'une organisation.aws securityhub list-organization-admin-accounts
Sortie :
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }
Pour plus d'informations, consultez la section Désignation d'un compte administrateur Security Hub dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListOrganizationAdminAccounts
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-security-control-definitions
.
- AWS CLI
-
Exemple 1 : pour répertorier tous les contrôles de sécurité disponibles
L'
list-security-control-definitions
exemple suivant répertorie les contrôles de sécurité disponibles dans toutes les normes du Security Hub. Cet exemple limite les résultats à trois contrôles.aws securityhub list-security-control-definitions \ --max-items
3
Sortie :
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }
Pour plus d'informations, consultez la section Affichage des détails d'une norme dans le Guide de l'utilisateur du AWS Security Hub.
Exemple 2 : pour répertorier les contrôles de sécurité disponibles pour une norme spécifique
L'
list-security-control-definitions
exemple suivant répertorie les contrôles de sécurité disponibles pour le CIS AWS Foundations Benchmark v1.4.0. Cet exemple limite les résultats à trois contrôles.aws securityhub list-security-control-definitions \ --standards-arn
"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"
\ --max-items3
Sortie :
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }
Pour plus d'informations, consultez la section Affichage des détails d'une norme dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListSecurityControlDefinitions
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-standards-control-associations
.
- AWS CLI
-
Pour obtenir le statut d'activation d'un contrôle dans chaque norme activée
L'
list-standards-control-associations
exemple suivant répertorie le statut d'activation de CloudTrail .1 dans chaque norme activée.aws securityhub list-standards-control-associations \ --security-control-id
CloudTrail.1
Sortie :
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }
Pour plus d'informations, consultez la section Activation et désactivation des contrôles dans des normes spécifiques dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir ListStandardsControlAssociations
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-tags-for-resource
.
- AWS CLI
-
Pour récupérer les balises attribuées à une ressource
L'
list-tags-for-resource
exemple suivant renvoie les balises attribuées à la ressource hub spécifiée.aws securityhub list-tags-for-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
Sortie :
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }
Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour API plus de détails, voir ListTagsForResource
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserstart-configuration-policy-association
.
- AWS CLI
-
Exemple 1 : pour associer une politique de configuration
L'
start-configuration-policy-association
exemple suivant associe la politique de configuration spécifiée à l'unité organisationnelle spécifiée. Une configuration peut être associée à un compte cible, à une unité organisationnelle ou à la racine.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Sortie :
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }
Pour plus d'informations, consultez la section Création et association de politiques de configuration de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
Exemple 2 : pour associer une configuration autogérée
L'
start-configuration-policy-association
exemple suivant associe une configuration autogérée au compte spécifié.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier
"SELF_MANAGED_SECURITY_HUB"
\ --target '{"OrganizationalUnitId": "123456789012"}
'Sortie :
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }
Pour plus d'informations, consultez la section Création et association de politiques de configuration de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour API plus de détails, voir StartConfigurationPolicyAssociation
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserstart-configuration-policy-disassociation
.
- AWS CLI
-
Exemple 1 : pour dissocier une politique de configuration
L'
start-configuration-policy-disassociation
exemple suivant dissocie une politique de configuration de l'unité organisationnelle spécifiée. Une configuration peut être dissociée d'un compte cible, d'une unité organisationnelle ou de la racine.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez Dissocier une configuration des comptes et OUs dans le Guide de l'utilisateur du AWS Security Hub.
Exemple 2 : pour dissocier une configuration autogérée
L'
start-configuration-policy-disassociation
exemple suivant dissocie une configuration autogérée du compte spécifié.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier
"SELF_MANAGED_SECURITY_HUB"
\ --target '{"AccountId": "123456789012"}
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez Dissocier une configuration des comptes et OUs dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir StartConfigurationPolicyDisassociation
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-resource
.
- AWS CLI
-
Pour attribuer un tag à une ressource
L'
tag-resource
exemple suivant attribue des valeurs aux balises Department et Area à la ressource hub spécifiée.aws securityhub tag-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
\ --tags '{"Department":"Operations", "Area":"USMidwest"}
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour API plus de détails, voir TagResource
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-resource
.
- AWS CLI
-
Pour supprimer une valeur de balise d'une ressource
L'
untag-resource
exemple suivant supprime la balise Department de la ressource hub spécifiée.aws securityhub untag-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
\ --tag-keys"Department"
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour API plus de détails, voir UntagResource
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-action-target
.
- AWS CLI
-
Pour mettre à jour une action personnalisée
L'
update-action-target
exemple suivant met à jour le nom de l'action personnalisée identifiée par l'action spécifiéeARN.aws securityhub update-action-target \ --action-target-arn
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
\ --name"Send to remediation"
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir UpdateActionTarget
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-configuration-policy
.
- AWS CLI
-
Pour mettre à jour une politique de configuration
L'
update-configuration-policy
exemple suivant met à jour une politique de configuration existante afin d'utiliser les paramètres spécifiés.aws securityhub update-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"
\ --name"SampleConfigurationPolicyUpdated"
\ --description"SampleDescriptionUpdated"
\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}
' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"
Sortie :
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }
Pour plus d'informations, consultez la section Mise à jour des politiques de configuration de AWS Security Hub dans le Guide de l'utilisateur du Security Hub.
-
Pour API plus de détails, voir UpdateConfigurationPolicy
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-finding-aggregator
.
- AWS CLI
-
Pour mettre à jour la configuration actuelle de l'agrégation des résultats
L'
update-finding-aggregator
exemple suivant modifie la configuration d'agrégation des recherches pour établir un lien à partir des régions sélectionnées. Il est géré depuis l'est des États-Unis (Virginie), qui est la région d'agrégation. Elle sélectionne l'ouest des États-Unis (Californie du Nord) et l'ouest des États-Unis (Oregon) comme régions liées.aws securityhub update-finding-aggregator \ --region
us-east-1
\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
\ --region-linking-modeSPECIFIED_REGIONS
\ --regionsus-west-1,us-west-2
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Mise à jour de la configuration d'agrégation des résultats dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir UpdateFindingAggregator
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-insight
.
- AWS CLI
-
Exemple 1 : pour modifier le filtre d'un aperçu personnalisé
L'
update-insight
exemple suivant modifie les filtres pour obtenir un aperçu personnalisé. Les informations mises à jour recherchent les résultats très graves liés aux AWS rôles.aws securityhub update-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}
' \ --name"High severity role findings"
Exemple 2 : pour modifier l'attribut de regroupement pour un aperçu personnalisé
L'
update-insight
exemple suivant modifie l'attribut de regroupement pour l'aperçu personnalisé avec la valeur spécifiéeARN. Le nouvel attribut de regroupement est l'ID de ressource.aws securityhub update-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
\ --group-by-attribute"ResourceId"
\ --name"Critical role findings"
Sortie :
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }
Pour plus d'informations, consultez la section Gestion des informations personnalisées dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir UpdateInsight
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-organization-configuration
.
- AWS CLI
-
Pour mettre à jour la configuration de Security Hub pour une organisation
L'
update-organization-configuration
exemple suivant indique que Security Hub doit utiliser la configuration centrale pour configurer une organisation. Après avoir exécuté cette commande, l'administrateur délégué du Security Hub peut créer et gérer des politiques de configuration pour configurer l'organisation. L'administrateur délégué peut également utiliser cette commande pour passer de la configuration centrale à la configuration locale. Si la configuration locale est le type de configuration, l'administrateur délégué peut choisir d'activer automatiquement Security Hub et les normes de sécurité par défaut dans les nouveaux comptes de l'organisation.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '
{"ConfigurationType": "CENTRAL"}
'Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Gestion des comptes auprès d' AWS Organizations dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir UpdateOrganizationConfiguration
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-security-control
.
- AWS CLI
-
Pour mettre à jour les propriétés du contrôle de sécurité
L'
update-security-control
exemple suivant indique des valeurs personnalisées pour un paramètre de contrôle de sécurité du Security Hub.aws securityhub update-security-control \ --security-control-id
ACM.1
\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}
' \ --last-update-reason"Internal compliance requirement"
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Paramètres de contrôle personnalisés dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir UpdateSecurityControl
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-security-hub-configuration
.
- AWS CLI
-
Pour mettre à jour la configuration de Security Hub
L'
update-security-hub-configuration
exemple suivant configure Security Hub pour activer automatiquement de nouvelles commandes pour les normes activées.aws securityhub update-security-hub-configuration \ --auto-enable-controls
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Activation automatique des nouvelles commandes dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir UpdateSecurityHubConfiguration
la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-standards-control
.
- AWS CLI
-
Exemple 1 : pour désactiver un contrôle
L'
update-standards-control
exemple suivant désactive le. PCI AutoScaling1. Contrôle.aws securityhub update-standards-control \ --standards-control-arn
"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"
\ --control-status"DISABLED"
\ --disabled-reason"Not applicable for my service"
Cette commande ne produit aucun résultat.
Exemple 2 : pour activer un contrôle
L'
update-standards-control
exemple suivant active lePCI. AutoScaling1. Contrôle.aws securityhub update-standards-control \ --standards-control-arn
"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"
\ --control-status"ENABLED"
Cette commande ne produit aucun résultat.
Pour plus d'informations, consultez la section Désactivation et activation des contrôles individuels dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour API plus de détails, voir UpdateStandardsControl
la section Référence des AWS CLI commandes.
-