Exemples d'utilisation de Security Hub AWS CLI - AWS Command Line Interface

Cette documentation concerne AWS CLI uniquement la version 1. Pour la documentation relative à la version 2 du AWS CLI, consultez le guide de l'utilisateur de la version 2.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples d'utilisation de Security Hub AWS CLI

Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide de AWS Command Line Interface with Security Hub.

Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous montrent comment appeler des fonctions de service individuelles, vous pouvez les visualiser dans leur contexte dans leurs scénarios associés.

Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la façon de configurer et d'exécuter le code en contexte.

Rubriques

Actions

L'exemple de code suivant montre comment utiliseraccept-administrator-invitation.

AWS CLI

Pour accepter une invitation provenant d'un compte administrateur

L'accept-administrator-invitationexemple suivant accepte l'invitation spécifiée provenant du compte administrateur spécifié.

aws securityhub accept-invitation \ --administrator-id 123456789012 \ --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliseraccept-invitation.

AWS CLI

Pour accepter une invitation provenant d'un compte administrateur

L'accept-invitationexemple suivant accepte l'invitation spécifiée provenant du compte administrateur spécifié.

aws securityhub accept-invitation \ --master-id 123456789012 \ --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir AcceptInvitationla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserbatch-delete-automation-rules.

AWS CLI

Pour supprimer des règles d'automatisation

L'batch-delete-automation-rulesexemple suivant supprime la règle d'automatisation spécifiée. Vous pouvez supprimer une ou plusieurs règles à l'aide d'une seule commande. Seul le compte administrateur du Security Hub peut exécuter cette commande.

aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'

Sortie :

{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }

Pour plus d'informations, consultez la section Suppression des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-disable-standards.

AWS CLI

Pour désactiver une norme

L'batch-disable-standardsexemple suivant désactive la norme associée à l'abonnement ARN spécifié.

aws securityhub batch-disable-standards \ --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"

Sortie :

{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }

Pour plus d'informations, consultez la section Désactivation ou activation d'une norme de sécurité dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-enable-standards.

AWS CLI

Pour activer une norme

L'batch-enable-standardsexemple suivant active la PCI DSS norme pour le compte demandeur.

aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'

Sortie :

{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }

Pour plus d'informations, consultez la section Désactivation ou activation d'une norme de sécurité dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-get-automation-rules.

AWS CLI

Pour obtenir des informations détaillées sur les règles d'automatisation

L'batch-get-automation-rulesexemple suivant permet d'obtenir les détails de la règle d'automatisation spécifiée. Vous pouvez obtenir des informations détaillées sur une ou plusieurs règles d'automatisation à l'aide d'une seule commande.

aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'

Sortie :

{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }

Pour plus d'informations, consultez la section Affichage des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-get-configuration-policy-associations.

AWS CLI

Pour obtenir les détails de l'association de configuration pour un lot de cibles

L'batch-get-configuration-policy-associationsexemple suivant récupère les détails de l'association pour les cibles spécifiées. Vous pouvez fournir le compte IDsIDs, l'unité organisationnelle ou l'ID racine de la cible.

aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Sortie :

{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }

Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-get-security-controls.

AWS CLI

Pour obtenir des informations sur les contrôles de sécurité

L'batch-get-security-controlsexemple suivant permet d'obtenir des détails sur les contrôles de sécurité ACM .1 et IAM .1 du AWS compte courant et de AWS la région.

aws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'

Sortie :

{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }

Pour plus d'informations, consultez la section Affichage des détails d'un contrôle dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-get-standards-control-associations.

AWS CLI

Pour obtenir le statut d'activation d'un contrôle

L'batch-get-standards-control-associationsexemple suivant indique si les contrôles spécifiés sont activés dans les normes spécifiées.

aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'

Sortie :

{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }

Pour plus d'informations, consultez la section Activation et désactivation des contrôles dans des normes spécifiques dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-import-findings.

AWS CLI

Pour mettre à jour un résultat

L'batch-import-findingsexemple suivant met à jour un résultat.

aws securityhub batch-import-findings \ --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'

Sortie :

{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }

Pour plus d'informations, consultez la section Utiliser BatchImportFindings pour créer et mettre à jour des résultats dans le Guide de l'utilisateur de AWS Security Hub.

  • Pour API plus de détails, voir BatchImportFindingsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserbatch-update-automation-rules.

AWS CLI

Pour mettre à jour les règles d'automatisation

L'batch-update-automation-rulesexemple suivant met à jour la règle d'automatisation spécifiée. Vous pouvez mettre à jour une ou plusieurs règles à l'aide d'une seule commande. Seul le compte administrateur du Security Hub peut exécuter cette commande.

aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'

Sortie :

{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }

Pour plus d'informations, consultez la section Modification des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserbatch-update-findings.

AWS CLI

Exemple 1 : pour mettre à jour un résultat

L'batch-update-findingsexemple suivant met à jour deux résultats pour ajouter une note, modifier l'étiquette de gravité et résoudre le problème.

aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'

Sortie :

{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }

Pour plus d'informations, consultez la section Utiliser BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l'utilisateur du AWS Security Hub.

Exemple 2 : Pour mettre à jour un résultat à l'aide d'une syntaxe abrégée

L'batch-update-findingsexemple suivant met à jour deux résultats pour ajouter une note, modifier l'étiquette de gravité et la résoudre à l'aide d'une syntaxe abrégée.

aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"

Sortie :

{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }

Pour plus d'informations, consultez la section Utiliser BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir BatchUpdateFindingsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserbatch-update-standards-control-associations.

AWS CLI

Pour mettre à jour le statut d'activation d'un contrôle dans les normes activées

L'batch-update-standards-control-associationsexemple suivant désactive la version CloudTrail .1 dans les normes spécifiées.

aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

Cette commande ne produit aucune sortie lorsqu'elle réussit.

Pour plus d'informations, consultez les sections Activation et désactivation des contrôles dans des normes spécifiques et Activation et désactivation des contrôles dans toutes les normes dans le Guide de l'utilisateur AWS de Security Hub.

L'exemple de code suivant montre comment utilisercreate-action-target.

AWS CLI

Pour créer une action personnalisée

L'create-action-targetexemple suivant crée une action personnalisée. Il fournit le nom, la description et l'identifiant de l'action.

aws securityhub create-action-target \ --name "Send to remediation" \ --description "Action to send the finding for remediation tracking" \ --id "Remediation"

Sortie :

{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }

Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir CreateActionTargetla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utilisercreate-automation-rule.

AWS CLI

Pour créer une règle d'automatisation

L'create-automation-ruleexemple suivant crée une règle d'automatisation dans le AWS compte courant et dans AWS la région. Security Hub filtre vos résultats en fonction des critères spécifiés et applique les actions aux résultats correspondants. Seul le compte administrateur du Security Hub peut exécuter cette commande.

aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description "A sample rule" \ --no-is-terminal \ --rule-name "sample rule" \ --rule-order 1 \ --rule-status "ENABLED"

Sortie :

{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }

Pour plus d'informations, consultez la section Création de règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utilisercreate-configuration-policy.

AWS CLI

Pour créer une politique de configuration

L'create-configuration-policyexemple suivant crée une politique de configuration avec les paramètres spécifiés.

aws securityhub create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "SampleDescription" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'

Sortie :

{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }

Pour plus d'informations, consultez la section Création et association de politiques de configuration de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.

L'exemple de code suivant montre comment utilisercreate-finding-aggregator.

AWS CLI

Pour activer l'agrégation de recherche

L'create-finding-aggregatorexemple suivant configure la recherche d'une agrégation. Il est géré depuis l'est des États-Unis (Virginie), qui désigne l'est des États-Unis (Virginie) comme région d'agrégation. Cela indique de ne lier que les régions spécifiées et de ne pas lier automatiquement de nouvelles régions. Elle sélectionne l'ouest des États-Unis (Californie du Nord) et l'ouest des États-Unis (Oregon) comme régions liées.

aws securityhub create-finding-aggregator \ --region us-east-1 \ --region-linking-mode SPECIFIED_REGIONS \ --regions us-west-1,us-west-2

Sortie :

{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }

Pour plus d'informations, consultez la section Activation de l'agrégation des recherches dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utilisercreate-insight.

AWS CLI

Pour créer un aperçu personnalisé

L'create-insightexemple suivant crée un aperçu personnalisé nommé Critical role findings qui renvoie des résultats critiques liés aux AWS rôles.

aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute "ResourceId" \ --name "Critical role findings"

Sortie :

{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }

Pour plus d'informations, consultez la section Gestion des informations personnalisées dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir CreateInsightla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utilisercreate-members.

AWS CLI

Pour ajouter des comptes en tant que comptes de membre

L'create-membersexemple suivant ajoute deux comptes en tant que comptes membres au compte administrateur demandeur.

aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'

Sortie :

{ "UnprocessedAccounts": [] }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir CreateMembersla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdecline-invitations.

AWS CLI

Pour refuser une invitation à devenir membre

L'decline-invitationsexemple suivant refuse une invitation à devenir membre du compte administrateur spécifié. Le compte membre est le compte demandeur.

aws securityhub decline-invitations \ --account-ids "123456789012"

Sortie :

{ "UnprocessedAccounts": [] }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir DeclineInvitationsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdelete-action-target.

AWS CLI

Pour supprimer une action personnalisée

L'delete-action-targetexemple suivant supprime l'action personnalisée identifiée par le paramètre spécifiéARN.

aws securityhub delete-action-target \ --action-target-arn "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"

Sortie :

{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }

Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir DeleteActionTargetla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdelete-configuration-policy.

AWS CLI

Pour supprimer une politique de configuration

L'delete-configuration-policyexemple suivant supprime la politique de configuration spécifiée.

aws securityhub delete-configuration-policy \ --identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Suppression et dissociation des politiques de configuration de Security Hub dans le Guide de l'utilisateur AWS de Security Hub.

L'exemple de code suivant montre comment utiliserdelete-finding-aggregator.

AWS CLI

Pour arrêter de trouver une agrégation

L'delete-finding-aggregatorexemple suivant arrête de rechercher l'agrégation. Il est géré depuis l'est des États-Unis (Virginie), qui est la région d'agrégation.

aws securityhub delete-finding-aggregator \ --region us-east-1 \ --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Arrêter de rechercher l'agrégation dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdelete-insight.

AWS CLI

Pour supprimer un aperçu personnalisé

L'delete-insightexemple suivant supprime l'aperçu personnalisé avec le paramètre spécifiéARN.

aws securityhub delete-insight \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }

Pour plus d'informations, consultez la section Gestion des informations personnalisées dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir DeleteInsightla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdelete-invitations.

AWS CLI

Pour supprimer une invitation à devenir membre

L'delete-invitationsexemple suivant supprime une invitation à devenir membre pour le compte administrateur spécifié. Le compte membre est le compte demandeur.

aws securityhub delete-invitations \ --account-ids "123456789012"

Sortie :

{ "UnprocessedAccounts": [] }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir DeleteInvitationsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdelete-members.

AWS CLI

Pour supprimer des comptes de membres

L'delete-membersexemple suivant supprime les comptes de membres spécifiés du compte d'administrateur demandeur.

aws securityhub delete-members \ --account-ids "123456789111" "123456789222"

Sortie :

{ "UnprocessedAccounts": [] }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir DeleteMembersla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdescribe-action-targets.

AWS CLI

Pour récupérer des informations sur les actions personnalisées

L'describe-action-targetsexemple suivant récupère des informations sur l'action personnalisée identifiée par le paramètre spécifiéARN.

aws securityhub describe-action-targets \ --action-target-arns "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"

Sortie :

{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }

Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdescribe-hub.

AWS CLI

Pour obtenir des informations sur une ressource du hub

L'describe-hubexemple suivant renvoie la date d'abonnement pour la ressource hub spécifiée. La ressource du hub est identifiée par sonARN.

aws securityhub describe-hub \ --hub-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default"

Sortie :

{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }

Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.

  • Pour API plus de détails, voir DescribeHubla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdescribe-organization-configuration.

AWS CLI

Pour voir comment Security Hub est configuré pour une organisation

L'describe-organization-configurationexemple suivant renvoie des informations sur la manière dont une organisation est configurée dans Security Hub. Dans cet exemple, l'organisation utilise une configuration centralisée. Seul le compte administrateur du Security Hub peut exécuter cette commande.

aws securityhub describe-organization-configuration

Sortie :

{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }

Pour plus d'informations, consultez la section Gestion des comptes auprès d' AWS Organizations dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdescribe-products.

AWS CLI

Pour renvoyer des informations sur les intégrations de produits disponibles

L'describe-productsexemple suivant renvoie les intégrations de produits disponibles une par une.

aws securityhub describe-products \ --max-results 1

Sortie :

{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }

Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir DescribeProductsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdescribe-standards-controls.

AWS CLI

Pour demander la liste des contrôles dans une norme activée

L'describe-standards-controlsexemple suivant demande la liste des contrôles figurant dans l'abonnement du compte demandeur à la PCI DSS norme. La demande renvoie deux contrôles à la fois.

aws securityhub describe-standards-controls \ --standards-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" \ --max-results 2

Sortie :

{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }

Pour plus d'informations, consultez la section Affichage des informations relatives aux contrôles dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdescribe-standards.

AWS CLI

Pour renvoyer une liste des normes disponibles

L'describe-standardsexemple suivant renvoie la liste des normes disponibles.

aws securityhub describe-standards

Sortie :

{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }

Pour plus d'informations, consultez la section Normes de sécurité AWS de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.

  • Pour API plus de détails, voir DescribeStandardsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdisable-import-findings-for-product.

AWS CLI

Pour ne plus recevoir les résultats de l'intégration d'un produit

L'disable-import-findings-for-productexemple suivant désactive le flux de résultats pour l'abonnement spécifié à une intégration de produit.

aws securityhub disable-import-findings-for-product \ --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdisable-organization-admin-account.

AWS CLI

Pour supprimer un compte administrateur Security Hub

L'disable-organization-admin-accountexemple suivant révoque l'attribution du compte spécifié en tant que compte administrateur Security Hub pour AWS Organizations.

aws securityhub disable-organization-admin-account \ --admin-account-id 777788889999

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Désignation d'un compte administrateur Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdisable-security-hub.

AWS CLI

Pour désactiver AWS Security Hub

L'disable-security-hubexemple suivant désactive AWS Security Hub pour le compte demandeur.

aws securityhub disable-security-hub

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Désactivation AWS de Security Hub dans le Guide de l'utilisateur AWS de Security Hub.

  • Pour API plus de détails, voir DisableSecurityHubla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserdisassociate-from-administrator-account.

AWS CLI

Pour se dissocier d'un compte administrateur

L'disassociate-from-administrator-accountexemple suivant dissocie le compte demandeur de son compte administrateur actuel.

aws securityhub disassociate-from-administrator-account

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdisassociate-from-master-account.

AWS CLI

Pour se dissocier d'un compte administrateur

L'disassociate-from-master-accountexemple suivant dissocie le compte demandeur de son compte administrateur actuel.

aws securityhub disassociate-from-master-account

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserdisassociate-members.

AWS CLI

Pour dissocier les comptes des membres

L'disassociate-membersexemple suivant dissocie les comptes de membre spécifiés du compte d'administrateur demandeur.

aws securityhub disassociate-members \ --account-ids "123456789111" "123456789222"

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir DisassociateMembersla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserenable-import-findings-for-product.

AWS CLI

Pour commencer à recevoir les résultats de l'intégration d'un produit

L'enable-import-findings-for-productexemple suivant active le flux des résultats issus de l'intégration de produits spécifiée.

aws securityhub enable-import-findings-for-product \ --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"

Sortie :

{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }

Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserenable-organization-admin-account.

AWS CLI

Pour désigner un compte d'organisation en tant que compte administrateur du Security Hub

L'enable-organization-admin-accountexemple suivant désigne le compte spécifié en tant que compte administrateur du Security Hub.

aws securityhub enable-organization-admin-account \ --admin-account-id 777788889999

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Désignation d'un compte administrateur Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserenable-security-hub.

AWS CLI

Pour activer AWS Security Hub

L'enable-security-hubexemple suivant active AWS Security Hub pour le compte demandeur. Il configure Security Hub pour activer les normes par défaut. Pour la ressource du hub, il attribue la valeur Security à la baliseDepartment.

aws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Enabling Security Hub dans le guide de l'utilisateur de AWS Security Hub.

  • Pour API plus de détails, voir EnableSecurityHubla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-administrator-account.

AWS CLI

Pour récupérer les informations relatives à un compte administrateur

L'get-administrator-accountexemple suivant permet de récupérer des informations sur le compte administrateur du compte demandeur.

aws securityhub get-administrator-account

Sortie :

{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserget-configuration-policy-association.

AWS CLI

Pour obtenir les détails de l'association de configuration pour une cible

L'get-configuration-policy-associationexemple suivant récupère les détails de l'association pour la cible spécifiée. Vous pouvez fournir un identifiant de compte, un identifiant d'unité organisationnelle ou l'identifiant racine de la cible.

aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Sortie :

{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }

Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserget-configuration-policy.

AWS CLI

Pour afficher les détails de la politique de configuration

L'get-configuration-policyexemple suivant permet de récupérer les détails de la politique de configuration spécifiée.

aws securityhub get-configuration-policy \ --identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }

Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserget-enabled-standards.

AWS CLI

Pour récupérer des informations sur une norme activée

L'get-enabled-standardsexemple suivant permet de récupérer des informations sur la PCI DSS norme.

aws securityhub get-enabled-standards \ --standards-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"

Sortie :

{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }

Pour plus d'informations, consultez la section Normes de sécurité AWS de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.

  • Pour API plus de détails, voir GetEnabledStandardsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-finding-aggregator.

AWS CLI

Pour récupérer la configuration actuelle de l'agrégation des résultats

L'get-finding-aggregatorexemple suivant récupère la configuration actuelle de l'agrégation des résultats.

aws securityhub get-finding-aggregator \ --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000

Sortie :

{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }

Pour plus d'informations, consultez la section Affichage de la configuration actuelle de l'agrégation des résultats dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserget-finding-history.

AWS CLI

Pour accéder à l'historique des recherches

L'get-finding-historyexemple suivant permet d'obtenir l'historique des 90 derniers jours pour le résultat spécifié. Dans cet exemple, les résultats sont limités à deux enregistrements de l'historique des recherches.

aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"

Sortie :

{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }

Pour plus d'informations, consultez la section Recherche de l'historique dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir GetFindingHistoryla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-findings.

AWS CLI

Exemple 1 : Pour renvoyer les résultats générés pour une norme spécifique

L'get-findingsexemple suivant renvoie les résultats de la PCI DSS norme.

aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items 1

Sortie :

{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }

Exemple 2 : pour renvoyer des résultats de gravité critique dont le statut de flux de travail est NOTIFIED

L'get-findingsexemple suivant renvoie des résultats dont la valeur d'étiquette de gravité CRITICAL et le statut du flux de travail sont deNOTIFIED. Les résultats sont triés par ordre décroissant selon la valeur de Confidence.

aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items 1

Sortie :

{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }

Pour plus d'informations, consultez la section Résultats relatifs au filtrage et au regroupement dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir GetFindingsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-insight-results.

AWS CLI

Pour récupérer les résultats afin d'obtenir un aperçu

L'get-insight-resultsexemple suivant renvoie la liste des résultats d'analyse pour l'aperçu avec la valeur spécifiéeARN.

aws securityhub get-insight-results \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }

Pour plus d'informations, consultez la section Afficher les résultats et les conclusions des analyses et prendre les mesures nécessaires dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir GetInsightResultsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-insights.

AWS CLI

Pour récupérer les informations relatives à un aperçu

L'get-insightsexemple suivant récupère les détails de configuration de l'aperçu avec le paramètre spécifiéARN.

aws securityhub get-insights \ --insight-arns "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }

Pour plus d'informations, consultez Insights in AWS Security Hub dans le Guide de l'utilisateur de AWS Security Hub.

  • Pour API plus de détails, voir GetInsightsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-invitations-count.

AWS CLI

Pour récupérer le nombre d'invitations qui n'ont pas été acceptées

L'get-invitations-countexemple suivant permet de récupérer le nombre d'invitations que le compte demandeur a refusées ou auxquelles il n'a pas répondu.

aws securityhub get-invitations-count

Sortie :

{ "InvitationsCount": 3 }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir GetInvitationsCountla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-master-account.

AWS CLI

Pour récupérer les informations relatives à un compte administrateur

L'get-master-accountexemple suivant permet de récupérer des informations sur le compte administrateur du compte demandeur.

aws securityhub get-master-account

Sortie :

{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir GetMasterAccountla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-members.

AWS CLI

Pour récupérer des informations sur les comptes de membres sélectionnés

L'get-membersexemple suivant permet de récupérer des informations sur les comptes de membres spécifiés.

aws securityhub get-members \ --account-ids "444455556666" "777788889999"

Sortie :

{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir GetMembersla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserget-security-control-definition.

AWS CLI

Pour obtenir des informations détaillées sur la définition des contrôles de sécurité

L'get-security-control-definitionexemple suivant permet de récupérer les détails de définition d'un contrôle de sécurité Security Hub. Les détails incluent le titre du contrôle, la description, la disponibilité de la région, les paramètres et d'autres informations.

aws securityhub get-security-control-definition \ --security-control-id ACM.1

Sortie :

{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }

Pour plus d'informations, consultez la section Paramètres de contrôle personnalisés dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserinvite-members.

AWS CLI

Pour envoyer des invitations aux comptes des membres

L'invite-membersexemple suivant envoie des invitations aux comptes de membres spécifiés.

aws securityhub invite-members \ --account-ids "123456789111" "123456789222"

Sortie :

{ "UnprocessedAccounts": [] }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir InviteMembersla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserlist-automation-rules.

AWS CLI

Pour consulter la liste des règles d'automatisation

L'list-automation-rulesexemple suivant répertorie les règles d'automatisation d'un AWS compte. Seul le compte administrateur du Security Hub peut exécuter cette commande.

aws securityhub list-automation-rules \ --max-results 3 \ --next-token NULL

Sortie :

{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }

Pour plus d'informations, consultez la section Affichage des règles d'automatisation dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir ListAutomationRulesla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserlist-configuration-policies.

AWS CLI

Pour répertorier les résumés des politiques de configuration

L'list-configuration-policiesexemple suivant présente un résumé des politiques de configuration de l'organisation.

aws securityhub list-configuration-policies \ --max-items 3

Sortie :

{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }

Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserlist-configuration-policy-associations.

AWS CLI

Pour répertorier les associations de configuration

L'list-configuration-policy-associationsexemple suivant répertorie un résumé des associations de configuration pour l'organisation. La réponse inclut des associations avec des politiques de configuration et des comportements autogérés.

aws securityhub list-configuration-policy-associations \ --association-type "APPLIED" \ --max-items 4

Sortie :

{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }

Pour plus d'informations, consultez la section Visualisation des politiques de configuration de Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserlist-enabled-products-for-import.

AWS CLI

Pour renvoyer la liste des intégrations de produits activées

L'list-enabled-products-for-importexemple suivant renvoie la liste des abonnements ARNS pour les intégrations de produits actuellement activées.

aws securityhub list-enabled-products-for-import

Sortie :

{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }

Pour plus d'informations, consultez la section Gestion des intégrations de produits dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserlist-finding-aggregators.

AWS CLI

Pour répertorier les widgets disponibles

L'list-finding-aggregatorsexemple suivant renvoie la configuration ARN d'agrégation de recherche.

aws securityhub list-finding-aggregators

Sortie :

{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }

Pour plus d'informations, consultez la section Affichage de la configuration actuelle de l'agrégation des résultats dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserlist-invitations.

AWS CLI

Pour afficher une liste d'invitations

L'list-invitationsexemple suivant permet de récupérer la liste des invitations envoyées au compte demandeur.

aws securityhub list-invitations

Sortie :

{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir ListInvitationsla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserlist-members.

AWS CLI

Pour récupérer la liste des comptes des membres

L'list-membersexemple suivant renvoie la liste des comptes membres pour le compte administrateur demandeur.

aws securityhub list-members

Sortie :

{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }

Pour plus d'informations, consultez la section Gestion des comptes d'administrateur et de membre dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir ListMembersla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserlist-organization-admin-accounts.

AWS CLI

Pour répertorier les comptes d'administrateur Security Hub désignés

L'list-organization-admin-accountsexemple suivant répertorie les comptes d'administrateur du Security Hub d'une organisation.

aws securityhub list-organization-admin-accounts

Sortie :

{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }

Pour plus d'informations, consultez la section Désignation d'un compte administrateur Security Hub dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserlist-security-control-definitions.

AWS CLI

Exemple 1 : pour répertorier tous les contrôles de sécurité disponibles

L'list-security-control-definitionsexemple suivant répertorie les contrôles de sécurité disponibles dans toutes les normes du Security Hub. Cet exemple limite les résultats à trois contrôles.

aws securityhub list-security-control-definitions \ --max-items 3

Sortie :

{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }

Pour plus d'informations, consultez la section Affichage des détails d'une norme dans le Guide de l'utilisateur du AWS Security Hub.

Exemple 2 : pour répertorier les contrôles de sécurité disponibles pour une norme spécifique

L'list-security-control-definitionsexemple suivant répertorie les contrôles de sécurité disponibles pour le CIS AWS Foundations Benchmark v1.4.0. Cet exemple limite les résultats à trois contrôles.

aws securityhub list-security-control-definitions \ --standards-arn "arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0" \ --max-items 3

Sortie :

{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }

Pour plus d'informations, consultez la section Affichage des détails d'une norme dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserlist-standards-control-associations.

AWS CLI

Pour obtenir le statut d'activation d'un contrôle dans chaque norme activée

L'list-standards-control-associationsexemple suivant répertorie le statut d'activation de CloudTrail .1 dans chaque norme activée.

aws securityhub list-standards-control-associations \ --security-control-id CloudTrail.1

Sortie :

{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }

Pour plus d'informations, consultez la section Activation et désactivation des contrôles dans des normes spécifiques dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserlist-tags-for-resource.

AWS CLI

Pour récupérer les balises attribuées à une ressource

L'list-tags-for-resourceexemple suivant renvoie les balises attribuées à la ressource hub spécifiée.

aws securityhub list-tags-for-resource \ --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default"

Sortie :

{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }

Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.

  • Pour API plus de détails, voir ListTagsForResourcela section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserstart-configuration-policy-association.

AWS CLI

Exemple 1 : pour associer une politique de configuration

L'start-configuration-policy-associationexemple suivant associe la politique de configuration spécifiée à l'unité organisationnelle spécifiée. Une configuration peut être associée à un compte cible, à une unité organisationnelle ou à la racine.

aws securityhub start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Sortie :

{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }

Pour plus d'informations, consultez la section Création et association de politiques de configuration de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.

Exemple 2 : pour associer une configuration autogérée

L'start-configuration-policy-associationexemple suivant associe une configuration autogérée au compte spécifié.

aws securityhub start-configuration-policy-association \ --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \ --target '{"OrganizationalUnitId": "123456789012"}'

Sortie :

{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }

Pour plus d'informations, consultez la section Création et association de politiques de configuration de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.

L'exemple de code suivant montre comment utiliserstart-configuration-policy-disassociation.

AWS CLI

Exemple 1 : pour dissocier une politique de configuration

L'start-configuration-policy-disassociationexemple suivant dissocie une politique de configuration de l'unité organisationnelle spécifiée. Une configuration peut être dissociée d'un compte cible, d'une unité organisationnelle ou de la racine.

aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez Dissocier une configuration des comptes et OUs dans le Guide de l'utilisateur du AWS Security Hub.

Exemple 2 : pour dissocier une configuration autogérée

L'start-configuration-policy-disassociationexemple suivant dissocie une configuration autogérée du compte spécifié.

aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \ --target '{"AccountId": "123456789012"}'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez Dissocier une configuration des comptes et OUs dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utilisertag-resource.

AWS CLI

Pour attribuer un tag à une ressource

L'tag-resourceexemple suivant attribue des valeurs aux balises Department et Area à la ressource hub spécifiée.

aws securityhub tag-resource \ --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default" \ --tags '{"Department":"Operations", "Area":"USMidwest"}'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.

  • Pour API plus de détails, voir TagResourcela section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliseruntag-resource.

AWS CLI

Pour supprimer une valeur de balise d'une ressource

L'untag-resourceexemple suivant supprime la balise Department de la ressource hub spécifiée.

aws securityhub untag-resource \ --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default" \ --tag-keys "Department"

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.

  • Pour API plus de détails, voir UntagResourcela section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserupdate-action-target.

AWS CLI

Pour mettre à jour une action personnalisée

L'update-action-targetexemple suivant met à jour le nom de l'action personnalisée identifiée par l'action spécifiéeARN.

aws securityhub update-action-target \ --action-target-arn "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" \ --name "Send to remediation"

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir UpdateActionTargetla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserupdate-configuration-policy.

AWS CLI

Pour mettre à jour une politique de configuration

L'update-configuration-policyexemple suivant met à jour une politique de configuration existante afin d'utiliser les paramètres spécifiés.

aws securityhub update-configuration-policy \ --identifier "arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e" \ --name "SampleConfigurationPolicyUpdated" \ --description "SampleDescriptionUpdated" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason "Disabling CloudWatch.1 and changing parameter value"

Sortie :

{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }

Pour plus d'informations, consultez la section Mise à jour des politiques de configuration de AWS Security Hub dans le Guide de l'utilisateur du Security Hub.

L'exemple de code suivant montre comment utiliserupdate-finding-aggregator.

AWS CLI

Pour mettre à jour la configuration actuelle de l'agrégation des résultats

L'update-finding-aggregatorexemple suivant modifie la configuration d'agrégation des recherches pour établir un lien à partir des régions sélectionnées. Il est géré depuis l'est des États-Unis (Virginie), qui est la région d'agrégation. Elle sélectionne l'ouest des États-Unis (Californie du Nord) et l'ouest des États-Unis (Oregon) comme régions liées.

aws securityhub update-finding-aggregator \ --region us-east-1 \ --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 \ --region-linking-mode SPECIFIED_REGIONS \ --regions us-west-1,us-west-2

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Mise à jour de la configuration d'agrégation des résultats dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserupdate-insight.

AWS CLI

Exemple 1 : pour modifier le filtre d'un aperçu personnalisé

L'update-insightexemple suivant modifie les filtres pour obtenir un aperçu personnalisé. Les informations mises à jour recherchent les résultats très graves liés aux AWS rôles.

aws securityhub update-insight \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name "High severity role findings"

Exemple 2 : pour modifier l'attribut de regroupement pour un aperçu personnalisé

L'update-insightexemple suivant modifie l'attribut de regroupement pour l'aperçu personnalisé avec la valeur spécifiéeARN. Le nouvel attribut de regroupement est l'ID de ressource.

aws securityhub update-insight \ --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --group-by-attribute "ResourceId" \ --name "Critical role findings"

Sortie :

{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }

Pour plus d'informations, consultez la section Gestion des informations personnalisées dans le Guide de l'utilisateur du AWS Security Hub.

  • Pour API plus de détails, voir UpdateInsightla section Référence des AWS CLI commandes.

L'exemple de code suivant montre comment utiliserupdate-organization-configuration.

AWS CLI

Pour mettre à jour la configuration de Security Hub pour une organisation

L'update-organization-configurationexemple suivant indique que Security Hub doit utiliser la configuration centrale pour configurer une organisation. Après avoir exécuté cette commande, l'administrateur délégué du Security Hub peut créer et gérer des politiques de configuration pour configurer l'organisation. L'administrateur délégué peut également utiliser cette commande pour passer de la configuration centrale à la configuration locale. Si la configuration locale est le type de configuration, l'administrateur délégué peut choisir d'activer automatiquement Security Hub et les normes de sécurité par défaut dans les nouveaux comptes de l'organisation.

aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Gestion des comptes auprès d' AWS Organizations dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserupdate-security-control.

AWS CLI

Pour mettre à jour les propriétés du contrôle de sécurité

L'update-security-controlexemple suivant indique des valeurs personnalisées pour un paramètre de contrôle de sécurité du Security Hub.

aws securityhub update-security-control \ --security-control-id ACM.1 \ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason "Internal compliance requirement"

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Paramètres de contrôle personnalisés dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserupdate-security-hub-configuration.

AWS CLI

Pour mettre à jour la configuration de Security Hub

L'update-security-hub-configurationexemple suivant configure Security Hub pour activer automatiquement de nouvelles commandes pour les normes activées.

aws securityhub update-security-hub-configuration \ --auto-enable-controls

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Activation automatique des nouvelles commandes dans le Guide de l'utilisateur du AWS Security Hub.

L'exemple de code suivant montre comment utiliserupdate-standards-control.

AWS CLI

Exemple 1 : pour désactiver un contrôle

L'update-standards-controlexemple suivant désactive le. PCI AutoScaling1. Contrôle.

aws securityhub update-standards-control \ --standards-control-arn "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1" \ --control-status "DISABLED" \ --disabled-reason "Not applicable for my service"

Cette commande ne produit aucun résultat.

Exemple 2 : pour activer un contrôle

L'update-standards-controlexemple suivant active lePCI. AutoScaling1. Contrôle.

aws securityhub update-standards-control \ --standards-control-arn "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1" \ --control-status "ENABLED"

Cette commande ne produit aucun résultat.

Pour plus d'informations, consultez la section Désactivation et activation des contrôles individuels dans le Guide de l'utilisateur du AWS Security Hub.