Activation d'un contrôle dans une norme spécifique - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation d'un contrôle dans une norme spécifique

Lorsque vous activez une norme dans AWS Security Hub, tous les contrôles qui s'y appliquent sont automatiquement activés dans cette norme (à l'exception des normes gérées par les services). Vous pouvez ensuite désactiver et réactiver des contrôles spécifiques dans le standard. Cependant, nous vous recommandons d'aligner le statut d'activation d'un contrôle sur l'ensemble de vos normes activées. Pour obtenir des instructions sur l'activation d'un contrôle pour toutes les normes, voirPermettre un contrôle sur l'ensemble des normes.

La page de détails d'une norme contient la liste des contrôles applicables à la norme, ainsi que des informations sur les contrôles actuellement activés et désactivés dans cette norme.

Sur la page de détails des normes, vous pouvez également activer les contrôles dans des normes spécifiques. Vous devez activer les contrôles dans des normes spécifiques séparément dans chaque Compte AWS et Région AWS. Lorsque vous activez un contrôle dans le cadre de normes spécifiques, cela n'a d'impact que sur le compte courant et la région.

Pour activer un contrôle dans une norme, vous devez d'abord activer au moins une norme à laquelle le contrôle s'applique. Pour obtenir des instructions sur l'activation d'une norme, consultezActivation d'une norme de sécurité dans Security Hub. Lorsque vous activez un contrôle dans une ou plusieurs normes, Security Hub commence à générer des résultats pour ce contrôle. Security Hub inclut l'état du contrôle dans le calcul du score de sécurité global et des scores de sécurité standard. Même si vous activez un contrôle selon plusieurs normes, vous recevrez un seul résultat par contrôle de sécurité pour toutes les normes si vous activez les résultats de contrôle consolidés. Pour plus d'informations, consultez la section Résultats de contrôle consolidés (français non garanti).

Pour activer un contrôle dans un standard, le contrôle doit être disponible dans votre région actuelle. Pour plus d'informations, voir Disponibilité des contrôles par région.

Suivez ces étapes pour activer un contrôle Security Hub dans une norme spécifique. Au lieu des étapes suivantes, vous pouvez également utiliser l'UpdateStandardsControlAPIaction pour activer les contrôles dans une norme spécifique. Pour obtenir des instructions sur l'activation d'un contrôle dans toutes les normes, voirActivation multistandard dans un seul compte et dans une région.

Security Hub console
Pour activer un contrôle dans une norme spécifique

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Choisissez Normes de sécurité dans le volet de navigation.

  3. Choisissez Afficher les résultats pour la norme correspondante.

  4. Sélectionnez un contrôle.

  5. Choisissez Activer le contrôle (cette option n'apparaît pas pour un contrôle déjà activé). Confirmez en choisissant Activer.

Security Hub API
Pour activer un contrôle dans une norme spécifique

  1. ListSecurityControlDefinitionsExécutez et fournissez une norme ARN pour obtenir une liste des commandes disponibles pour une norme spécifique. Pour obtenir une normeARN, exécutez DescribeStandards. Cela API renvoie un contrôle de sécurité indépendant de la normeIDs, et non un contrôle spécifique à une norme. IDs

    Exemple de demande :

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Exécutez ListStandardsControlAssociations et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.

    Exemple de demande :

    {
    "SecurityControlId": "IAM.1"
}

  3. Exécutez BatchUpdateStandardsControlAssociations. Indiquez ARN le standard dans lequel vous souhaitez activer le contrôle.

  4. Définissez le AssociationStatus paramètre comme étant égal àENABLED.

    Exemple de demande :

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
AWS CLI
Pour activer un contrôle dans une norme spécifique

  1. Exécutez la list-security-control-definitions commande et fournissez une norme ARN pour obtenir la liste des contrôles disponibles pour une norme spécifique. Pour obtenir une normeARN, exécutezdescribe-standards. Cette commande renvoie un contrôle de sécurité indépendant de la normeIDs, et non un contrôle spécifique à une norme. IDs

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Exécutez la list-standards-control-associations commande et fournissez un ID de contrôle spécifique pour renvoyer l'état d'activation actuel d'un contrôle dans chaque norme.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Exécutez la commande batch-update-standards-control-associations. Indiquez ARN le standard dans lequel vous souhaitez activer le contrôle.

  4. Définissez le AssociationStatus paramètre comme étant égal àENABLED.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'