Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre les paramètres de contrôle dans Security Hub
Certaines commandes dans AWS Security Hub utiliser des paramètres qui influent sur la façon dont le contrôle est évalué. Généralement, ces contrôles sont évalués par rapport aux valeurs de paramètres par défaut définies par Security Hub. Toutefois, pour un sous-ensemble de ces contrôles, vous pouvez modifier les valeurs des paramètres. Lorsque vous modifiez la valeur d'un paramètre de contrôle, Security Hub commence à évaluer le contrôle par rapport à la valeur que vous spécifiez. Si la ressource sous-jacente au contrôle répond à la valeur personnalisée, Security Hub génère un PASSED résultat. Si la ressource ne correspond pas à la valeur personnalisée, Security Hub génère un FAILED résultat.
En personnalisant les paramètres de contrôle, vous pouvez affiner les meilleures pratiques de sécurité recommandées et surveillées par Security Hub afin de les aligner sur les exigences de votre entreprise et vos attentes en matière de sécurité. Au lieu de supprimer les résultats d'un contrôle, vous pouvez personnaliser un ou plusieurs de ses paramètres pour obtenir des résultats adaptés à vos besoins de sécurité.
Voici quelques exemples de cas d'utilisation pour modifier les paramètres de contrôle et définir des valeurs personnalisées :
[CloudWatch.16] — les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée
Vous pouvez définir la durée de conservation.
[IAM.7] — Les politiques de mot de passe pour IAM les utilisateurs doivent avoir des configurations solides
Vous pouvez définir des paramètres liés à la solidité du mot de passe.
-
[EC2.18] — Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés
Vous pouvez spécifier les ports autorisés à autoriser le trafic entrant sans restriction.
-
[Lambda.5] — Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
Vous pouvez spécifier le nombre minimum de zones de disponibilité qui produisent un résultat réussi.
Cette section décrit les éléments à prendre en compte lorsque vous modifiez les paramètres de contrôle.
Effet de la modification des valeurs des paramètres de contrôle
Lorsque vous modifiez la valeur d'un paramètre, vous déclenchez également un nouveau contrôle de sécurité qui évalue le contrôle en fonction de la nouvelle valeur. Security Hub génère ensuite de nouveaux résultats de contrôle en fonction de la nouvelle valeur. Lors des mises à jour périodiques visant à contrôler les résultats, Security Hub utilise également la nouvelle valeur du paramètre. Si vous modifiez les valeurs des paramètres d'un contrôle, mais que vous n'avez activé aucune norme incluant le contrôle, Security Hub n'effectue aucun contrôle de sécurité à l'aide des nouvelles valeurs. Vous devez activer au moins une norme pertinente pour que Security Hub évalue le contrôle en fonction de la nouvelle valeur du paramètre.
Un contrôle peut comporter un ou plusieurs paramètres personnalisables. Les types de données possibles pour chaque paramètre de contrôle sont les suivants :
Booléen
Double
Enum
EnumList
Entier
IntegerList
Chaîne
StringList
Les valeurs de paramètres personnalisées s'appliquent à toutes vos normes activées. Vous ne pouvez pas personnaliser les paramètres d'un contrôle qui n'est pas pris en charge dans votre région actuelle. Pour une liste des limites régionales pour les contrôles individuels, voirLimites régionales relatives aux contrôles du Security Hub.
Pour certaines commandes, les valeurs de paramètres acceptables doivent se situer dans une plage spécifiée pour être valides. Dans ces cas, Security Hub fournit la plage acceptable.
Security Hub choisit les valeurs des paramètres par défaut et peut parfois les mettre à jour. Une fois que vous avez personnalisé un paramètre de contrôle, sa valeur reste celle que vous avez spécifiée pour le paramètre, sauf si vous la modifiez. En d'autres termes, le paramètre arrête de suivre les mises à jour de la valeur par défaut du Security Hub, même si la valeur personnalisée du paramètre correspond à la valeur par défaut actuelle définie par Security Hub. Voici un exemple pour le contrôle [ACM.1] : les certificats importés et ACM émis doivent être renouvelés après une période spécifiée :
{ "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 30 } } } }
Dans l'exemple précédent, le daysToExpiration paramètre possède une valeur personnalisée de30. La valeur par défaut actuelle pour ce paramètre est également30. Si Security Hub remplace la valeur par défaut par14, le paramètre de cet exemple ne suivra pas cette modification. Il conservera une valeur de30.
Si vous souhaitez suivre les mises à jour de la valeur par défaut du Security Hub pour un paramètre, définissez le ValueType champ sur au DEFAULT lieu deCUSTOM. Pour de plus amples informations, veuillez consulter Revenir aux paramètres de contrôle par défaut dans un seul compte et une seule région.
Contrôles prenant en charge les paramètres personnalisés
Pour obtenir la liste des contrôles de sécurité prenant en charge les paramètres personnalisés, consultez la page Contrôles de la console Security Hub ou leRéférence des contrôles Security Hub. Pour récupérer cette liste par programmation, vous pouvez utiliser le ListSecurityControlDefinitionsopération. Dans la réponse, l'CustomizablePropertiesobjet indique quelles commandes prennent en charge les paramètres personnalisables.
