Dokumentasi ini AWS CLI hanya untuk Versi 1. Untuk dokumentasi yang terkait dengan Versi 2 AWS CLI, lihat Panduan Pengguna Versi 2.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh Security Hub menggunakan AWS CLI
Contoh kode berikut menunjukkan cara melakukan tindakan dan mengimplementasikan skenario umum dengan menggunakan AWS Command Line Interface with Security Hub.
Tindakan adalah kutipan kode dari program yang lebih besar dan harus dijalankan dalam konteks. Sementara tindakan menunjukkan cara memanggil fungsi layanan individual, Anda dapat melihat tindakan dalam konteks dalam skenario terkait.
Setiap contoh menyertakan tautan ke kode sumber lengkap, di mana Anda dapat menemukan instruksi tentang cara mengatur dan menjalankan kode dalam konteks.
Topik
Tindakan
Contoh kode berikut menunjukkan cara menggunakanaccept-administrator-invitation
.
- AWS CLI
-
Untuk menerima undangan dari akun administrator
accept-administrator-invitation
Contoh berikut menerima undangan yang ditentukan dari akun administrator yang ditentukan.aws securityhub accept-invitation \ --administrator-id
123456789012
\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4eb
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat AcceptAdministratorInvitation
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanaccept-invitation
.
- AWS CLI
-
Untuk menerima undangan dari akun administrator
accept-invitation
Contoh berikut menerima undangan yang ditentukan dari akun administrator yang ditentukan.aws securityhub accept-invitation \ --master-id
123456789012
\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4eb
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat AcceptInvitation
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-delete-automation-rules
.
- AWS CLI
-
Untuk menghapus aturan otomatisasi
batch-delete-automation-rules
Contoh berikut menghapus aturan otomatisasi yang ditentukan. Anda dapat menghapus satu atau beberapa aturan dengan satu perintah. Hanya akun administrator Security Hub yang dapat menjalankan perintah ini.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '
["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]
'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }
Untuk informasi selengkapnya, lihat Menghapus aturan otomatisasi di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchDeleteAutomationRules
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-disable-standards
.
- AWS CLI
-
Untuk menonaktifkan standar
batch-disable-standards
Contoh berikut menonaktifkan standar yang terkait dengan langganan ARN yang ditentukan.aws securityhub batch-disable-standards \ --standards-subscription-arns
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Untuk informasi selengkapnya, lihat Menonaktifkan atau mengaktifkan standar keamanan di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchDisableStandards
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-enable-standards
.
- AWS CLI
-
Untuk mengaktifkan standar
batch-enable-standards
Contoh berikut memungkinkan PCI DSS standar untuk akun yang meminta.aws securityhub batch-enable-standards \ --standards-subscription-requests '
{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}
'Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Untuk informasi selengkapnya, lihat Menonaktifkan atau mengaktifkan standar keamanan di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchEnableStandards
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-get-automation-rules
.
- AWS CLI
-
Untuk mendapatkan detail untuk aturan otomatisasi
batch-get-automation-rules
Contoh berikut mendapatkan rincian untuk aturan otomatisasi yang ditentukan. Anda bisa mendapatkan detail untuk satu atau lebih aturan otomatisasi dengan satu perintah.aws securityhub batch-get-automation-rules \ --automation-rules-arns '
["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]
'Output:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }
Untuk informasi selengkapnya, lihat Melihat aturan otomatisasi di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchGetAutomationRules
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-get-configuration-policy-associations
.
- AWS CLI
-
Untuk mendapatkan detail asosiasi konfigurasi untuk sejumlah target
batch-get-configuration-policy-associations
Contoh berikut mengambil rincian asosiasi untuk target yang ditentukan. Anda dapat memberikan akunIDs, unit organisasiIDs, atau ID root untuk target.aws securityhub batch-get-configuration-policy-associations \ --target '
{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }
Untuk informasi selengkapnya, lihat Melihat kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchGetConfigurationPolicyAssociations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-get-security-controls
.
- AWS CLI
-
Untuk mendapatkan detail kontrol keamanan
batch-get-security-controls
Contoh berikut mendapatkan detail untuk kontrol keamanan ACM .1 dan IAM .1 di AWS akun saat ini dan AWS Wilayah.aws securityhub batch-get-security-controls \ --security-control-ids '
["ACM.1", "IAM.1"]
'Output:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }
Untuk informasi selengkapnya, lihat Melihat detail untuk kontrol di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchGetSecurityControls
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-get-standards-control-associations
.
- AWS CLI
-
Untuk mendapatkan status pemberdayaan kontrol
batch-get-standards-control-associations
Contoh berikut mengidentifikasi apakah kontrol yang ditentukan diaktifkan dalam standar yang ditentukan.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '
[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]
'Output:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }
Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan kontrol dalam standar tertentu di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchGetStandardsControlAssociations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-import-findings
.
- AWS CLI
-
Untuk memperbarui temuan
batch-import-findings
Contoh berikut memperbarui temuan.aws securityhub batch-import-findings \ --findings '
[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]
'Output:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }
Untuk informasi selengkapnya, lihat Menggunakan BatchImportFindings untuk membuat dan memperbarui temuan di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchImportFindings
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-update-automation-rules
.
- AWS CLI
-
Untuk memperbarui aturan otomatisasi
batch-update-automation-rules
Contoh berikut memperbarui aturan otomatisasi yang ditentukan. Anda dapat memperbarui satu atau beberapa aturan dengan satu perintah. Hanya akun administrator Security Hub yang dapat menjalankan perintah ini.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '
[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]
'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }
Untuk informasi selengkapnya, lihat Mengedit aturan otomatisasi di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchUpdateAutomationRules
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-update-findings
.
- AWS CLI
-
Contoh 1: Untuk memperbarui temuan
batch-update-findings
Contoh berikut memperbarui dua temuan untuk menambahkan catatan, mengubah label keparahan, dan menyelesaikannya.aws securityhub batch-update-findings \ --finding-identifiers '
[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]
' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}
' \ --severity '{"Label": "LOW"}
' \ --workflow '{"Status": "RESOLVED"}
'Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }
Untuk informasi selengkapnya, lihat Menggunakan BatchUpdateFindings untuk memperbarui temuan di Panduan Pengguna AWS Security Hub.
Contoh 2: Untuk memperbarui temuan menggunakan sintaks singkatan
batch-update-findings
Contoh berikut memperbarui dua temuan untuk menambahkan catatan, mengubah label keparahan, dan menyelesaikannya menggunakan sintaks singkatan.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"
Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }
Untuk informasi selengkapnya, lihat Menggunakan BatchUpdateFindings untuk memperbarui temuan di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat BatchUpdateFindings
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanbatch-update-standards-control-associations
.
- AWS CLI
-
Untuk memperbarui status pemberdayaan kontrol dalam standar yang diaktifkan
batch-update-standards-control-associations
Contoh berikut menonaktifkan CloudTrail .1 dalam standar yang ditentukan.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '
[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]
'Perintah ini tidak menghasilkan output saat berhasil.
Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan kontrol dalam standar tertentu serta Mengaktifkan dan menonaktifkan kontrol di semua standar dalam Panduan Pengguna Security Hub.AWS
-
Untuk API detailnya, lihat BatchUpdateStandardsControlAssociations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-action-target
.
- AWS CLI
-
Untuk membuat tindakan kustom
create-action-target
Contoh berikut membuat tindakan kustom. Ini memberikan nama, deskripsi, dan pengidentifikasi untuk tindakan tersebut.aws securityhub create-action-target \ --name
"Send to remediation"
\ --description"Action to send the finding for remediation tracking"
\ --id"Remediation"
Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }
Untuk informasi selengkapnya, lihat Membuat tindakan kustom dan mengaitkannya dengan aturan CloudWatch Peristiwa di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat CreateActionTarget
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-automation-rule
.
- AWS CLI
-
Untuk membuat aturan otomatisasi
create-automation-rule
Contoh berikut membuat aturan otomatisasi di AWS akun saat ini dan AWS Wilayah. Security Hub memfilter temuan Anda berdasarkan kriteria yang ditentukan dan menerapkan tindakan pada temuan yang cocok. Hanya akun administrator Security Hub yang dapat menjalankan perintah ini.aws securityhub create-automation-rule \ --actions '
[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]
' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }
' \ --description"A sample rule"
\ --no-is-terminal \ --rule-name"sample rule"
\ --rule-order1
\ --rule-status"ENABLED"
Output:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Untuk informasi selengkapnya, lihat Membuat aturan otomatisasi di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat CreateAutomationRule
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-configuration-policy
.
- AWS CLI
-
Untuk membuat kebijakan konfigurasi
create-configuration-policy
Contoh berikut membuat kebijakan konfigurasi dengan pengaturan yang ditentukan.aws securityhub create-configuration-policy \ --name
"SampleConfigurationPolicy"
\ --description"SampleDescription"
\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}
' \ --tags '{"Environment": "Prod"}
'Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
Untuk informasi selengkapnya, lihat Membuat dan mengaitkan kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat CreateConfigurationPolicy
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-finding-aggregator
.
- AWS CLI
-
Untuk mengaktifkan menemukan agregasi
create-finding-aggregator
Contoh berikut mengkonfigurasi agregasi pencarian. Dijalankan dari US East (Virginia), yang menunjuk US East (Virginia) sebagai Wilayah agregasi. Ini menunjukkan untuk hanya menautkan Wilayah tertentu, dan untuk tidak secara otomatis menautkan Wilayah baru. Ini memilih AS Barat (California N.) dan AS Barat (Oregon) sebagai Wilayah terkait.aws securityhub create-finding-aggregator \ --region
us-east-1
\ --region-linking-modeSPECIFIED_REGIONS
\ --regionsus-west-1,us-west-2
Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }
Untuk informasi selengkapnya, lihat Mengaktifkan agregasi pencarian di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat CreateFindingAggregator
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-insight
.
- AWS CLI
-
Untuk membuat wawasan khusus
create-insight
Contoh berikut menciptakan wawasan khusus bernama Temuan peran kritis yang mengembalikan temuan penting yang terkait dengan AWS peran.aws securityhub create-insight \ --filters '
{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}
' \ --group-by-attribute"ResourceId"
\ --name"Critical role findings"
Output:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Untuk informasi selengkapnya, lihat Mengelola wawasan khusus di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat CreateInsight
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-members
.
- AWS CLI
-
Untuk menambahkan akun sebagai akun anggota
create-members
Contoh berikut menambahkan dua akun sebagai akun anggota ke akun administrator yang meminta.aws securityhub create-members \ --account-details '
[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]
'Output:
{ "UnprocessedAccounts": [] }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat CreateMembers
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandecline-invitations
.
- AWS CLI
-
Untuk menolak undangan menjadi akun anggota
decline-invitations
Contoh berikut menolak undangan untuk menjadi akun anggota dari akun administrator yang ditentukan. Akun anggota adalah akun yang meminta.aws securityhub decline-invitations \ --account-ids
"123456789012"
Output:
{ "UnprocessedAccounts": [] }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DeclineInvitations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-action-target
.
- AWS CLI
-
Untuk menghapus tindakan kustom
delete-action-target
Contoh berikut menghapus tindakan kustom yang diidentifikasi oleh yang ditentukanARN.aws securityhub delete-action-target \ --action-target-arn
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }
Untuk informasi selengkapnya, lihat Membuat tindakan kustom dan mengaitkannya dengan aturan CloudWatch Peristiwa di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DeleteActionTarget
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-configuration-policy
.
- AWS CLI
-
Untuk menghapus kebijakan konfigurasi
delete-configuration-policy
Contoh berikut menghapus kebijakan konfigurasi yang ditentukan.aws securityhub delete-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menghapus dan melepaskan kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DeleteConfigurationPolicy
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-finding-aggregator
.
- AWS CLI
-
Untuk berhenti menemukan agregasi
delete-finding-aggregator
Contoh berikut berhenti menemukan agregasi. Dijalankan dari US East (Virginia), yang merupakan Wilayah agregasi.aws securityhub delete-finding-aggregator \ --region
us-east-1
\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Berhenti menemukan agregasi di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DeleteFindingAggregator
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-insight
.
- AWS CLI
-
Untuk menghapus wawasan kustom
delete-insight
Contoh berikut menghapus wawasan kustom dengan yang ditentukanARN.aws securityhub delete-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Output:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }
Untuk informasi selengkapnya, lihat Mengelola wawasan khusus di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DeleteInsight
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-invitations
.
- AWS CLI
-
Untuk menghapus undangan untuk menjadi akun anggota
delete-invitations
Contoh berikut menghapus undangan untuk menjadi akun anggota untuk akun administrator yang ditentukan. Akun anggota adalah akun yang meminta.aws securityhub delete-invitations \ --account-ids
"123456789012"
Output:
{ "UnprocessedAccounts": [] }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DeleteInvitations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-members
.
- AWS CLI
-
Untuk menghapus akun anggota
delete-members
Contoh berikut menghapus akun anggota yang ditentukan dari akun administrator yang meminta.aws securityhub delete-members \ --account-ids
"123456789111"
"123456789222"
Output:
{ "UnprocessedAccounts": [] }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DeleteMembers
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-action-targets
.
- AWS CLI
-
Untuk mengambil detail tentang tindakan kustom
describe-action-targets
Contoh berikut mengambil informasi tentang tindakan kustom yang diidentifikasi oleh yang ditentukanARN.aws securityhub describe-action-targets \ --action-target-arns
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
Output:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }
Untuk informasi selengkapnya, lihat Membuat tindakan kustom dan mengaitkannya dengan aturan CloudWatch Peristiwa di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DescribeActionTargets
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-hub
.
- AWS CLI
-
Untuk mendapatkan informasi tentang sumber daya hub
describe-hub
Contoh berikut mengembalikan tanggal berlangganan untuk sumber daya hub yang ditentukan. Sumber daya hub diidentifikasi oleh nyaARN.aws securityhub describe-hub \ --hub-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
Output:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }
Untuk informasi selengkapnya, lihat AWS:SecurityHub:: :Hub di Panduan AWS CloudFormation Pengguna.
-
Untuk API detailnya, lihat DescribeHub
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-organization-configuration
.
- AWS CLI
-
Untuk melihat cara Security Hub dikonfigurasi untuk organisasi
describe-organization-configuration
Contoh berikut menampilkan informasi tentang cara organisasi dikonfigurasi di Security Hub. Dalam contoh ini, organisasi menggunakan konfigurasi pusat. Hanya akun administrator Security Hub yang dapat menjalankan perintah ini.aws securityhub describe-organization-configuration
Output:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }
Untuk informasi selengkapnya, lihat Mengelola akun dengan AWS Organizations di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DescribeOrganizationConfiguration
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-products
.
- AWS CLI
-
Untuk mengembalikan informasi tentang integrasi produk yang tersedia
describe-products
Contoh berikut mengembalikan integrasi produk yang tersedia satu per satu.aws securityhub describe-products \ --max-results
1
Output:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }
Untuk informasi selengkapnya, lihat Mengelola integrasi produk di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DescribeProducts
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-standards-controls
.
- AWS CLI
-
Untuk meminta daftar kontrol dalam standar yang diaktifkan
describe-standards-controls
Contoh berikut meminta daftar kontrol dalam langganan akun pemohon ke standar. PCI DSS Permintaan mengembalikan dua kontrol sekaligus.aws securityhub describe-standards-controls \ --standards-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
\ --max-results2
Output:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }
Untuk informasi selengkapnya, lihat Melihat detail untuk kontrol di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DescribeStandardsControls
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandescribe-standards
.
- AWS CLI
-
Untuk mengembalikan daftar standar yang tersedia
describe-standards
Contoh berikut mengembalikan daftar standar yang tersedia.aws securityhub describe-standards
Output:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }
Untuk informasi selengkapnya, lihat Standar keamanan di AWS Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DescribeStandards
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisable-import-findings-for-product
.
- AWS CLI
-
Untuk berhenti menerima temuan dari integrasi produk
disable-import-findings-for-product
Contoh berikut menonaktifkan aliran temuan untuk langganan yang ditentukan untuk integrasi produk.aws securityhub disable-import-findings-for-product \ --product-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengelola integrasi produk di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DisableImportFindingsForProduct
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisable-organization-admin-account
.
- AWS CLI
-
Untuk menghapus akun administrator Security Hub
disable-organization-admin-account
Contoh berikut mencabut penetapan akun yang ditentukan sebagai akun administrator Security Hub untuk Organizations AWS .aws securityhub disable-organization-admin-account \ --admin-account-id
777788889999
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menetapkan akun administrator Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DisableOrganizationAdminAccount
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisable-security-hub
.
- AWS CLI
-
Untuk menonaktifkan AWS Security Hub
disable-security-hub
Contoh berikut menonaktifkan AWS Security Hub untuk akun yang meminta.aws securityhub disable-security-hub
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menonaktifkan AWS Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DisableSecurityHub
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisassociate-from-administrator-account
.
- AWS CLI
-
Untuk memisahkan diri dari akun administrator
disassociate-from-administrator-account
Contoh berikut memisahkan akun yang meminta dari akun administrator saat ini.aws securityhub disassociate-from-administrator-account
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DisassociateFromAdministratorAccount
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisassociate-from-master-account
.
- AWS CLI
-
Untuk memisahkan diri dari akun administrator
disassociate-from-master-account
Contoh berikut memisahkan akun yang meminta dari akun administrator saat ini.aws securityhub disassociate-from-master-account
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DisassociateFromMasterAccount
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandisassociate-members
.
- AWS CLI
-
Untuk memisahkan akun anggota
disassociate-members
Contoh berikut memisahkan akun anggota yang ditentukan dari akun administrator yang meminta.aws securityhub disassociate-members \ --account-ids
"123456789111"
"123456789222"
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat DisassociateMembers
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanenable-import-findings-for-product
.
- AWS CLI
-
Untuk mulai menerima temuan dari integrasi produk
enable-import-findings-for-product
Contoh berikut memungkinkan aliran temuan dari integrasi produk yang ditentukan.aws securityhub enable-import-findings-for-product \ --product-arn
"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"
Output:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }
Untuk informasi selengkapnya, lihat Mengelola integrasi produk di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat EnableImportFindingsForProduct
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanenable-organization-admin-account
.
- AWS CLI
-
Untuk menetapkan akun organisasi sebagai akun administrator Security Hub
enable-organization-admin-account
Contoh berikut menunjuk akun yang ditentukan sebagai akun administrator Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id
777788889999
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menetapkan akun administrator Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat EnableOrganizationAdminAccount
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanenable-security-hub
.
- AWS CLI
-
Untuk mengaktifkan AWS Security Hub
enable-security-hub
Contoh berikut memungkinkan AWS Security Hub untuk akun yang meminta. Ini mengkonfigurasi Security Hub untuk mengaktifkan standar default. Untuk sumber daya hub, ia memberikan nilaiSecurity
ke tagDepartment
.aws securityhub enable-security-hub \ --enable-default-standards \ --tags '
{"Department": "Security"}
'Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengaktifkan Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat EnableSecurityHub
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-administrator-account
.
- AWS CLI
-
Untuk mengambil informasi tentang akun administrator
get-administrator-account
Contoh berikut mengambil informasi tentang akun administrator untuk akun yang meminta.aws securityhub get-administrator-account
Output:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetAdministratorAccount
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-configuration-policy-association
.
- AWS CLI
-
Untuk mendapatkan detail asosiasi konfigurasi untuk target
get-configuration-policy-association
Contoh berikut mengambil rincian asosiasi untuk target yang ditentukan. Anda dapat memberikan ID akun, ID unit organisasi, atau ID root untuk target.aws securityhub get-configuration-policy-association \ --target '
{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }
Untuk informasi selengkapnya, lihat Melihat kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetConfigurationPolicyAssociation
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-configuration-policy
.
- AWS CLI
-
Untuk melihat detail kebijakan konfigurasi
get-configuration-policy
Contoh berikut mengambil rincian tentang kebijakan konfigurasi yang ditentukan.aws securityhub get-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }
Untuk informasi selengkapnya, lihat Melihat kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetConfigurationPolicy
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-enabled-standards
.
- AWS CLI
-
Untuk mengambil informasi tentang standar yang diaktifkan
get-enabled-standards
Contoh berikut mengambil informasi tentang PCI DSS standar.aws securityhub get-enabled-standards \ --standards-subscription-arn
"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }
Untuk informasi selengkapnya, lihat Standar keamanan di AWS Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetEnabledStandards
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-finding-aggregator
.
- AWS CLI
-
Untuk mengambil konfigurasi agregasi temuan saat ini
get-finding-aggregator
Contoh berikut mengambil konfigurasi agregasi temuan saat ini.aws securityhub get-finding-aggregator \ --finding-aggregator-arn
arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }
Untuk informasi selengkapnya, lihat Melihat konfigurasi agregasi temuan saat ini di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetFindingAggregator
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-finding-history
.
- AWS CLI
-
Untuk menemukan sejarah
get-finding-history
Contoh berikut mencapai 90 hari terakhir sejarah untuk temuan yang ditentukan. Dalam contoh ini, hasilnya terbatas pada dua catatan sejarah penemuan.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"
Output:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }
Untuk informasi selengkapnya, lihat Menemukan riwayat di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetFindingHistory
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-findings
.
- AWS CLI
-
Contoh 1: Untuk mengembalikan temuan yang dihasilkan untuk standar tertentu
get-findings
Contoh berikut mengembalikan temuan untuk PCI DSS standar.aws securityhub get-findings \ --filters '
{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}
' \ --max-items1
Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }
Contoh 2: Untuk mengembalikan temuan tingkat keparahan kritis yang memiliki status alur kerja sebesar NOTIFIED
get-findings
Contoh berikut mengembalikan temuan yang memiliki nilai label keparahan CRITICAL dan status alur kerja. NOTIFIED Hasilnya diurutkan dalam urutan menurun berdasarkan nilai Keyakinan.aws securityhub get-findings \ --filters '
{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}
' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}
' \ --max-items1
Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }
Untuk informasi selengkapnya, lihat Memfilter dan mengelompokkan temuan di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetFindings
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-insight-results
.
- AWS CLI
-
Untuk mengambil hasil untuk wawasan
get-insight-results
Contoh berikut mengembalikan daftar hasil wawasan untuk wawasan dengan yang ditentukanARN.aws securityhub get-insight-results \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Output:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }
Untuk informasi selengkapnya, lihat Melihat dan mengambil tindakan terhadap hasil dan temuan wawasan di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetInsightResults
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-insights
.
- AWS CLI
-
Untuk mengambil detail tentang wawasan
get-insights
Contoh berikut mengambil detail konfigurasi untuk wawasan dengan yang ditentukanARN.aws securityhub get-insights \ --insight-arns
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Output:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }
Untuk informasi selengkapnya, lihat Wawasan di AWS Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetInsights
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-invitations-count
.
- AWS CLI
-
Untuk mengambil jumlah undangan yang tidak diterima
get-invitations-count
Contoh berikut mengambil jumlah undangan yang ditolak atau tidak ditanggapi oleh akun yang meminta.aws securityhub get-invitations-count
Output:
{ "InvitationsCount": 3 }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetInvitationsCount
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-master-account
.
- AWS CLI
-
Untuk mengambil informasi tentang akun administrator
get-master-account
Contoh berikut mengambil informasi tentang akun administrator untuk akun yang meminta.aws securityhub get-master-account
Output:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetMasterAccount
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-members
.
- AWS CLI
-
Untuk mengambil informasi tentang akun anggota yang dipilih
get-members
Contoh berikut mengambil informasi tentang akun anggota yang ditentukan.aws securityhub get-members \ --account-ids
"444455556666"
"777788889999"
Output:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetMembers
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-security-control-definition
.
- AWS CLI
-
Untuk mendapatkan detail definisi kontrol keamanan
get-security-control-definition
Contoh berikut mengambil rincian definisi untuk kontrol keamanan Security Hub. Detail termasuk judul kontrol, deskripsi, ketersediaan Wilayah, parameter, dan informasi lainnya.aws securityhub get-security-control-definition \ --security-control-id
ACM.1
Output:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }
Untuk informasi selengkapnya, lihat Parameter kontrol khusus di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat GetSecurityControlDefinition
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakaninvite-members
.
- AWS CLI
-
Untuk mengirim undangan ke akun anggota
invite-members
Contoh berikut mengirimkan undangan ke akun anggota yang ditentukan.aws securityhub invite-members \ --account-ids
"123456789111"
"123456789222"
Output:
{ "UnprocessedAccounts": [] }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat InviteMembers
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-automation-rules
.
- AWS CLI
-
Untuk melihat daftar aturan otomatisasi
list-automation-rules
Contoh berikut mencantumkan aturan otomatisasi untuk AWS akun. Hanya akun administrator Security Hub yang dapat menjalankan perintah ini.aws securityhub list-automation-rules \ --max-results
3
\ --next-tokenNULL
Output:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }
Untuk informasi selengkapnya, lihat Melihat aturan otomatisasi di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListAutomationRules
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-configuration-policies
.
- AWS CLI
-
Untuk membuat daftar ringkasan kebijakan konfigurasi
list-configuration-policies
Contoh berikut mencantumkan ringkasan kebijakan konfigurasi untuk organisasi.aws securityhub list-configuration-policies \ --max-items
3
Output:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }
Untuk informasi selengkapnya, lihat Melihat kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListConfigurationPolicies
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-configuration-policy-associations
.
- AWS CLI
-
Untuk membuat daftar asosiasi konfigurasi
list-configuration-policy-associations
Contoh berikut mencantumkan ringkasan asosiasi konfigurasi untuk organisasi. Tanggapan tersebut mencakup asosiasi dengan kebijakan konfigurasi dan perilaku yang dikelola sendiri.aws securityhub list-configuration-policy-associations \ --association-type
"APPLIED"
\ --max-items4
Output:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }
Untuk informasi selengkapnya, lihat Melihat kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListConfigurationPolicyAssociations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-enabled-products-for-import
.
- AWS CLI
-
Untuk mengembalikan daftar integrasi produk yang diaktifkan
list-enabled-products-for-import
Contoh berikut mengembalikan daftar langganan ARNS untuk integrasi produk yang saat ini diaktifkan.aws securityhub list-enabled-products-for-import
Output:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }
Untuk informasi selengkapnya, lihat Mengelola integrasi produk di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListEnabledProductsForImport
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-finding-aggregators
.
- AWS CLI
-
Untuk daftar widget yang tersedia
list-finding-aggregators
Contoh berikut mengembalikan ARN konfigurasi agregasi temuan.aws securityhub list-finding-aggregators
Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }
Untuk informasi selengkapnya, lihat Melihat konfigurasi agregasi temuan saat ini di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListFindingAggregators
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-invitations
.
- AWS CLI
-
Untuk menampilkan daftar undangan
list-invitations
Contoh berikut mengambil daftar undangan yang dikirim ke akun yang meminta.aws securityhub list-invitations
Output:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListInvitations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-members
.
- AWS CLI
-
Untuk mengambil daftar akun anggota
list-members
Contoh berikut mengembalikan daftar akun anggota untuk akun administrator meminta.aws securityhub list-members
Output:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }
Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListMembers
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-organization-admin-accounts
.
- AWS CLI
-
Untuk mencantumkan akun administrator Security Hub yang ditunjuk
list-organization-admin-accounts
Contoh berikut mencantumkan akun administrator Security Hub untuk organisasi.aws securityhub list-organization-admin-accounts
Output:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }
Untuk informasi selengkapnya, lihat Menetapkan akun administrator Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListOrganizationAdminAccounts
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-security-control-definitions
.
- AWS CLI
-
Contoh 1: Untuk daftar semua kontrol keamanan yang tersedia
list-security-control-definitions
Contoh berikut mencantumkan kontrol keamanan yang tersedia di semua standar Security Hub. Contoh ini membatasi hasil hingga tiga kontrol.aws securityhub list-security-control-definitions \ --max-items
3
Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }
Untuk informasi selengkapnya, lihat Melihat detail untuk standar di Panduan Pengguna AWS Security Hub.
Contoh 2: Untuk daftar kontrol keamanan yang tersedia untuk standar tertentu
list-security-control-definitions
Contoh berikut mencantumkan kontrol keamanan yang tersedia untuk CIS AWS Foundations Benchmark v1.4.0. Contoh ini membatasi hasil hingga tiga kontrol.aws securityhub list-security-control-definitions \ --standards-arn
"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"
\ --max-items3
Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }
Untuk informasi selengkapnya, lihat Melihat detail untuk standar di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListSecurityControlDefinitions
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-standards-control-associations
.
- AWS CLI
-
Untuk mendapatkan status pemberdayaan kontrol di setiap standar yang diaktifkan
list-standards-control-associations
Contoh berikut mencantumkan status pemberdayaan CloudTrail .1 di setiap standar yang diaktifkan.aws securityhub list-standards-control-associations \ --security-control-id
CloudTrail.1
Output:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }
Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan kontrol dalam standar tertentu di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat ListStandardsControlAssociations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-tags-for-resource
.
- AWS CLI
-
Untuk mengambil tag yang ditetapkan ke sumber daya
list-tags-for-resource
Contoh berikut mengembalikan tag yang ditetapkan ke sumber daya hub tertentu.aws securityhub list-tags-for-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
Output:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }
Untuk informasi selengkapnya, lihat AWS:SecurityHub:: :Hub di Panduan AWS CloudFormation Pengguna.
-
Untuk API detailnya, lihat ListTagsForResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanstart-configuration-policy-association
.
- AWS CLI
-
Contoh 1: Untuk mengaitkan kebijakan konfigurasi
start-configuration-policy-association
Contoh berikut mengaitkan kebijakan konfigurasi yang ditentukan dengan unit organisasi yang ditentukan. Konfigurasi dapat dikaitkan dengan akun target, unit organisasi, atau root.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }
Untuk informasi selengkapnya, lihat Membuat dan mengaitkan kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
Contoh 2: Untuk mengaitkan konfigurasi yang dikelola sendiri
start-configuration-policy-association
Contoh berikut mengaitkan konfigurasi yang dikelola sendiri dengan akun yang ditentukan.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier
"SELF_MANAGED_SECURITY_HUB"
\ --target '{"OrganizationalUnitId": "123456789012"}
'Output:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }
Untuk informasi selengkapnya, lihat Membuat dan mengaitkan kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat StartConfigurationPolicyAssociation
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanstart-configuration-policy-disassociation
.
- AWS CLI
-
Contoh 1: Untuk memisahkan kebijakan konfigurasi
start-configuration-policy-disassociation
Contoh berikut memisahkan kebijakan konfigurasi dari unit organisasi yang ditentukan. Konfigurasi dapat dipisahkan dari akun target, unit organisasi, atau root.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier
"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}
'Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Memisahkan konfigurasi dari akun dan OUs di Panduan Pengguna AWS Security Hub.
Contoh 2: Untuk memisahkan konfigurasi yang dikelola sendiri
start-configuration-policy-disassociation
Contoh berikut memisahkan konfigurasi yang dikelola sendiri dari akun yang ditentukan.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier
"SELF_MANAGED_SECURITY_HUB"
\ --target '{"AccountId": "123456789012"}
'Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Memisahkan konfigurasi dari akun dan OUs di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat StartConfigurationPolicyDisassociation
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakantag-resource
.
- AWS CLI
-
Untuk menetapkan tag ke sumber daya
tag-resource
Contoh berikut menetapkan nilai untuk tag Departemen dan Area ke sumber daya hub yang ditentukan.aws securityhub tag-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
\ --tags '{"Department":"Operations", "Area":"USMidwest"}
'Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat AWS:SecurityHub:: :Hub di Panduan AWS CloudFormation Pengguna.
-
Untuk API detailnya, lihat TagResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanuntag-resource
.
- AWS CLI
-
Untuk menghapus nilai tag dari sumber daya
untag-resource
Contoh berikut menghapus tag Department dari sumber daya hub yang ditentukan.aws securityhub untag-resource \ --resource-arn
"arn:aws:securityhub:us-west-1:123456789012:hub/default"
\ --tag-keys"Department"
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat AWS:SecurityHub:: :Hub di Panduan AWS CloudFormation Pengguna.
-
Untuk API detailnya, lihat UntagResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-action-target
.
- AWS CLI
-
Untuk memperbarui tindakan kustom
update-action-target
Contoh berikut memperbarui nama tindakan kustom yang diidentifikasi oleh yang ditentukanARN.aws securityhub update-action-target \ --action-target-arn
"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
\ --name"Send to remediation"
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Membuat tindakan kustom dan mengaitkannya dengan aturan CloudWatch Peristiwa di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateActionTarget
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-configuration-policy
.
- AWS CLI
-
Untuk memperbarui kebijakan konfigurasi
update-configuration-policy
Contoh berikut memperbarui kebijakan konfigurasi yang ada untuk menggunakan pengaturan yang ditentukan.aws securityhub update-configuration-policy \ --identifier
"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"
\ --name"SampleConfigurationPolicyUpdated"
\ --description"SampleDescriptionUpdated"
\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}
' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"
Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }
Untuk informasi selengkapnya, lihat Memperbarui kebijakan konfigurasi Security Hub di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateConfigurationPolicy
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-finding-aggregator
.
- AWS CLI
-
Untuk memperbarui konfigurasi agregasi temuan saat ini
update-finding-aggregator
Contoh berikut mengubah konfigurasi agregasi temuan untuk menautkan dari Wilayah yang dipilih. Dijalankan dari US East (Virginia), yang merupakan Wilayah agregasi. Ini memilih AS Barat (California N.) dan AS Barat (Oregon) sebagai Wilayah terkait.aws securityhub update-finding-aggregator \ --region
us-east-1
\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
\ --region-linking-modeSPECIFIED_REGIONS
\ --regionsus-west-1,us-west-2
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Memperbarui konfigurasi agregasi pencarian di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateFindingAggregator
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-insight
.
- AWS CLI
-
Contoh 1: Untuk mengubah filter untuk wawasan kustom
update-insight
Contoh berikut mengubah filter untuk wawasan kustom. Wawasan yang diperbarui mencari temuan dengan tingkat keparahan tinggi yang terkait dengan AWS peran.aws securityhub update-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}
' \ --name"High severity role findings"
Contoh 2: Untuk mengubah atribut pengelompokan untuk wawasan kustom
update-insight
Contoh berikut mengubah atribut pengelompokan untuk wawasan kustom dengan yang ditentukanARN. Atribut pengelompokan baru adalah ID sumber daya.aws securityhub update-insight \ --insight-arn
"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
\ --group-by-attribute"ResourceId"
\ --name"Critical role findings"
Output:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }
Untuk informasi selengkapnya, lihat Mengelola wawasan khusus di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateInsight
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-organization-configuration
.
- AWS CLI
-
Untuk memperbarui cara Security Hub dikonfigurasi untuk organisasi
update-organization-configuration
Contoh berikut menentukan bahwa Security Hub harus menggunakan konfigurasi pusat untuk mengkonfigurasi organisasi. Setelah menjalankan perintah ini, administrator Security Hub yang didelegasikan dapat membuat dan mengelola kebijakan konfigurasi untuk mengonfigurasi organisasi. Administrator yang didelegasikan juga dapat menggunakan perintah ini untuk beralih dari konfigurasi pusat ke lokal. Jika konfigurasi lokal adalah tipe konfigurasi, administrator yang didelegasikan dapat memilih apakah akan mengaktifkan Security Hub secara otomatis dan standar keamanan default di akun organisasi baru.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '
{"ConfigurationType": "CENTRAL"}
'Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengelola akun dengan AWS Organizations di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateOrganizationConfiguration
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-security-control
.
- AWS CLI
-
Untuk memperbarui properti kontrol keamanan
update-security-control
Contoh berikut menentukan nilai kustom untuk parameter kontrol keamanan Security Hub.aws securityhub update-security-control \ --security-control-id
ACM.1
\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}
' \ --last-update-reason"Internal compliance requirement"
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Parameter kontrol khusus di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateSecurityControl
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-security-hub-configuration
.
- AWS CLI
-
Untuk memperbarui konfigurasi Security Hub
update-security-hub-configuration
Contoh berikut mengonfigurasi Security Hub untuk secara otomatis mengaktifkan kontrol baru untuk standar yang diaktifkan.aws securityhub update-security-hub-configuration \ --auto-enable-controls
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Mengaktifkan kontrol baru secara otomatis di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateSecurityHubConfiguration
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-standards-control
.
- AWS CLI
-
Contoh 1: Untuk menonaktifkan kontrol
update-standards-control
Contoh berikut menonaktifkan. PCI AutoScaling.1 kontrol.aws securityhub update-standards-control \ --standards-control-arn
"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"
\ --control-status"DISABLED"
\ --disabled-reason"Not applicable for my service"
Perintah ini tidak menghasilkan output.
Contoh 2: Untuk mengaktifkan kontrol
update-standards-control
Contoh berikut memungkinkanPCI. AutoScaling.1 kontrol.aws securityhub update-standards-control \ --standards-control-arn
"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"
\ --control-status"ENABLED"
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menonaktifkan dan mengaktifkan kontrol individual di Panduan Pengguna AWS Security Hub.
-
Untuk API detailnya, lihat UpdateStandardsControl
di Referensi AWS CLI Perintah.
-