Memahami parameter kontrol di Security Hub - AWS Security Hub
Pengaruh memodifikasi nilai parameter kontrolKontrol yang mendukung parameter kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami parameter kontrol di Security Hub

Beberapa kontrol dalam parameter AWS Security Hub penggunaan yang mempengaruhi bagaimana kontrol dievaluasi. Biasanya, kontrol tersebut dievaluasi terhadap nilai parameter default yang didefinisikan Security Hub. Namun, untuk subset dari kontrol ini, Anda dapat memodifikasi nilai parameter. Saat Anda mengubah nilai parameter kontrol, Security Hub mulai mengevaluasi kontrol terhadap nilai yang Anda tentukan. Jika sumber daya yang mendasari kontrol memenuhi nilai kustom, Security Hub akan menghasilkan PASSED temuan. Jika sumber daya tidak memenuhi nilai kustom, Security Hub akan menghasilkan FAILED temuan.

Dengan menyesuaikan parameter kontrol, Anda dapat menyempurnakan praktik terbaik keamanan yang direkomendasikan dan dipantau oleh Security Hub agar sesuai dengan persyaratan bisnis dan harapan keamanan Anda. Alih-alih menekan temuan untuk kontrol, Anda dapat menyesuaikan satu atau lebih parameternya untuk mendapatkan temuan yang sesuai dengan kebutuhan keamanan Anda.

Berikut adalah beberapa contoh kasus penggunaan untuk memodifikasi parameter kontrol dan menyetel nilai kustom:

  • [CloudWatch.16] — grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu

    Anda dapat menentukan periode waktu retensi.

  • [IAM.7] — Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat

    Anda dapat menentukan parameter yang terkait dengan kekuatan kata sandi.

  • [EC2.18] - Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi

    Anda dapat menentukan port mana yang diizinkan untuk mengizinkan lalu lintas masuk yang tidak dibatasi.

  • [Lambda.5] - Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone

    Anda dapat menentukan jumlah minimum Availability Zones yang menghasilkan temuan yang diteruskan.

Bagian ini mencakup hal-hal yang perlu dipertimbangkan ketika Anda memodifikasi parameter kontrol.

Pengaruh memodifikasi nilai parameter kontrol

Saat Anda mengubah nilai parameter, Anda juga memicu pemeriksaan keamanan baru yang mengevaluasi kontrol berdasarkan nilai baru. Security Hub kemudian menghasilkan temuan kontrol baru berdasarkan nilai baru. Selama pembaruan berkala untuk mengontrol temuan, Security Hub juga menggunakan nilai parameter baru. Jika Anda mengubah nilai parameter untuk kontrol, tetapi belum mengaktifkan standar apa pun yang menyertakan kontrol, Security Hub tidak melakukan pemeriksaan keamanan apa pun menggunakan nilai baru. Anda harus mengaktifkan setidaknya satu standar yang relevan untuk Security Hub untuk mengevaluasi kontrol berdasarkan nilai parameter baru.

Kontrol dapat memiliki satu atau lebih parameter yang dapat disesuaikan. Jenis data yang mungkin untuk setiap parameter kontrol meliputi yang berikut:

  • Boolean

  • Ganda

  • Enum

  • EnumList

  • Bilangan Bulat

  • IntegerList

  • String

  • StringList

Nilai parameter kustom berlaku di seluruh standar yang diaktifkan. Anda tidak dapat menyesuaikan parameter untuk kontrol yang tidak didukung di Wilayah Anda saat ini. Untuk daftar batas Regional untuk kontrol individu, lihatBatas regional pada kontrol.

Untuk beberapa kontrol, nilai parameter yang dapat diterima harus jatuh ke dalam rentang tertentu agar valid. Dalam kasus ini, Security Hub menyediakan jangkauan yang dapat diterima.

Security Hub memilih nilai parameter default dan terkadang memperbaruinya. Setelah Anda menyesuaikan parameter kontrol, nilainya terus menjadi nilai yang Anda tentukan untuk parameter kecuali Anda mengubahnya. Artinya, parameter berhenti melacak pembaruan ke nilai Security Hub default, meskipun nilai kustom parameter cocok dengan nilai default saat ini yang ditentukan oleh Security Hub. Berikut adalah contoh untuk kontrol [ACM.1] - Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Dalam contoh sebelumnya, daysToExpiration parameter memiliki nilai kustom. 30 Nilai default saat ini untuk parameter ini juga30. Jika Security Hub mengubah nilai default menjadi14, parameter dalam contoh ini tidak akan melacak perubahan tersebut. Ini akan mempertahankan nilai30.

Jika Anda ingin melacak pemutakhiran ke nilai Security Hub default untuk parameter, setel ValueType bidang tersebut DEFAULT sebagai gantiCUSTOM. Untuk informasi selengkapnya, lihat Mengembalikan ke parameter kontrol default dalam satu akun dan Wilayah.

Kontrol yang mendukung parameter kustom

Untuk daftar kontrol keamanan yang mendukung parameter kustom, lihat halaman Kontrol konsol Security Hub atauReferensi kontrol Security Hub. Untuk mengambil daftar ini secara terprogram, Anda dapat menggunakan ListSecurityControlDefinitionsoperasi. Dalam respons, CustomizableProperties objek menunjukkan kontrol mana yang mendukung parameter yang dapat disesuaikan.