Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami parameter kontrol di Security Hub CSPM
Beberapa kontrol di AWS Security Hub CSPM menggunakan parameter yang memengaruhi cara kontrol dievaluasi. Biasanya, kontrol tersebut dievaluasi terhadap nilai parameter default yang didefinisikan oleh Security Hub CSPM. Namun, untuk subset dari kontrol ini, Anda dapat memodifikasi nilai parameter. Saat Anda mengubah nilai parameter kontrol, Security Hub CSPM mulai mengevaluasi kontrol terhadap nilai yang Anda tentukan. Jika sumber daya yang mendasari kontrol memenuhi nilai kustom, Security Hub CSPM menghasilkan temuan. `PASSED` Jika sumber daya tidak memenuhi nilai kustom, Security Hub CSPM akan menghasilkan temuan. `FAILED`
Dengan menyesuaikan parameter kontrol, Anda dapat menyempurnakan praktik terbaik keamanan yang direkomendasikan dan dipantau oleh Security Hub CSPM agar sesuai dengan persyaratan bisnis dan harapan keamanan Anda. Alih-alih menekan temuan untuk kontrol, Anda dapat menyesuaikan satu atau lebih parameternya untuk mendapatkan temuan yang sesuai dengan kebutuhan keamanan Anda.
Berikut adalah beberapa contoh kasus penggunaan untuk memodifikasi parameter kontrol dan menetapkan nilai kustom:
+ **[CloudWatch.16] — grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu**
Anda dapat menentukan periode waktu retensi.
+ **[IAM.7] — Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat**
Anda dapat menentukan parameter yang terkait dengan kekuatan kata sandi.
+ **[EC2.18] - Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi**
Anda dapat menentukan port mana yang diizinkan untuk mengizinkan lalu lintas masuk yang tidak dibatasi.
+ **[Lambda.5] - Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone**
Anda dapat menentukan jumlah minimum Availability Zones yang menghasilkan temuan yang diteruskan.
Bagian ini mencakup hal-hal yang perlu dipertimbangkan ketika Anda memodifikasi parameter kontrol.
## Pengaruh memodifikasi nilai parameter kontrol
Saat Anda mengubah nilai parameter, Anda juga memicu pemeriksaan keamanan baru yang mengevaluasi kontrol berdasarkan nilai baru. Security Hub CSPM kemudian menghasilkan temuan kontrol baru berdasarkan nilai baru. Selama pembaruan berkala untuk mengontrol temuan, Security Hub CSPM juga menggunakan nilai parameter baru. Jika Anda mengubah nilai parameter untuk kontrol, tetapi belum mengaktifkan standar apa pun yang menyertakan kontrol, Security Hub CSPM tidak melakukan pemeriksaan keamanan apa pun menggunakan nilai baru. Anda harus mengaktifkan setidaknya satu standar yang relevan untuk Security Hub CSPM untuk mengevaluasi kontrol berdasarkan nilai parameter baru.
Kontrol dapat memiliki satu atau lebih parameter yang dapat disesuaikan. Jenis data yang mungkin untuk setiap parameter kontrol meliputi yang berikut:
+ Boolean
+ Ganda
+ Enum
+ EnumList
+ Bilangan Bulat
+ IntegerList
+ String
+ StringList
Nilai parameter kustom berlaku di seluruh standar yang diaktifkan. Anda tidak dapat menyesuaikan parameter untuk kontrol yang tidak didukung di Wilayah Anda saat ini. Untuk daftar batas Regional untuk kontrol individu, lihat[Batas regional pada kontrol CSPM Security Hub](regions-controls.md).
Untuk beberapa kontrol, nilai parameter yang dapat diterima harus jatuh ke dalam rentang tertentu agar valid. Dalam kasus ini, Security Hub CSPM menyediakan rentang yang dapat diterima.
Security Hub CSPM memilih nilai parameter default dan terkadang memperbaruinya. Setelah Anda menyesuaikan parameter kontrol, nilainya terus menjadi nilai yang Anda tentukan untuk parameter kecuali Anda mengubahnya. Artinya, parameter berhenti melacak pembaruan ke nilai CSPM Security Hub default, bahkan jika nilai kustom parameter cocok dengan nilai default saat ini yang ditentukan oleh Security Hub CSPM. Berikut adalah contoh untuk kontrol **[ACM.1] - Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah** jangka waktu tertentu:
```
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 30
}
}
}
}
```
Dalam contoh sebelumnya, `daysToExpiration` parameter memiliki nilai kustom. `30` Nilai default saat ini untuk parameter ini juga`30`. Jika Security Hub CSPM mengubah nilai default menjadi`14`, parameter dalam contoh ini tidak akan melacak perubahan tersebut. Ini akan mempertahankan nilai`30`.
Jika Anda ingin melacak pemutakhiran ke nilai CSPM Security Hub default untuk parameter, setel `ValueType` bidang ke `DEFAULT` bukan. `CUSTOM` Untuk informasi selengkapnya, lihat [Mengembalikan ke parameter kontrol default dalam satu akun dan Wilayah](revert-default-parameter-values.md#revert-default-parameter-values-local-config).
## Kontrol yang mendukung parameter khusus
Untuk daftar kontrol keamanan yang mendukung parameter kustom, lihat halaman **Kontrol** konsol CSPM Security Hub atau. [Referensi kontrol untuk Security Hub CSPM](securityhub-controls-reference.md) Untuk mengambil daftar ini secara terprogram, Anda dapat menggunakan operasi. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) Dalam respons, `CustomizableProperties` objek menunjukkan kontrol mana yang mendukung parameter yang dapat disesuaikan.
# Meninjau nilai parameter kontrol saat ini
Akan sangat membantu untuk mengetahui nilai parameter kontrol saat ini sebelum Anda memodifikasinya.
Anda dapat meninjau nilai saat ini untuk parameter kontrol individual di akun Anda. Jika Anda menggunakan konfigurasi pusat, administrator CSPM AWS Security Hub yang didelegasikan juga dapat meninjau nilai parameter yang ditentukan dalam kebijakan konfigurasi.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk meninjau nilai parameter kontrol saat ini.
------
#### [ Security Hub CSPM console ]
**Untuk meninjau nilai parameter kontrol saat ini (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Kontrol**. Pilih kontrol.
1. Pilih tab **Parameter**. Tab ini menunjukkan nilai parameter saat ini untuk kontrol.
------
#### [ Security Hub CSPM API ]
**Untuk meninjau nilai parameter kontrol saat ini (API)**
Panggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API, dan berikan satu atau lebih kontrol keamanan IDs atau ARNs. `Parameters`Objek dalam respons menunjukkan nilai parameter saat ini untuk kontrol yang ditentukan.
Misalnya, AWS CLI perintah berikut menunjukkan nilai parameter saat ini untuk`APIGatway.1`,`CloudWatch.15`, dan`IAM.7`. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```
------
Pilih metode pilihan Anda untuk melihat nilai parameter saat ini dalam kebijakan konfigurasi pusat.
------
#### [ Security Hub CSPM console ]
**Untuk meninjau nilai parameter kontrol saat ini dalam kebijakan konfigurasi (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Masuk menggunakan kredensil akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.
1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.
1. Pada tab **Kebijakan**, pilih kebijakan konfigurasi, lalu pilih **Lihat detail**. Detail kebijakan kemudian muncul, termasuk nilai parameter saat ini.
------
#### [ Security Hub CSPM API ]
**Untuk meninjau nilai parameter kontrol saat ini dalam kebijakan konfigurasi (API)**
1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.
1. Berikan ARN atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat. Respons mencakup nilai parameter saat ini.
Misalnya, AWS CLI perintah berikut mengambil nilai parameter kontrol saat ini dalam kebijakan konfigurasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
Temuan kontrol juga mencakup nilai parameter kontrol saat ini. Dalam[AWS Format Pencarian Keamanan (ASFF)](securityhub-findings-format.md), nilai-nilai ini muncul di `Parameters` bidang `Compliance` objek. Untuk meninjau temuan di konsol CSPM Security Hub, pilih **Temuan** di panel navigasi. Untuk meninjau temuan secara terprogram, gunakan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)pengoperasian Security Hub CSPM API.
# Menyesuaikan nilai parameter kontrol
Petunjuk untuk menyesuaikan parameter kontrol bervariasi berdasarkan apakah Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) di AWS Security Hub CSPM. Konfigurasi pusat adalah fitur yang dapat digunakan oleh administrator CSPM Security Hub yang didelegasikan untuk mengonfigurasi kapabilitas CSPM Security Hub di seluruh Wilayah AWS, akun, dan unit organisasi (). OUs
Jika organisasi Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi yang menyertakan parameter kontrol kustom. Kebijakan ini dapat dikaitkan dengan akun anggota yang dikelola secara terpusat dan OUs, dan berlaku di Wilayah asal Anda dan semua Wilayah yang ditautkan. Administrator yang didelegasikan juga dapat menetapkan satu atau lebih akun sebagai dikelola sendiri, yang memungkinkan pemilik akun untuk mengonfigurasi parameternya sendiri secara terpisah di setiap Wilayah. Jika organisasi Anda tidak menggunakan konfigurasi pusat, Anda harus menyesuaikan parameter kontrol secara terpisah di setiap akun dan Wilayah.
Sebaiknya gunakan konfigurasi pusat karena memungkinkan Anda menyelaraskan nilai parameter kontrol di berbagai bagian organisasi Anda. Misalnya, semua akun pengujian Anda mungkin menggunakan nilai parameter tertentu, dan semua akun produksi mungkin menggunakan nilai yang berbeda.
## Menyesuaikan parameter kontrol di beberapa akun dan Wilayah
Jika Anda adalah administrator CSPM Security Hub yang didelegasikan untuk organisasi yang menggunakan konfigurasi pusat, pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menyesuaikan parameter kontrol di beberapa akun dan Wilayah.
------
#### [ Security Hub CSPM console ]
**Untuk menyesuaikan nilai parameter kontrol di beberapa akun dan Wilayah (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Pastikan Anda masuk ke Wilayah asal.
1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.
1. Pilih tab **Kebijakan**.
1. Untuk membuat kebijakan konfigurasi baru yang menyertakan parameter kustom, pilih **Buat kebijakan**. Untuk menentukan parameter kustom dalam kebijakan konfigurasi yang ada, pilih kebijakan, lalu pilih **Edit**.
**Untuk membuat kebijakan konfigurasi baru dengan nilai parameter kontrol kustom**
1. Di bagian **Kebijakan kustom**, pilih standar keamanan dan kontrol yang ingin Anda aktifkan.
1. Pilih **Sesuaikan parameter kontrol**.
1. Pilih kontrol, lalu tentukan nilai kustom untuk satu atau beberapa parameter.
1. Untuk menyesuaikan parameter untuk kontrol lainnya, pilih **Sesuaikan kontrol tambahan**.
1. Di bagian **Akun**, pilih akun atau OUs yang ingin Anda terapkan kebijakan.
1. Pilih **Berikutnya**.
1. Pilih **Buat kebijakan dan terapkan**. Di Wilayah beranda dan semua Wilayah yang ditautkan, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada dan OUs yang terkait dengan kebijakan konfigurasi ini. Akun dan OUs dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi langsung atau warisan dari orang tua.
**Untuk menyesuaikan nilai parameter kontrol dalam kebijakan konfigurasi yang ada**
1. Di bagian **Kontrol**, di bawah **Kebijakan khusus**, tentukan nilai parameter kustom baru yang Anda inginkan.
1. Jika ini adalah pertama kalinya Anda menyesuaikan parameter kontrol dalam kebijakan ini, pilih **Sesuaikan parameter kontrol**, lalu pilih kontrol untuk disesuaikan. Untuk menyesuaikan parameter untuk kontrol lainnya, pilih **Sesuaikan kontrol tambahan**.
1. Di bagian **Akun**, verifikasi akun atau kebijakan OUs yang ingin Anda terapkan.
1. Pilih **Berikutnya**.
1. Tinjau perubahan Anda, dan verifikasi bahwa perubahan tersebut benar. Setelah selesai, pilih **Simpan kebijakan dan terapkan**. Di Wilayah beranda dan semua Wilayah yang ditautkan, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada dan OUs yang terkait dengan kebijakan konfigurasi ini. Akun dan OUs dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi langsung atau warisan dari orang tua.
------
#### [ Security Hub CSPM API ]
**Untuk menyesuaikan nilai parameter kontrol di beberapa akun dan Wilayah (API)**
**Untuk membuat kebijakan konfigurasi baru dengan nilai parameter kontrol kustom**
1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.
1. Untuk `SecurityControlCustomParameters` objek, berikan pengenal setiap kontrol yang ingin Anda sesuaikan.
1. Untuk `Parameters` objek, berikan nama setiap parameter yang ingin Anda sesuaikan. Untuk setiap parameter yang Anda sesuaikan, `CUSTOM` sediakan`ValueType`. Untuk`Value`, berikan tipe data parameter dan nilai kustom. `Value`Bidang tidak bisa kosong kapan `ValueType` ada`CUSTOM`. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini. Anda dapat menemukan parameter yang didukung, tipe data, dan nilai yang valid untuk kontrol dengan menjalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.
**Untuk menyesuaikan nilai parameter kontrol dalam kebijakan konfigurasi yang ada**
1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.
1. Untuk `Identifier` bidang, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui.
1. Untuk `SecurityControlCustomParameters` objek, berikan pengenal setiap kontrol yang ingin Anda sesuaikan.
1. Untuk `Parameters` objek, berikan nama setiap parameter yang ingin Anda sesuaikan. Untuk setiap parameter yang Anda sesuaikan, `CUSTOM` sediakan`ValueType`. Untuk`Value`, berikan tipe data parameter dan nilai kustom. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini. Anda dapat menemukan parameter yang didukung, tipe data, dan nilai yang valid untuk kontrol dengan menjalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.
Misalnya, AWS CLI perintah berikut membuat kebijakan konfigurasi baru dengan nilai kustom untuk `daysToExpiration` parameter`ACM.1`. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```
------
## Menyesuaikan parameter kontrol dalam satu akun dan Wilayah
Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda dapat menyesuaikan parameter kontrol untuk akun Anda di satu Wilayah pada satu waktu saja.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menyesuaikan parameter kontrol. Perubahan Anda hanya berlaku untuk akun Anda di Wilayah saat ini. Untuk menyesuaikan parameter kontrol di Wilayah tambahan, ulangi langkah-langkah berikut di setiap akun tambahan dan Wilayah tempat Anda ingin menyesuaikan parameter. Kontrol yang sama dapat menggunakan nilai parameter yang berbeda di Wilayah yang berbeda.
------
#### [ Security Hub CSPM console ]
**Untuk menyesuaikan nilai parameter kontrol dalam satu akun dan Wilayah (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Kontrol**. Dalam tabel, pilih kontrol yang mendukung parameter khusus dan Anda ingin mengubah parameternya. Kolom **parameter Kustom** menunjukkan kontrol mana yang mendukung parameter kustom.
1. Pada halaman detail untuk kontrol, pilih tab **Parameter**, lalu pilih **Edit**.
1. Tentukan nilai parameter yang Anda inginkan.
1. Secara opsional, di bagian **Alasan perubahan**, pilih alasan untuk menyesuaikan parameter.
1. Pilih **Simpan**.
------
#### [ Security Hub CSPM API ]
**Untuk menyesuaikan nilai parameter kontrol dalam satu akun dan Wilayah (API)**
1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.
1. Untuk`SecurityControlId`, berikan ID kontrol yang ingin Anda sesuaikan.
1. Untuk `Parameters` objek, berikan nama setiap parameter yang ingin Anda sesuaikan. Untuk setiap parameter yang Anda sesuaikan, `CUSTOM` sediakan`ValueType`. Untuk`Value`, berikan tipe data parameter dan nilai kustom. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini. Anda dapat menemukan parameter yang didukung, tipe data, dan nilai yang valid untuk kontrol dengan menjalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)API.
1. Secara opsional`LastUpdateReason`, untuk, berikan alasan untuk menyesuaikan parameter kontrol.
Misalnya, AWS CLI perintah berikut mendefinisikan nilai kustom untuk `daysToExpiration` parameter. `ACM.1` Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```
------
# Mengembalikan ke nilai parameter kontrol default
Parameter kontrol dapat memiliki nilai default yang didefinisikan oleh AWS Security Hub CSPM. Terkadang, Security Hub CSPM memperbarui nilai default untuk parameter untuk mencerminkan praktik terbaik keamanan yang berkembang. Jika Anda belum menentukan nilai kustom untuk parameter kontrol, kontrol secara otomatis melacak pembaruan tersebut dan menggunakan nilai default yang baru.
Anda dapat kembali menggunakan nilai parameter default untuk kontrol. Petunjuk untuk pengembalian bergantung pada apakah Anda menggunakan [konfigurasi pusat](central-configuration-intro.md) di Security Hub CSPM. Konfigurasi pusat adalah fitur yang dapat digunakan oleh administrator CSPM Security Hub yang didelegasikan untuk mengonfigurasi kapabilitas CSPM Security Hub di seluruh akun Wilayah AWS, dan unit organisasi (). OUs
**catatan**
Tidak semua parameter kontrol memiliki nilai CSPM Security Hub default. Dalam kasus seperti itu, ketika `ValueType` disetel ke`DEFAULT`, tidak ada nilai default tertentu yang digunakan CSPM Security Hub. Sebaliknya, Security Hub CSPM mengabaikan parameter tanpa adanya nilai khusus.
## Mengembalikan ke parameter kontrol default di beberapa akun dan Wilayah
Jika Anda menggunakan konfigurasi pusat, Anda dapat mengembalikan parameter kontrol untuk beberapa akun yang dikelola secara terpusat dan OUs di Wilayah beranda dan Wilayah yang ditautkan.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk kembali ke nilai parameter default di beberapa akun dan Wilayah menggunakan konfigurasi pusat.
------
#### [ Security Hub CSPM console ]
**Untuk kembali ke nilai parameter kontrol default di beberapa akun dan Wilayah (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.
1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.
1. Pilih tab **Kebijakan**.
1. Pilih kebijakan, lalu pilih **Edit**.
1. Di bawah **Kebijakan khusus**, bagian **Kontrol** menampilkan daftar kontrol yang Anda tetapkan untuk parameter kustom.
1. Temukan kontrol yang memiliki satu atau lebih nilai parameter untuk dikembalikan. Kemudian, pilih **Hapus** untuk kembali ke nilai default.
1. Di bagian **Akun**, verifikasi akun atau kebijakan OUs yang ingin Anda terapkan.
1. Pilih **Berikutnya**.
1. Tinjau perubahan Anda, dan verifikasi bahwa perubahan tersebut benar. Setelah selesai, pilih **Simpan kebijakan dan terapkan**. Di Wilayah beranda dan semua Wilayah yang ditautkan, tindakan ini mengesampingkan pengaturan konfigurasi akun yang ada dan OUs yang terkait dengan kebijakan konfigurasi ini. Akun dan OUs dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi langsung atau warisan dari orang tua.
------
#### [ Security Hub CSPM API ]
**Untuk kembali ke nilai parameter kontrol default di beberapa akun dan Wilayah (API)**
1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dari akun administrator yang didelegasikan di Wilayah beranda.
1. Untuk `Identifier` bidang, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan yang ingin Anda perbarui.
1. Untuk `SecurityControlCustomParameters` objek, berikan pengenal setiap kontrol yang ingin Anda kembalikan satu atau beberapa parameter.
1. Dalam `Parameters` objek, untuk setiap parameter yang ingin Anda kembalikan, sediakan `DEFAULT` untuk `ValueType` bidang. Ketika `ValueType` diatur ke`DEFAULT`, Anda tidak perlu memberikan nilai untuk `Value` bidang tersebut. Jika nilai disertakan dalam permintaan Anda, Security Hub CSPM mengabaikannya. Jika permintaan Anda menghilangkan parameter yang didukung kontrol, parameter tersebut mempertahankan nilainya saat ini.
**Awas**
Jika Anda menghilangkan objek kontrol dari `SecurityControlCustomParameters` bidang, Security Hub CSPM mengembalikan semua parameter kustom untuk kontrol ke nilai defaultnya. Daftar yang benar-benar kosong untuk `SecurityControlCustomParameters` mengembalikan parameter kustom untuk semua kontrol ke nilai defaultnya.
Misalnya, AWS CLI perintah berikut mengembalikan parameter `daysToExpiration` kontrol `ACM.1` ke nilai defaultnya dalam kebijakan konfigurasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```
------
## Mengembalikan ke parameter kontrol default dalam satu akun dan Wilayah
Jika Anda tidak menggunakan konfigurasi pusat atau memiliki akun yang dikelola sendiri, Anda dapat kembali menggunakan nilai parameter default untuk akun Anda di satu Wilayah pada satu waktu.
Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk kembali ke nilai parameter default untuk akun Anda di satu Wilayah. Untuk kembali ke nilai parameter default di Wilayah tambahan, ulangi langkah-langkah ini di setiap Wilayah tambahan.
**catatan**
Jika Anda menonaktifkan Security Hub CSPM, parameter kontrol kustom Anda akan diatur ulang. Jika Anda mengaktifkan Security Hub CSPM lagi di masa mendatang, semua kontrol akan menggunakan nilai parameter default untuk memulai.
------
#### [ Security Hub CSPM console ]
**Untuk kembali ke nilai parameter kontrol default dalam satu akun dan Wilayah (konsol)**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Kontrol**. Pilih kontrol yang ingin Anda kembalikan ke nilai parameter default.
1. Pada `Parameters` tab, pilih **Disesuaikan** di sebelah parameter kontrol. Kemudian, pilih **Hapus kustomisasi**. Parameter ini sekarang menggunakan nilai CSPM Security Hub default dan melacak pembaruan masa depan ke nilai default.
1. Ulangi langkah sebelumnya untuk setiap nilai parameter yang ingin Anda kembalikan.
------
#### [ Security Hub CSPM API ]
**Untuk kembali ke nilai parameter kontrol default dalam satu akun dan Wilayah (API)**
1. Memanggil [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.
1. Untuk`SecurityControlId`, berikan ARN atau ID kontrol yang parameternya ingin Anda kembalikan.
1. Dalam `Parameters` objek, untuk setiap parameter yang ingin Anda kembalikan, sediakan `DEFAULT` untuk `ValueType` bidang. Ketika `ValueType` diatur ke`DEFAULT`, Anda tidak perlu memberikan nilai untuk `Value` bidang tersebut. Jika nilai disertakan dalam permintaan Anda, Security Hub CSPM mengabaikannya.
1. Secara opsional, untuk`LastUpdateReason`, berikan alasan untuk kembali ke nilai parameter default.
Misalnya, AWS CLI perintah berikut mengembalikan parameter `daysToExpiration` kontrol `ACM.1` ke nilai defaultnya. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```
------
# Memeriksa status perubahan parameter kontrol
Ketika Anda mencoba untuk menyesuaikan parameter kontrol atau kembali ke nilai default, Anda dapat memvalidasi apakah perubahan yang diinginkan efektif. Ini membantu memastikan bahwa kontrol berfungsi seperti yang Anda harapkan dan memberikan nilai keamanan yang diinginkan. Jika pemutakhiran parameter tidak berhasil, Security Hub CSPM mempertahankan nilai saat ini untuk parameter tersebut.
Untuk memverifikasi bahwa pembaruan parameter berhasil, Anda dapat meninjau detail kontrol pada konsol CSPM Security Hub. Di konsol, pilih **Kontrol** pada panel navigasi. Kemudian, pilih kontrol untuk menampilkan detailnya. Tab **Parameter** menunjukkan status perubahan parameter.
Secara terprogram, jika permintaan Anda untuk memperbarui parameter valid, nilai `UpdateStatus` `UPDATING` bidang adalah respons terhadap operasi. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html) Ini berarti bahwa pembaruan itu valid, tetapi semua temuan mungkin belum menyertakan nilai parameter yang diperbarui. Ketika nilai `UpdateState` berubah`READY`, Security Hub CSPM menggunakan nilai parameter kontrol yang diperbarui saat menjalankan pemeriksaan keamanan kontrol. Temuan termasuk nilai parameter yang diperbarui.
`UpdateSecurityControl`Operasi mengembalikan `InvalidInputException` respons untuk nilai parameter yang tidak valid. Tanggapan tersebut memberikan rincian tambahan tentang alasan kegagalan. Misalnya, Anda mungkin telah menetapkan nilai yang berada di luar rentang yang valid untuk parameter. Atau, Anda mungkin telah menentukan nilai yang tidak menggunakan tipe data yang benar. Kirim permintaan Anda lagi dengan masukan yang valid.
Jika terjadi kegagalan internal saat Anda mencoba memperbarui nilai parameter, Security Hub CSPM akan mencoba ulang secara otomatis jika Anda telah mengaktifkannya. AWS Config Lihat informasi yang lebih lengkap di [Pertimbangan sebelum mengaktifkan dan mengonfigurasi AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).