Mengkonfigurasi kontrol di seluruh standar - AWS Security Hub
Mengaktifkan kontrolMenonaktifkan kontrol

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi kontrol di seluruh standar

AWS Security Hub menghasilkan temuan untuk kontrol yang diaktifkan, dan mempertimbangkan semua kontrol yang diaktifkan saat menghitung skor keamanan. Anda dapat memilih untuk mengaktifkan dan menonaktifkan kontrol di semua standar keamanan atau mengonfigurasi status pemberdayaan secara berbeda dalam standar yang berbeda. Kami merekomendasikan opsi sebelumnya, di mana status pemberdayaan kontrol disejajarkan di semua standar yang Anda aktifkan. Bagian ini menjelaskan cara mengaktifkan dan menonaktifkan kontrol di seluruh standar. Untuk mengaktifkan atau menonaktifkan kontrol dalam satu atau lebih standar spesifik, lihatMengkonfigurasi kontrol dalam standar tertentu.

Jika Anda telah menetapkan Wilayah agregasi, konsol Security Hub akan menampilkan kontrol dari semua Wilayah yang ditautkan. Jika kontrol tersedia di Wilayah tertaut tetapi tidak di Wilayah agregasi, Anda tidak dapat mengaktifkan atau menonaktifkan kontrol tersebut dari Wilayah agregasi.

catatan

Petunjuk untuk mengaktifkan dan menonaktifkan kontrol bervariasi berdasarkan apakah Anda menggunakan konfigurasi pusat atau tidak. Bagian ini menjelaskan perbedaannya. Konfigurasi pusat tersedia untuk pengguna yang mengintegrasikan Security Hub dan AWS Organizations. Sebaiknya gunakan konfigurasi pusat untuk menyederhanakan proses mengaktifkan dan menonaktifkan kontrol di lingkungan multi-akun dan Multi-wilayah.

Mengaktifkan kontrol

Saat Anda mengaktifkan kontrol dalam standar, Security Hub mulai menjalankan pemeriksaan keamanan untuk kontrol dan menghasilkan temuan kontrol.

Security Hub mencakup status kontrol dalam perhitungan skor keamanan keseluruhan dan skor keamanan standar. Jika Anda mengaktifkan temuan kontrol konsolidasi, Anda menerima satu temuan untuk pemeriksaan keamanan bahkan jika Anda telah mengaktifkan kontrol dalam beberapa standar. Untuk informasi lebih lanjut, lihat Temuan kontrol konsolidasi.

Mengaktifkan kontrol di semua standar di beberapa akun dan Wilayah

Untuk mengaktifkan kontrol keamanan di beberapa akun dan Wilayah AWS, Anda harus menggunakan konfigurasi pusat.

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi Security Hub yang mengaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan unit organisasi (OUs) atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan kustomisasi. Misalnya, Anda dapat memilih untuk mengaktifkan semua kontrol dalam satu OU, dan Anda dapat memilih untuk mengaktifkan hanya kontrol Amazon Elastic Compute Cloud (EC2) di OU lain. Tingkat perincian tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang memungkinkan kontrol tertentu di seluruh standar, lihatMembuat dan mengaitkan kebijakan konfigurasi.

catatan

Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar yang Dikelola Layanan: AWS Control Tower. Kontrol untuk standar ini harus dikonfigurasi di AWS Control Tower layanan.

Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.

Mengaktifkan kontrol di semua standar dalam satu akun dan Wilayah

Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk mengaktifkan kontrol dalam satu akun dan Wilayah.

Security Hub console
Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Pilih Kontrol dari panel navigasi.

  3. Pilih tab Dinonaktifkan.

  4. Pilih opsi di sebelah kontrol.

  5. Pilih Aktifkan Kontrol (opsi ini tidak muncul untuk kontrol yang sudah diaktifkan).

  6. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

Security Hub API
Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah

  1. Memohon ListStandardsControlAssociationsAPI. Berikan ID kontrol keamanan.

    Contoh permintaan:

    {
    "SecurityControlId": "IAM.1"
}

  2. Memohon BatchUpdateStandardsControlAssociationsAPI. Berikan Amazon Resource Name (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standarARNs, jalankan DescribeStandards.

  3. Atur AssociationStatus parameter sama denganENABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, maka akan API mengembalikan respons kode HTTP status 200.

    Contoh permintaan:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

AWS CLI
Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah

  1. Jalankan list-standards-control-associationsperintah. Berikan ID kontrol keamanan.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Jalankan batch-update-standards-control-associationsperintah. Berikan Amazon Resource Name (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standarARNs, jalankan describe-standards perintah.

  3. Atur AssociationStatus parameter sama denganENABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, perintah akan mengembalikan respons kode HTTP status 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

Secara otomatis mengaktifkan kontrol baru dalam standar yang diaktifkan

Security Hub secara teratur merilis kontrol keamanan baru dan menambahkannya ke satu atau lebih standar. Anda dapat memilih apakah akan mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan.

catatan

Sebaiknya gunakan konfigurasi pusat untuk mengaktifkan kontrol baru secara otomatis. Jika kebijakan konfigurasi Anda menyertakan daftar kontrol yang akan dinonaktifkan (secara terprogram, ini mencerminkan DisabledSecurityControlIdentifiers parameter), Security Hub secara otomatis mengaktifkan semua kontrol lain di seluruh standar, termasuk kontrol yang baru dirilis. Jika kebijakan Anda menyertakan daftar kontrol yang akan diaktifkan (ini mencerminkan EnabledSecurityControlIdentifiers parameter), Security Hub secara otomatis menonaktifkan semua kontrol lainnya di seluruh standar, termasuk yang baru dirilis. Untuk informasi selengkapnya, lihat Cara kerja kebijakan konfigurasi di Security Hub.

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan. Petunjuk berikut hanya berlaku jika Anda tidak menggunakan konfigurasi pusat.

Security Hub console
Untuk mengaktifkan kontrol baru secara otomatis

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Di panel navigasi, pilih Pengaturan, lalu pilih tab Umum.

  3. Di bawah Kontrol, pilih Edit.

  4. Aktifkan Aktifkan otomatis kontrol baru dalam standar yang diaktifkan.

  5. Pilih Simpan.

Security Hub API
Untuk mengaktifkan kontrol baru secara otomatis

  1. Memohon UpdateSecurityHubConfiguration API.

  2. Untuk mengaktifkan kontrol baru secara otomatis untuk standar yang diaktifkan, setel AutoEnableControls ketrue. Jika Anda tidak ingin mengaktifkan kontrol baru secara otomatis, setel AutoEnableControls ke false.

AWS CLI
Untuk mengaktifkan kontrol baru secara otomatis

  1. Jalankan update-security-hub-configurationperintah.

  2. Untuk mengaktifkan kontrol baru secara otomatis untuk standar yang diaktifkan, tentukan--auto-enable-controls. Jika Anda tidak ingin mengaktifkan kontrol baru secara otomatis, tentukan--no-auto-enable-controls.

    aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

    Contoh perintah

    aws securityhub update-security-hub-configuration --auto-enable-controls

Menonaktifkan kontrol

Ketika Anda menonaktifkan kontrol di semua standar, berikut ini terjadi:

  • Pemeriksaan keamanan untuk kontrol tidak lagi dilakukan.

  • Tidak ada temuan tambahan yang dihasilkan untuk kontrol itu.

  • Temuan yang ada diarsipkan secara otomatis setelah 3-5 hari (perhatikan bahwa ini adalah upaya terbaik).

  • Segala yang terkait AWS Config aturan yang dibuat oleh Security Hub dihapus.

Alih-alih menonaktifkan kontrol di semua standar, Anda bisa menonaktifkannya dalam satu atau lebih standar spesifik. Jika Anda melakukan ini, Security Hub tidak menjalankan pemeriksaan keamanan untuk kontrol standar tempat Anda menonaktifkannya, sehingga tidak memengaruhi skor keamanan untuk standar tersebut. Namun, Security Hub mempertahankan AWS Config aturan dan terus menjalankan pemeriksaan keamanan untuk kontrol jika diaktifkan dalam standar lain. Ini dapat memengaruhi skor keamanan ringkasan Anda. Untuk petunjuk tentang mengonfigurasi kontrol dalam standar tertentu, lihatMengkonfigurasi kontrol dalam standar tertentu.

Untuk mengurangi kebisingan temuan, akan berguna untuk menonaktifkan kontrol yang tidak relevan dengan lingkungan Anda. Untuk rekomendasi tentang kontrol mana yang harus dinonaktifkan, lihat Kontrol Security Hub yang mungkin ingin Anda nonaktifkan.

Ketika Anda menonaktifkan standar, semua kontrol yang berlaku untuk standar dinonaktifkan (namun, kontrol tersebut mungkin tetap diaktifkan dalam standar lain). Untuk informasi tentang menonaktifkan standar, lihat. Mengkonfigurasi standar di Security Hub

Saat Anda menonaktifkan standar, Security Hub tidak melacak kontrol mana yang berlaku yang dinonaktifkan. Jika Anda kemudian mengaktifkan kembali standar yang sama, semua kontrol yang berlaku untuk itu secara otomatis diaktifkan. Selain itu, menonaktifkan kontrol bukanlah tindakan permanen. Misalkan Anda menonaktifkan kontrol, dan kemudian Anda mengaktifkan standar yang sebelumnya dinonaktifkan. Jika standar mencakup kontrol itu, itu akan diaktifkan dalam standar itu. Saat Anda mengaktifkan standar di Security Hub, semua kontrol yang berlaku untuk standar tersebut akan diaktifkan secara otomatis. Anda dapat memilih untuk menonaktifkan kontrol tertentu.

Menonaktifkan kontrol di semua standar di beberapa akun dan Wilayah

Untuk menonaktifkan kontrol keamanan di beberapa akun dan Wilayah AWS, Anda harus menggunakan konfigurasi pusat.

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi Security Hub yang menonaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentuOUs,, atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan kustomisasi. Misalnya, Anda dapat memilih untuk menonaktifkan semua AWS CloudTrail kontrol dalam satu OU, dan Anda dapat memilih untuk menonaktifkan semua IAM kontrol di OU lain. Tingkat perincian tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang menonaktifkan kontrol tertentu di seluruh standar, lihatMembuat dan mengaitkan kebijakan konfigurasi.

catatan

Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar yang Dikelola Layanan: AWS Control Tower. Kontrol untuk standar ini harus dikonfigurasi di AWS Control Tower layanan.

Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.

Menonaktifkan kontrol di semua standar dalam satu akun dan Wilayah

Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk menonaktifkan kontrol dalam satu akun dan Wilayah.

Security Hub console
Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Pilih Kontrol dari panel navigasi.

  3. Pilih opsi di sebelah kontrol.

  4. Pilih Nonaktifkan Kontrol (opsi ini tidak muncul untuk kontrol yang sudah dinonaktifkan).

  5. Pilih alasan untuk menonaktifkan kontrol, dan konfirmasikan dengan memilih Nonaktifkan.

  6. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

Security Hub API
Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah

  1. Memohon ListStandardsControlAssociationsAPI. Berikan ID kontrol keamanan.

    Contoh permintaan:

    {
    "SecurityControlId": "IAM.1"
}

  2. Memohon BatchUpdateStandardsControlAssociationsAPI. Berikan standar apa pun yang memungkinkan kontrol. ARN Untuk mendapatkan standarARNs, jalankan DescribeStandards.

  3. Atur AssociationStatus parameter sama denganDISABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, akan API mengembalikan respons kode HTTP status 200.

    Contoh permintaan:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}

  4. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.

AWS CLI
Untuk menonaktifkan kontrol di seluruh standar dalam satu akun dan Wilayah

  1. Jalankan list-standards-control-associationsperintah. Berikan ID kontrol keamanan.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Jalankan batch-update-standards-control-associationsperintah. Berikan standar apa pun yang memungkinkan kontrol. ARN Untuk mendapatkan standarARNs, jalankan describe-standards perintah.

  3. Atur AssociationStatus parameter sama denganDISABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, perintah akan mengembalikan respons kode HTTP status 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

  4. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan kontrol.