Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengaktifkan kontrol di Security Hub CSPM
Dalam AWS Security Hub CSPM, kontrol adalah perlindungan dalam standar keamanan yang membantu organisasi melindungi kerahasiaan, integritas, dan ketersediaan informasinya. Setiap kontrol CSPM Security Hub terkait dengan sumber daya tertentu AWS . Ketika Anda mengaktifkan kontrol, Security Hub CSPM mulai menjalankan pemeriksaan keamanan untuk kontrol dan menghasilkan temuan untuk itu. Security Hub CSPM juga mempertimbangkan semua kontrol yang diaktifkan saat menghitung skor keamanan.
Anda dapat memilih untuk mengaktifkan kontrol di semua standar keamanan yang berlaku. Atau, Anda dapat mengonfigurasi status pemberdayaan secara berbeda dalam standar yang berbeda. Kami merekomendasikan opsi sebelumnya, di mana status pemberdayaan kontrol disejajarkan di semua standar yang Anda aktifkan. Untuk petunjuk tentang mengaktifkan kontrol di semua standar yang diterapkan, lihat[Mengaktifkan kontrol lintas standar](enable-controls-overview.md). Untuk petunjuk tentang mengaktifkan kontrol dalam standar tertentu, lihat[Mengaktifkan kontrol dalam standar tertentu](controls-configure.md).
Jika Anda mengaktifkan agregasi lintas wilayah dan masuk ke Wilayah agregasi, konsol CSPM Security Hub menampilkan kontrol yang tersedia di setidaknya satu Wilayah tertaut. Jika kontrol tersedia di Wilayah tertaut tetapi tidak di Wilayah agregasi, Anda tidak dapat mengaktifkan atau menonaktifkan kontrol tersebut dari Wilayah agregasi.
Anda dapat mengaktifkan dan menonaktifkan kontrol di setiap Wilayah dengan menggunakan konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CLI
[Petunjuk untuk mengaktifkan dan menonaktifkan kontrol bervariasi berdasarkan apakah Anda menggunakan konfigurasi pusat atau tidak.](central-configuration-intro.md) Topik ini menjelaskan perbedaannya. Konfigurasi pusat tersedia untuk pengguna yang mengintegrasikan Security Hub CSPM dan. AWS Organizations Sebaiknya gunakan konfigurasi pusat untuk menyederhanakan proses mengaktifkan dan menonaktifkan kontrol di lingkungan multi-akun dan Multi-wilayah. Jika Anda menggunakan konfigurasi pusat, Anda dapat mengaktifkan kontrol di beberapa akun dan Wilayah melalui penggunaan kebijakan konfigurasi. Jika Anda tidak menggunakan konfigurasi pusat, Anda harus mengaktifkan kontrol secara terpisah di setiap Wilayah dan akun.
# Mengaktifkan kontrol lintas standar
Sebaiknya aktifkan kontrol CSPM AWS Security Hub di semua standar yang berlaku untuk kontrol tersebut. Jika Anda mengaktifkan temuan kontrol konsolidasi, Anda menerima satu temuan per pemeriksaan kontrol bahkan jika kontrol milik lebih dari satu standar.
## Pemberdayaan lintas standar di lingkungan multi-akun, Multi-wilayah
[Untuk mengaktifkan kontrol keamanan di beberapa Akun AWS dan Wilayah AWS, Anda harus masuk ke akun administrator CSPM Security Hub yang didelegasikan dan menggunakan konfigurasi pusat.](central-configuration-intro.md)
Di bawah konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi CSPM Security Hub yang mengaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan unit organisasi (OUs) atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.
Kebijakan konfigurasi menawarkan penyesuaian. Misalnya, Anda dapat memilih untuk mengaktifkan semua kontrol dalam satu OU, dan Anda dapat memilih untuk mengaktifkan hanya kontrol Amazon Elastic Compute Cloud (EC2) di OU lain. Tingkat perincian tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang memungkinkan kontrol tertentu di seluruh standar, lihat[Membuat dan mengaitkan kebijakan konfigurasi](create-associate-policy.md).
**catatan**
Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar [yang Dikelola Layanan](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Kontrol untuk standar ini harus dikonfigurasi dalam AWS Control Tower layanan.
Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.
## Pemberdayaan lintas standar dalam satu akun dan Wilayah
Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk mengaktifkan kontrol dalam satu akun dan Wilayah.
------
#### [ Security Hub CSPM console ]
**Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Pilih **Kontrol** dari panel navigasi.
1. Pilih tab **Dinonaktifkan**.
1. Pilih opsi di sebelah kontrol.
1. Pilih **Aktifkan Kontrol** (opsi ini tidak muncul untuk kontrol yang sudah diaktifkan).
1. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.
------
#### [ Security Hub CSPM API ]
**Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah**
1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Berikan ID kontrol keamanan.
**Contoh permintaan:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Berikan Nama Sumber Daya Amazon (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standar ARNs, jalankan [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).
1. Atur `AssociationStatus` parameter sama dengan`ENABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, API akan mengembalikan respons kode status HTTP 200.
**Contoh permintaan:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.
------
#### [ AWS CLI ]
**Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah**
1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Berikan ID kontrol keamanan.
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Berikan Nama Sumber Daya Amazon (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standar ARNs, jalankan `describe-standards` perintah.
1. Atur `AssociationStatus` parameter sama dengan`ENABLED`. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, perintah akan mengembalikan respons kode status HTTP 200.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.
------
# Mengaktifkan kontrol dalam standar tertentu
Bila Anda mengaktifkan standar di AWS Security Hub CSPM, semua kontrol yang berlaku untuk itu secara otomatis diaktifkan dalam standar tersebut (pengecualian untuk ini adalah standar yang dikelola layanan). Anda kemudian dapat menonaktifkan dan mengaktifkan kembali kontrol tertentu dalam standar. Namun, kami menyarankan untuk menyelaraskan status pemberdayaan kontrol di semua standar yang Anda aktifkan. Untuk petunjuk tentang mengaktifkan kontrol di semua standar, lihat[Mengaktifkan kontrol lintas standar](enable-controls-overview.md).
Halaman detail untuk standar berisi daftar kontrol yang berlaku untuk standar, dan informasi tentang kontrol mana yang saat ini diaktifkan dan dinonaktifkan dalam standar tersebut.
Pada halaman detail standar, Anda juga dapat mengaktifkan kontrol dalam standar tertentu. Anda harus mengaktifkan kontrol dalam standar tertentu secara terpisah di masing-masing Akun AWS dan Wilayah AWS. Ketika Anda mengaktifkan kontrol dalam standar tertentu, itu hanya memengaruhi akun saat ini dan Wilayah.
Untuk mengaktifkan kontrol dalam standar, Anda harus terlebih dahulu mengaktifkan setidaknya satu standar yang berlaku kontrol. Untuk petunjuk tentang mengaktifkan standar, lihat[Mengaktifkan standar keamanan](enable-standards.md). Ketika Anda mengaktifkan kontrol dalam satu atau beberapa standar, Security Hub CSPM mulai menghasilkan temuan untuk kontrol tersebut. Security Hub CSPM mencakup [status kontrol](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) dalam perhitungan skor keamanan keseluruhan dan skor keamanan standar. Bahkan jika Anda mengaktifkan kontrol dalam beberapa standar, Anda akan menerima satu temuan per pemeriksaan keamanan di seluruh standar jika Anda mengaktifkan temuan kontrol konsolidasi. Untuk informasi lebih lanjut, lihat [Temuan kontrol konsolidasi](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).
Untuk mengaktifkan kontrol dalam standar, kontrol harus tersedia di Wilayah Anda saat ini. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol menurut Wilayah](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).
Ikuti langkah-langkah ini untuk mengaktifkan kontrol CSPM Security Hub dalam standar *tertentu*. Sebagai pengganti langkah-langkah berikut, Anda juga dapat menggunakan tindakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API untuk mengaktifkan kontrol dalam standar tertentu. Untuk petunjuk tentang mengaktifkan kontrol di *semua* standar, lihat[Pemberdayaan lintas standar dalam satu akun dan Wilayah](enable-controls-overview.md#enable-controls-all-standards).
------
#### [ Security Hub CSPM console ]
**Untuk mengaktifkan kontrol dalam standar tertentu**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Pilih **Standar keamanan** dari panel navigasi.
1. Pilih **Lihat hasil** untuk standar yang relevan.
1. Pilih kontrol.
1. Pilih **Aktifkan Kontrol** (opsi ini tidak muncul untuk kontrol yang sudah diaktifkan). Konfirmasikan dengan memilih **Aktifkan**.
------
#### [ Security Hub CSPM API ]
**Untuk mengaktifkan kontrol dalam standar tertentu**
1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) API ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs
**Contoh permintaan:**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. Jalankan`[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.
**Contoh permintaan:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. Jalankan `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Berikan ARN standar yang ingin Anda aktifkan kontrolnya.
1. Atur `AssociationStatus` parameter sama dengan`ENABLED`.
**Contoh permintaan:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
```
------
#### [ AWS CLI ]
**Untuk mengaktifkan kontrol dalam standar tertentu**
1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` perintah, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. `describe-standards` Perintah ini mengembalikan kontrol keamanan agnostik standar, bukan kontrol IDs khusus standar. IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. Jalankan `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` perintah, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. Jalankan perintah `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Berikan ARN standar yang ingin Anda aktifkan kontrolnya.
1. Atur `AssociationStatus` parameter sama dengan`ENABLED`.
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
```
------
# Mengaktifkan kontrol baru dalam standar yang diaktifkan secara otomatis
AWS Security Hub CSPM secara teratur merilis kontrol baru dan menambahkannya ke satu atau lebih standar. Anda dapat memilih apakah akan mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan.
Sebaiknya gunakan konfigurasi pusat CSPM Security Hub untuk mengaktifkan kontrol keamanan baru secara otomatis. Anda dapat membuat kebijakan konfigurasi yang menyertakan daftar kontrol yang akan dinonaktifkan di seluruh standar. Semua kontrol lainnya, termasuk yang baru dirilis, diaktifkan secara default. Atau, Anda dapat membuat kebijakan yang menyertakan daftar kontrol yang akan diaktifkan di seluruh standar. Semua kontrol lainnya, termasuk yang baru dirilis, dinonaktifkan secara default. Untuk informasi selengkapnya, lihat [Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).
Security Hub CSPM tidak mengaktifkan kontrol baru saat ditambahkan ke standar yang belum Anda aktifkan.
Petunjuk berikut hanya berlaku jika Anda tidak menggunakan konfigurasi pusat.
Pilih metode akses pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan kontrol baru secara otomatis dalam standar yang diaktifkan.
**catatan**
Saat Anda mengaktifkan kontrol baru secara otomatis menggunakan petunjuk berikut, Anda dapat berinteraksi dengan kontrol di konsol dan secara terprogram segera setelah rilis. Namun, kontrol yang diaktifkan secara otomatis memiliki status default sementara **Dinonaktifkan**. Diperlukan waktu hingga beberapa hari untuk Security Hub CSPM untuk memproses rilis kontrol dan menetapkan kontrol sebagai **Diaktifkan** di akun Anda. Selama periode pemrosesan, Anda dapat mengaktifkan atau menonaktifkan kontrol secara manual, dan Security Hub CSPM akan mempertahankan penunjukan itu terlepas dari apakah Anda mengaktifkan kontrol otomatis diaktifkan.
------
#### [ Security Hub CSPM console ]
**Untuk mengaktifkan kontrol baru secara otomatis**
1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Pengaturan**, lalu pilih tab **Umum**.
1. Di bawah **Kontrol**, pilih **Edit**.
1. Aktifkan **Aktifkan otomatis kontrol baru dalam standar yang diaktifkan**.
1. Pilih **Simpan**.
------
#### [ Security Hub CSPM API ]
**Untuk mengaktifkan kontrol baru secara otomatis**
1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).
1. Untuk mengaktifkan kontrol baru secara otomatis untuk standar yang diaktifkan, setel `AutoEnableControls` ke`true`. Jika Anda tidak ingin mengaktifkan kontrol baru secara otomatis, setel `AutoEnableControls` ke false.
------
#### [ AWS CLI ]
**Untuk mengaktifkan kontrol baru secara otomatis**
1. Jalankan perintah [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).
1. Untuk mengaktifkan kontrol baru secara otomatis untuk standar yang diaktifkan, tentukan`--auto-enable-controls`. Jika Anda tidak ingin mengaktifkan kontrol baru secara otomatis, tentukan`--no-auto-enable-controls`.
```
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
```
**Contoh perintah**
```
aws securityhub update-security-hub-configuration --auto-enable-controls
```
------
Jika Anda tidak secara otomatis mengaktifkan kontrol baru, maka Anda harus mengaktifkannya secara manual. Untuk petunjuk, lihat [Mengaktifkan kontrol di Security Hub CSPM](securityhub-standards-enable-disable-controls.md).