Mengaktifkan dan menonaktifkan standar di Security Hub - AWS Security Hub
Mengaktifkan standar keamananMenonaktifkan standar keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan dan menonaktifkan standar di Security Hub

Anda dapat mengaktifkan atau menonaktifkan setiap standar keamanan yang tersedia di Security Hub.

Sebelum Anda mengaktifkan standar keamanan apa pun, pastikan Anda telah mengaktifkan AWS Config dan mengonfigurasi perekaman sumber daya. Jika tidak, Security Hub mungkin tidak dapat menghasilkan temuan untuk kontrol yang berlaku untuk standar. Untuk informasi selengkapnya, lihat Mengkonfigurasi AWS Config untuk Security Hub.

catatan

Petunjuk untuk mengaktifkan dan menonaktifkan standar bervariasi berdasarkan apakah Anda menggunakan konfigurasi pusat atau tidak. Bagian ini menjelaskan perbedaannya. Konfigurasi pusat tersedia untuk pengguna yang mengintegrasikan Security Hub dan AWS Organizations. Kami merekomendasikan penggunaan konfigurasi pusat untuk menyederhanakan proses mengaktifkan dan menonaktifkan standar di lingkungan multi-akun, Multi-wilayah.

Mengaktifkan standar keamanan

Ketika Anda mengaktifkan standar keamanan, semua kontrol yang berlaku untuk standar secara otomatis diaktifkan di dalamnya. Security Hub juga mulai menghasilkan temuan untuk kontrol yang berlaku untuk standar.

Anda dapat memilih kontrol mana yang akan diaktifkan dan dinonaktifkan di setiap standar. Menonaktifkan kontrol menghentikan temuan untuk kontrol yang dihasilkan, dan kontrol diabaikan saat menghitung skor keamanan.

Saat Anda mengaktifkan Security Hub, Security Hub menghitung skor keamanan awal untuk standar dalam waktu 30 menit setelah kunjungan pertama Anda ke halaman Ringkasan atau halaman standar Keamanan di konsol Security Hub. Diperlukan waktu hingga 24 jam untuk skor keamanan pertama kali dihasilkan di Wilayah China dan AWS GovCloud (US) Region. Skor hanya dihasilkan untuk standar yang diaktifkan saat Anda mengunjungi halaman tersebut. Selain itu, perekaman AWS Config sumber daya harus dikonfigurasi agar skor muncul. Setelah menghasilkan skor pertama kali, Security Hub memperbarui skor keamanan setiap 24 jam. Security Hub menampilkan stempel waktu untuk menunjukkan kapan skor keamanan terakhir diperbarui. Untuk melihat daftar standar yang saat ini diaktifkan di akun Anda, panggil. GetEnabledStandardsAPI

Mengaktifkan standar di beberapa akun dan Wilayah

Untuk mengaktifkan standar keamanan di beberapa akun dan Wilayah AWS, Anda harus menggunakan konfigurasi pusat.

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi Security Hub yang mengaktifkan satu atau beberapa standar. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan unit organisasi (OUs) atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan penyesuaian. Misalnya, Anda dapat memilih untuk mengaktifkan hanya AWS Foundational Security Best Practices (FSBP) dalam satu OU, dan Anda dapat memilih untuk mengaktifkan FSBP dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 di OU lain. Untuk petunjuk cara membuat kebijakan konfigurasi yang memungkinkan standar tertentu, lihat Membuat dan mengaitkan kebijakan konfigurasi

Jika Anda menggunakan konfigurasi pusat, Security Hub tidak secara otomatis mengaktifkan standar apa pun di akun baru atau yang sudah ada. Sebagai gantinya, saat membuat kebijakan konfigurasi, administrator yang didelegasikan menentukan standar mana yang akan diaktifkan di akun yang berbeda. Security Hub menawarkan kebijakan konfigurasi yang direkomendasikan yang hanya FSBP diaktifkan. Untuk informasi selengkapnya, lihat Jenis kebijakan konfigurasi.

catatan

Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengaktifkan standar apa pun kecuali Standar yang Dikelola Layanan:. AWS Control Tower Anda dapat mengaktifkan standar ini hanya dalam AWS Control Tower layanan. Jika Anda menggunakan konfigurasi pusat, Anda dapat mengaktifkan dan menonaktifkan kontrol dalam standar ini untuk akun yang dikelola secara terpusat hanya di AWS Control Tower.

Jika Anda ingin beberapa akun mengonfigurasi standarnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi standar secara terpisah di setiap Wilayah.

Mengaktifkan standar dalam satu akun dan Wilayah

Jika Anda tidak menggunakan konfigurasi pusat atau jika Anda adalah akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan standar secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk mengaktifkan standar dalam satu akun dan Wilayah.

Security Hub console
Untuk mengaktifkan standar dalam satu akun dan Wilayah

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Konfirmasikan bahwa Anda menggunakan Security Hub di Wilayah tempat Anda ingin mengaktifkan standar.

  3. Di panel navigasi Security Hub, pilih Standar keamanan.

  4. Untuk standar yang ingin Anda aktifkan, pilih Aktifkan. Ini juga memungkinkan semua kontrol dalam standar itu.

  5. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan standar.

Security Hub API
Untuk mengaktifkan standar dalam satu akun dan Wilayah

  1. Memohon. BatchEnableStandardsAPI

  2. Berikan Amazon Resource Name (ARN) dari standar yang ingin Anda aktifkan. Untuk mendapatkan standarARN, panggil. DescribeStandardsAPI

  3. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan standar.

AWS CLI
Untuk mengaktifkan standar dalam satu akun dan Wilayah

  1. Jalankan perintah batch-enable-standards.

  2. Berikan Amazon Resource Name (ARN) dari standar yang ingin Anda aktifkan. Untuk mendapatkan standarARN, jalankan describe-standardsperintah.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Contoh

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan standar.

Secara otomatis mengaktifkan standar keamanan default

Jika Anda tidak menggunakan konfigurasi pusat, Security Hub secara otomatis mengaktifkan standar keamanan default di akun baru saat mereka bergabung dengan organisasi Anda. Semua kontrol yang merupakan bagian dari standar default juga diaktifkan secara otomatis. Saat ini, standar keamanan default yang diaktifkan secara otomatis adalah AWS Foundational Security Best Practices (FSBP) dan Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Anda dapat menonaktifkan standar yang diaktifkan secara otomatis jika Anda lebih suka mengaktifkan standar secara manual di akun baru.

Jika Anda menggunakan konfigurasi pusat, Anda dapat membuat kebijakan konfigurasi yang mengaktifkan standar default dan mengaitkan kebijakan ini dengan root. Semua akun organisasi Anda dan OUs akan mewarisi kebijakan konfigurasi ini kecuali jika dikaitkan dengan kebijakan yang berbeda atau dikelola sendiri.

Matikan standar yang diaktifkan secara otomatis

Langkah-langkah berikut hanya berlaku jika Anda mengintegrasikan dengan AWS Organizations tetapi tidak menggunakan konfigurasi pusat. Jika Anda tidak menggunakan integrasi Organizations, Anda dapat menonaktifkan standar default saat pertama kali mengaktifkan Security Hub, atau Anda dapat mengikuti langkah-langkah untuk menonaktifkan standar.

Security Hub console
Untuk mematikan standar yang diaktifkan secara otomatis

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

    Masuk menggunakan kredensil akun administrator.

  2. Di panel navigasi Security Hub, di bawah Pengaturan, pilih Konfigurasi.

  3. Di bagian Akun, matikan standar default Aktifkan otomatis.

Security Hub API
Untuk mematikan standar yang diaktifkan secara otomatis

  1. Memanggil UpdateOrganizationConfigurationAPIdari akun administrator Security Hub.

  2. Untuk mematikan standar yang diaktifkan secara otomatis di akun anggota baru, tetapkan AutoEnableStandards sama denganNONE.

AWS CLI
Untuk mematikan standar yang diaktifkan secara otomatis

  1. Jalankan perintah update-organization-configuration.

  2. Sertakan auto-enable-standards parameter untuk mematikan standar yang diaktifkan secara otomatis di akun anggota baru.

    aws securityhub update-organization-configuration --auto-enable-standards

Menonaktifkan standar keamanan

Saat Anda menonaktifkan standar keamanan di Security Hub, hal berikut akan terjadi:

  • Semua kontrol yang berlaku untuk standar juga dinonaktifkan kecuali jika dikaitkan dengan standar lain.

  • Pemeriksaan untuk kontrol yang dinonaktifkan tidak lagi dilakukan, dan tidak ada temuan tambahan yang dihasilkan untuk kontrol yang dinonaktifkan.

  • Temuan yang ada untuk kontrol yang dinonaktifkan diarsipkan secara otomatis setelah sekitar 3-5 hari.

  • AWS Config Aturan yang dibuat oleh Security Hub untuk kontrol yang dinonaktifkan akan dihapus.

    Ini biasanya terjadi dalam beberapa menit setelah Anda menonaktifkan standar, tetapi mungkin memakan waktu lebih lama. Jika permintaan pertama untuk menghapus AWS Config aturan gagal, maka Security Hub mencoba ulang setiap 12 jam. Namun, jika Anda menonaktifkan Security Hub atau tidak mengaktifkan standar lain, maka Security Hub tidak dapat mencoba lagi permintaan tersebut, artinya tidak dapat menghapus AWS Config aturan. Jika ini terjadi, dan Anda perlu menghapus AWS Config aturan, hubungi AWS Support.

Menonaktifkan standar di beberapa akun dan Wilayah

Untuk menonaktifkan standar keamanan di beberapa akun dan Wilayah, Anda harus menggunakan konfigurasi pusat.

Bila Anda menggunakan konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi yang menonaktifkan satu atau beberapa standar. Anda dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan OUs atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan penyesuaian. Misalnya, Anda dapat memilih untuk menonaktifkan Standar Keamanan Data Industri Kartu Pembayaran (PCIDSS) dalam satu OU, dan Anda dapat memilih untuk menonaktifkan keduanya PCI DSS dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5 di OU lain. Untuk petunjuk cara membuat kebijakan konfigurasi yang menonaktifkan standar tertentu, lihatMembuat dan mengaitkan kebijakan konfigurasi.

catatan

Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk menonaktifkan standar apa pun kecuali Standar yang Dikelola Layanan:. AWS Control Tower Anda dapat menonaktifkan standar ini hanya dalam AWS Control Tower layanan. Jika Anda menggunakan konfigurasi pusat, Anda dapat mengaktifkan dan menonaktifkan kontrol dalam standar ini untuk akun yang dikelola secara terpusat hanya di AWS Control Tower.

Jika Anda ingin beberapa akun mengonfigurasi standarnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi standar secara terpisah di setiap Wilayah.

Menonaktifkan standar dalam satu akun dan Wilayah

Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk menonaktifkan standar secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk menonaktifkan standar dalam satu akun dan Wilayah.

Security Hub console
Untuk menonaktifkan standar dalam satu akun dan Wilayah

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Konfirmasikan bahwa Anda menggunakan Security Hub di Wilayah tempat Anda ingin menonaktifkan standar.

  3. Di panel navigasi Security Hub, pilih Standar keamanan.

  4. Untuk standar yang ingin Anda nonaktifkan, pilih Nonaktifkan.

  5. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan standar.

Security Hub API
Untuk menonaktifkan standar dalam satu akun dan Wilayah

  1. Memohon. BatchDisableStandardsAPI

  2. Untuk setiap standar yang ingin Anda nonaktifkan, berikan langganan standarARN. Untuk mendapatkan langganan ARNs untuk standar Anda yang diaktifkan, panggil. GetEnabledStandardsAPI

  3. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan standar.

AWS CLI
Untuk menonaktifkan standar dalam satu akun dan Wilayah

  1. Jalankan perintah batch-disable-standards.

  2. Untuk setiap standar yang ingin Anda nonaktifkan, berikan langganan standarARN. Untuk mendapatkan langganan ARNs untuk standar yang diaktifkan, jalankan get-enabled-standardsperintah.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Contoh

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Ulangi di setiap Wilayah di mana Anda ingin menonaktifkan standar.