Ci sono altri AWS SDK esempi disponibili nel repository AWS Doc SDK Examples
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di Security Hub che utilizzano AWS CLI
I seguenti esempi di codice mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface with Security Hub.
Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Sebbene le azioni mostrino come richiamare le singole funzioni di servizio, è possibile visualizzare le azioni nel loro contesto negli scenari correlati.
Ogni esempio include un collegamento al codice sorgente completo, in cui è possibile trovare istruzioni su come configurare ed eseguire il codice nel contesto.
Argomenti
Azioni
Il seguente esempio di codice mostra come utilizzareaccept-administrator-invitation.
- AWS CLI
-
Accettare un invito da un account amministratore
L'
accept-administrator-invitationesempio seguente accetta l'invito specificato dall'account amministratore specificato.aws securityhub accept-invitation \ --administrator-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebQuesto comando non produce alcun output.
Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere AcceptAdministratorInvitation
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareaccept-invitation.
- AWS CLI
-
Accettare un invito da un account amministratore
L'
accept-invitationesempio seguente accetta l'invito specificato dall'account amministratore specificato.aws securityhub accept-invitation \ --master-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebQuesto comando non produce alcun output.
Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere AcceptInvitation
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-delete-automation-rules.
- AWS CLI
-
Per eliminare le regole di automazione
L'
batch-delete-automation-rulesesempio seguente elimina la regola di automazione specificata. È possibile eliminare una o più regole con un solo comando. Solo l'account amministratore di Security Hub può eseguire questo comando.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, vedere Eliminazione delle regole di automazione nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchDeleteAutomationRules
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-disable-standards.
- AWS CLI
-
Per disabilitare uno standard
L'
batch-disable-standardsesempio seguente disabilita lo standard associato all'abbonamento ARN specificato.aws securityhub batch-disable-standards \ --standards-subscription-arns"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, vedere Disabilitazione o abilitazione di uno standard di sicurezza nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchDisableStandards
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-enable-standards.
- AWS CLI
-
Per abilitare uno standard
L'
batch-enable-standardsesempio seguente abilita lo PCI DSS standard per l'account richiedente.aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, vedere Disabilitazione o abilitazione di uno standard di sicurezza nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchEnableStandards
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-get-automation-rules.
- AWS CLI
-
Per ottenere dettagli sulle regole di automazione
L'
batch-get-automation-rulesesempio seguente ottiene i dettagli per la regola di automazione specificata. È possibile ottenere dettagli per una o più regole di automazione con un solo comando.aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Output:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, vedere Visualizzazione delle regole di automazione nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchGetAutomationRules
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-get-configuration-policy-associations.
- AWS CLI
-
Per ottenere i dettagli dell'associazione di configurazione per un batch di destinazioni
L'
batch-get-configuration-policy-associationsesempio seguente recupera i dettagli dell'associazione per gli obiettivi specificati. È possibile fornire l'account IDsIDs, l'unità organizzativa o l'ID radice per la destinazione.aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Per ulteriori informazioni, vedere Visualizzazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchGetConfigurationPolicyAssociations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-get-security-controls.
- AWS CLI
-
Per ottenere i dettagli del controllo di sicurezza
L'
batch-get-security-controlsesempio seguente ottiene i dettagli per i controlli di sicurezza ACM .1 e IAM .1 nell' AWS account e AWS nella regione correnti.aws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'Output:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }Per ulteriori informazioni, vedere Visualizzazione dei dettagli di un controllo nella Guida per l'utente del AWS Security Hub.
-
Per API i dettagli, vedere BatchGetSecurityControls
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-get-standards-control-associations.
- AWS CLI
-
Per ottenere lo stato di attivazione di un controllo
L'
batch-get-standards-control-associationsesempio seguente identifica se i controlli specificati sono abilitati negli standard specificati.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'Output:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }Per ulteriori informazioni, vedere Abilitazione e disabilitazione dei controlli in standard specifici nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchGetStandardsControlAssociations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-import-findings.
- AWS CLI
-
Per aggiornare un risultato
L'
batch-import-findingsesempio seguente aggiorna un risultato.aws securityhub batch-import-findings \ --findings '[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'Output:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }Per ulteriori informazioni, consulta Utilizzare BatchImportFindings per creare e aggiornare i risultati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchImportFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-update-automation-rules.
- AWS CLI
-
Per aggiornare le regole di automazione
L'
batch-update-automation-rulesesempio seguente aggiorna la regola di automazione specificata. È possibile aggiornare una o più regole con un solo comando. Solo l'account amministratore di Security Hub può eseguire questo comando.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, vedere Modifica delle regole di automazione nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchUpdateAutomationRules
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-update-findings.
- AWS CLI
-
Esempio 1: aggiornare un risultato
L'
batch-update-findingsesempio seguente aggiorna due risultati per aggiungere una nota, modificare l'etichetta di gravità e risolverlo.aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Per ulteriori informazioni, consulta Utilizzare BatchUpdateFindings per aggiornare un risultato nella Guida per l'utente AWS di Security Hub.
Esempio 2: Per aggiornare un risultato utilizzando la sintassi abbreviata
L'
batch-update-findingsesempio seguente aggiorna due risultati per aggiungere una nota, modificare l'etichetta di gravità e risolverlo utilizzando una sintassi abbreviata.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Per ulteriori informazioni, consulta Utilizzare BatchUpdateFindings per aggiornare un risultato nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere BatchUpdateFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-update-standards-control-associations.
- AWS CLI
-
Per aggiornare lo stato di abilitazione di un controllo negli standard abilitati
L'
batch-update-standards-control-associationsesempio seguente disabilita CloudTrail .1 negli standard specificati.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'Questo comando non produce alcun output se ha esito positivo.
Per ulteriori informazioni, vedere Abilitazione e disabilitazione dei controlli in standard specifici e Abilitazione e disabilitazione dei controlli in tutti gli standard nella Guida per l'utente di AWS Security Hub.
-
Per API i dettagli, vedere BatchUpdateStandardsControlAssociations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-action-target.
- AWS CLI
-
Per creare un'azione personalizzata
L'
create-action-targetesempio seguente crea un'azione personalizzata. Fornisce il nome, la descrizione e l'identificatore dell'azione.aws securityhub create-action-target \ --name"Send to remediation"\ --description"Action to send the finding for remediation tracking"\ --id"Remediation"Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere CreateActionTarget
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-automation-rule.
- AWS CLI
-
Per creare una regola di automazione
L'
create-automation-ruleesempio seguente crea una regola di automazione nell' AWS account corrente e AWS nella regione. Security Hub filtra i risultati in base ai criteri specificati e applica le azioni ai risultati corrispondenti. Solo l'account amministratore di Security Hub può eseguire questo comando.aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description"A sample rule"\ --no-is-terminal \ --rule-name"sample rule"\ --rule-order1\ --rule-status"ENABLED"Output:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, vedere Creazione di regole di automazione nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere CreateAutomationRule
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-configuration-policy.
- AWS CLI
-
Per creare una politica di configurazione
L'
create-configuration-policyesempio seguente crea una politica di configurazione con le impostazioni specificate.aws securityhub create-configuration-policy \ --name"SampleConfigurationPolicy"\ --description"SampleDescription"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Per ulteriori informazioni, vedere Creazione e associazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere CreateConfigurationPolicy
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-finding-aggregator.
- AWS CLI
-
Per abilitare l'aggregazione dei risultati
L'
create-finding-aggregatoresempio seguente configura l'aggregazione dei risultati. Viene eseguita dagli Stati Uniti orientali (Virginia), che designano gli Stati Uniti orientali (Virginia) come regione di aggregazione. Indica di collegare solo regioni specifiche e di non collegare automaticamente nuove regioni. Seleziona Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon) come regioni collegate.aws securityhub create-finding-aggregator \ --regionus-east-1\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Per ulteriori informazioni, vedere Abilitazione dell'aggregazione dei risultati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere CreateFindingAggregator
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-insight.
- AWS CLI
-
Per creare una visione personalizzata
L'
create-insightesempio seguente crea un'analisi personalizzata denominata Critical role finding che restituisce risultati critici correlati ai AWS ruoli.aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute"ResourceId"\ --name"Critical role findings"Output:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Gestire informazioni personalizzate nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere CreateInsight
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-members.
- AWS CLI
-
Per aggiungere account come account membri
L'
create-membersesempio seguente aggiunge due account come account membro all'account amministratore richiedente.aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere CreateMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredecline-invitations.
- AWS CLI
-
Per rifiutare un invito a diventare membro dell'account
L'
decline-invitationsesempio seguente rifiuta un invito a diventare un account membro dell'account amministratore specificato. L'account membro è l'account richiedente.aws securityhub decline-invitations \ --account-ids"123456789012"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DeclineInvitations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-action-target.
- AWS CLI
-
Per eliminare un'azione personalizzata
L'
delete-action-targetesempio seguente elimina l'azione personalizzata identificata dall'azione specificataARN.aws securityhub delete-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DeleteActionTarget
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-configuration-policy.
- AWS CLI
-
Per eliminare una politica di configurazione
L'
delete-configuration-policyesempio seguente elimina la politica di configurazione specificata.aws securityhub delete-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Eliminazione e dissociazione dei criteri di configurazione di Security Hub nella Guida per l'utente di AWS Security Hub.
-
Per API i dettagli, vedere DeleteConfigurationPolicy
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-finding-aggregator.
- AWS CLI
-
Per smettere di cercare l'aggregazione
L'
delete-finding-aggregatoresempio seguente interrompe la ricerca dell'aggregazione. Viene eseguito dagli Stati Uniti orientali (Virginia), che è la regione di aggregazione.aws securityhub delete-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Stopping finding aggregation nella AWS Security Hub User Guide.
-
Per API i dettagli, vedere DeleteFindingAggregator
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-insight.
- AWS CLI
-
Per eliminare un insight personalizzato
L'
delete-insightesempio seguente elimina l'analisi personalizzata con quella specificataARN.aws securityhub delete-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Gestire informazioni personalizzate nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DeleteInsight
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-invitations.
- AWS CLI
-
Per eliminare un invito a diventare membro dell'account
L'
delete-invitationsesempio seguente elimina un invito a diventare un account membro per l'account amministratore specificato. L'account membro è l'account richiedente.aws securityhub delete-invitations \ --account-ids"123456789012"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DeleteInvitations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-members.
- AWS CLI
-
Per eliminare gli account dei membri
L'
delete-membersesempio seguente elimina gli account membro specificati dall'account amministratore richiedente.aws securityhub delete-members \ --account-ids"123456789111""123456789222"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DeleteMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-action-targets.
- AWS CLI
-
Per recuperare i dettagli sulle azioni personalizzate
L'
describe-action-targetsesempio seguente recupera informazioni sull'azione personalizzata identificata dall'azione specificata. ARNaws securityhub describe-action-targets \ --action-target-arns"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Output:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DescribeActionTargets
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-hub.
- AWS CLI
-
Per ottenere informazioni su una risorsa dell'hub
L'
describe-hubesempio seguente restituisce la data di sottoscrizione per la risorsa hub specificata. La risorsa hub è identificata dalla suaARN.aws securityhub describe-hub \ --hub-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Output:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per API i dettagli, vedere DescribeHub
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-organization-configuration.
- AWS CLI
-
Per visualizzare come è configurato Security Hub per un'organizzazione
L'
describe-organization-configurationesempio seguente restituisce informazioni sul modo in cui un'organizzazione è configurata in Security Hub. In questo esempio, l'organizzazione utilizza la configurazione centrale. Solo l'account amministratore di Security Hub può eseguire questo comando.aws securityhub describe-organization-configurationOutput:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }Per ulteriori informazioni, consulta Managing accounts with AWS Organizations nella AWS Security Hub User Guide.
-
Per API i dettagli, vedere DescribeOrganizationConfiguration
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-products.
- AWS CLI
-
Per restituire informazioni sulle integrazioni di prodotti disponibili
L'
describe-productsesempio seguente restituisce le integrazioni di prodotti disponibili una alla volta.aws securityhub describe-products \ --max-results1Output:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }Per ulteriori informazioni, consulta Gestire le integrazioni dei prodotti nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DescribeProducts
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-standards-controls.
- AWS CLI
-
Per richiedere l'elenco dei controlli in uno standard abilitato
L'
describe-standards-controlsesempio seguente richiede l'elenco dei controlli nella sottoscrizione allo PCI DSS standard dell'account richiedente. La richiesta restituisce due controlli alla volta.aws securityhub describe-standards-controls \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"\ --max-results2Output:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }Per ulteriori informazioni, consulta Visualizzazione dei dettagli per i controlli nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DescribeStandardsControls
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-standards.
- AWS CLI
-
Per restituire un elenco di standard disponibili
L'
describe-standardsesempio seguente restituisce l'elenco degli standard disponibili.aws securityhub describe-standardsOutput:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }Per ulteriori informazioni, consulta gli standard di sicurezza in AWS Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DescribeStandards
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisable-import-findings-for-product.
- AWS CLI
-
Per non ricevere più risultati dall'integrazione di un prodotto
L'
disable-import-findings-for-productesempio seguente disabilita il flusso di risultati per l'abbonamento specificato a un'integrazione di prodotto.aws securityhub disable-import-findings-for-product \ --product-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Gestire le integrazioni dei prodotti nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DisableImportFindingsForProduct
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisable-organization-admin-account.
- AWS CLI
-
Per rimuovere un account amministratore di Security Hub
L'
disable-organization-admin-accountesempio seguente revoca l'assegnazione dell'account specificato come account amministratore di Security Hub per Organizations. AWSaws securityhub disable-organization-admin-account \ --admin-account-id777788889999Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Designazione di un account amministratore di Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DisableOrganizationAdminAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisable-security-hub.
- AWS CLI
-
Per disabilitare AWS Security Hub
L'
disable-security-hubesempio seguente disattiva AWS Security Hub per l'account richiedente.aws securityhub disable-security-hubQuesto comando non produce alcun output.
Per ulteriori informazioni, vedere Disabling AWS Security Hub nella Security Hub User Guide.AWS
-
Per API i dettagli, vedere DisableSecurityHub
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisassociate-from-administrator-account.
- AWS CLI
-
Dissociarsi da un account amministratore
L'
disassociate-from-administrator-accountesempio seguente dissocia l'account richiedente dal relativo account amministratore corrente.aws securityhub disassociate-from-administrator-accountQuesto comando non produce alcun output.
Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DisassociateFromAdministratorAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisassociate-from-master-account.
- AWS CLI
-
Dissociarsi da un account amministratore
L'
disassociate-from-master-accountesempio seguente dissocia l'account richiedente dal relativo account amministratore corrente.aws securityhub disassociate-from-master-accountQuesto comando non produce alcun output.
Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DisassociateFromMasterAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisassociate-members.
- AWS CLI
-
Per dissociare gli account dei membri
L'
disassociate-membersesempio seguente dissocia gli account membro specificati dall'account amministratore richiedente.aws securityhub disassociate-members \ --account-ids"123456789111""123456789222"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere DisassociateMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareenable-import-findings-for-product.
- AWS CLI
-
Per iniziare a ricevere i risultati dell'integrazione di un prodotto
L'
enable-import-findings-for-productesempio seguente abilita il flusso di risultati derivanti dall'integrazione del prodotto specificata.aws securityhub enable-import-findings-for-product \ --product-arn"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"Output:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }Per ulteriori informazioni, consulta Gestire le integrazioni dei prodotti nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere EnableImportFindingsForProduct
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareenable-organization-admin-account.
- AWS CLI
-
Per designare un account dell'organizzazione come account amministratore di Security Hub
L'
enable-organization-admin-accountesempio seguente designa l'account specificato come account amministratore di Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id777788889999Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Designazione di un account amministratore di Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere EnableOrganizationAdminAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareenable-security-hub.
- AWS CLI
-
Per abilitare AWS Security Hub
L'
enable-security-hubesempio seguente abilita AWS Security Hub per l'account richiedente. Configura Security Hub per abilitare gli standard predefiniti. Per la risorsa hub, assegna il valoreSecurityal tag.Departmentaws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Enabling Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere EnableSecurityHub
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-administrator-account.
- AWS CLI
-
Per recuperare informazioni su un account amministratore
L'
get-administrator-accountesempio seguente recupera le informazioni sull'account amministratore per l'account richiedente.aws securityhub get-administrator-accountOutput:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetAdministratorAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-configuration-policy-association.
- AWS CLI
-
Per ottenere i dettagli dell'associazione di configurazione per un obiettivo
L'
get-configuration-policy-associationesempio seguente recupera i dettagli dell'associazione per l'obiettivo specificato. È possibile fornire un ID account, un ID dell'unità organizzativa o l'ID radice per la destinazione.aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Per ulteriori informazioni, vedere Visualizzazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetConfigurationPolicyAssociation
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-configuration-policy.
- AWS CLI
-
Per visualizzare i dettagli della politica di configurazione
L'
get-configuration-policyesempio seguente recupera i dettagli sulla politica di configurazione specificata.aws securityhub get-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Per ulteriori informazioni, vedere Visualizzazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetConfigurationPolicy
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-enabled-standards.
- AWS CLI
-
Per recuperare informazioni su uno standard abilitato
L'
get-enabled-standardsesempio seguente recupera informazioni sullo PCI DSS standard.aws securityhub get-enabled-standards \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, consulta gli standard di sicurezza in AWS Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetEnabledStandards
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-finding-aggregator.
- AWS CLI
-
Per recuperare la configurazione corrente dell'aggregazione dei risultati
L'
get-finding-aggregatoresempio seguente recupera la configurazione corrente dell'aggregazione dei risultati.aws securityhub get-finding-aggregator \ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Per ulteriori informazioni, vedere Visualizzazione della configurazione corrente dell'aggregazione dei risultati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetFindingAggregator
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-finding-history.
- AWS CLI
-
Per iniziare a trovare la cronologia
L'
get-finding-historyesempio seguente recupera gli ultimi 90 giorni della cronologia del risultato specificato. In questo esempio, i risultati sono limitati a due record della cronologia dei risultati.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"Output:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }Per ulteriori informazioni, consulta la sezione Ricerca della cronologia nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetFindingHistory
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-findings.
- AWS CLI
-
Esempio 1: restituire i risultati generati per uno standard specifico
L'
get-findingsesempio seguente restituisce i risultati per lo PCI DSS standard.aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items1Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }Esempio 2: per restituire risultati di gravità critica con uno stato del flusso di lavoro pari a NOTIFIED
L'
get-findingsesempio seguente restituisce risultati con un valore dell'etichetta di gravità pari a CRITICAL e uno stato del flusso di lavoro pari a. NOTIFIED I risultati vengono ordinati in ordine decrescente in base al valore di Confidence.aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items1Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }Per ulteriori informazioni, consulta Filtraggio e raggruppamento dei risultati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-insight-results.
- AWS CLI
-
Per recuperare i risultati per un'analisi approfondita
L'
get-insight-resultsesempio seguente restituisce l'elenco dei risultati di analisi per l'analisi con il valore specificatoARN.aws securityhub get-insight-results \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }Per ulteriori informazioni, consulta Visualizzazione e azione in base ai risultati e ai risultati di Insight nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetInsightResults
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-insights.
- AWS CLI
-
Per recuperare dettagli su un'intuizione
L'
get-insightsesempio seguente recupera i dettagli di configurazione per l'analisi con quanto specificato. ARNaws securityhub get-insights \ --insight-arns"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }Per ulteriori informazioni, consulta Insights in AWS Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetInsights
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-invitations-count.
- AWS CLI
-
Per recuperare il numero di inviti che non sono stati accettati
L'
get-invitations-countesempio seguente recupera il numero di inviti che l'account richiedente ha rifiutato o a cui non ha risposto.aws securityhub get-invitations-countOutput:
{ "InvitationsCount": 3 }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetInvitationsCount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-master-account.
- AWS CLI
-
Per recuperare informazioni su un account amministratore
L'
get-master-accountesempio seguente recupera le informazioni sull'account amministratore per l'account richiedente.aws securityhub get-master-accountOutput:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetMasterAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-members.
- AWS CLI
-
Per recuperare informazioni sugli account dei membri selezionati
L'
get-membersesempio seguente recupera le informazioni sugli account membro specificati.aws securityhub get-members \ --account-ids"444455556666""777788889999"Output:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-security-control-definition.
- AWS CLI
-
Per ottenere i dettagli della definizione del controllo di sicurezza
L'
get-security-control-definitionesempio seguente recupera i dettagli della definizione per un controllo di sicurezza Security Hub. I dettagli includono il titolo del controllo, la descrizione, la disponibilità della regione, i parametri e altre informazioni.aws securityhub get-security-control-definition \ --security-control-idACM.1Output:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }Per ulteriori informazioni, vedere Parametri di controllo personalizzati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere GetSecurityControlDefinition
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareinvite-members.
- AWS CLI
-
Per inviare inviti agli account dei membri
L'
invite-membersesempio seguente invia gli inviti agli account dei membri specificati.aws securityhub invite-members \ --account-ids"123456789111""123456789222"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere InviteMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-automation-rules.
- AWS CLI
-
Per visualizzare un elenco di regole di automazione
L'
list-automation-rulesesempio seguente elenca le regole di automazione per un AWS account. Solo l'account amministratore di Security Hub può eseguire questo comando.aws securityhub list-automation-rules \ --max-results3\ --next-tokenNULLOutput:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }Per ulteriori informazioni, vedere Visualizzazione delle regole di automazione nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListAutomationRules
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-configuration-policies.
- AWS CLI
-
Per elencare i riepiloghi delle politiche di configurazione
L'
list-configuration-policiesesempio seguente elenca un riepilogo delle politiche di configurazione per l'organizzazione.aws securityhub list-configuration-policies \ --max-items3Output:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }Per ulteriori informazioni, vedere Visualizzazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListConfigurationPolicies
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-configuration-policy-associations.
- AWS CLI
-
Per elencare le associazioni di configurazione
L'
list-configuration-policy-associationsesempio seguente elenca un riepilogo delle associazioni di configurazione per l'organizzazione. La risposta include associazioni con politiche di configurazione e comportamenti autogestiti.aws securityhub list-configuration-policy-associations \ --association-type"APPLIED"\ --max-items4Output:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }Per ulteriori informazioni, vedere Visualizzazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListConfigurationPolicyAssociations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-enabled-products-for-import.
- AWS CLI
-
Per restituire l'elenco delle integrazioni di prodotti abilitate
L'
list-enabled-products-for-importesempio seguente restituisce l'elenco degli abbonamenti ARNS per le integrazioni di prodotti attualmente abilitate.aws securityhub list-enabled-products-for-importOutput:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }Per ulteriori informazioni, consulta Gestire le integrazioni dei prodotti nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListEnabledProductsForImport
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-finding-aggregators.
- AWS CLI
-
Per elencare i widget disponibili
L'
list-finding-aggregatorsesempio seguente restituisce la configurazione ARN di aggregazione dei risultati.aws securityhub list-finding-aggregatorsOutput:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }Per ulteriori informazioni, vedere Visualizzazione della configurazione corrente dell'aggregazione dei risultati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListFindingAggregators
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-invitations.
- AWS CLI
-
Per visualizzare un elenco di inviti
L'
list-invitationsesempio seguente recupera l'elenco degli inviti inviati all'account richiedente.aws securityhub list-invitationsOutput:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListInvitations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-members.
- AWS CLI
-
Per recuperare un elenco di account membri
L'
list-membersesempio seguente restituisce l'elenco degli account membro per l'account amministratore richiedente.aws securityhub list-membersOutput:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }Per ulteriori informazioni, vedere Gestione degli account amministratore e membro nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListMembers
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-organization-admin-accounts.
- AWS CLI
-
Per elencare gli account amministrativi designati per il Security Hub
L'
list-organization-admin-accountsesempio seguente elenca gli account amministratore di Security Hub per un'organizzazione.aws securityhub list-organization-admin-accountsOutput:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }Per ulteriori informazioni, vedere Designazione di un account amministratore di Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListOrganizationAdminAccounts
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-security-control-definitions.
- AWS CLI
-
Esempio 1: Per elencare tutti i controlli di sicurezza disponibili
L'
list-security-control-definitionsesempio seguente elenca i controlli di sicurezza disponibili in tutti gli standard di Security Hub. Questo esempio limita i risultati a tre controlli.aws securityhub list-security-control-definitions \ --max-items3Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }Per ulteriori informazioni, vedere Visualizzazione dei dettagli di uno standard nella Guida per l'utente del AWS Security Hub.
Esempio 2: per elencare i controlli di sicurezza disponibili per uno standard specifico
L'
list-security-control-definitionsesempio seguente elenca i controlli di sicurezza disponibili per CIS AWS Foundations Benchmark v1.4.0. Questo esempio limita i risultati a tre controlli.aws securityhub list-security-control-definitions \ --standards-arn"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"\ --max-items3Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }Per ulteriori informazioni, vedere Visualizzazione dei dettagli di uno standard nella Guida per l'utente del AWS Security Hub.
-
Per API i dettagli, vedere ListSecurityControlDefinitions
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-standards-control-associations.
- AWS CLI
-
Per ottenere lo stato di attivazione di un controllo in ogni standard abilitato
L'
list-standards-control-associationsesempio seguente elenca lo stato di abilitazione di CloudTrail .1 in ogni standard abilitato.aws securityhub list-standards-control-associations \ --security-control-idCloudTrail.1Output:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }Per ulteriori informazioni, vedere Abilitazione e disabilitazione dei controlli in standard specifici nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere ListStandardsControlAssociations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-tags-for-resource.
- AWS CLI
-
Per recuperare i tag assegnati a una risorsa
L'
list-tags-for-resourceesempio seguente restituisce i tag assegnati alla risorsa hub specificata.aws securityhub list-tags-for-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Output:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per API i dettagli, vedere ListTagsForResource
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarestart-configuration-policy-association.
- AWS CLI
-
Esempio 1: associare una politica di configurazione
L'
start-configuration-policy-associationesempio seguente associa la politica di configurazione specificata all'unità organizzativa specificata. Una configurazione può essere associata a un account di destinazione, a un'unità organizzativa o alla radice.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Per ulteriori informazioni, vedere Creazione e associazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
Esempio 2: associare una configurazione autogestita
L'
start-configuration-policy-associationesempio seguente associa una configurazione autogestita all'account specificato.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"OrganizationalUnitId": "123456789012"}'Output:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Per ulteriori informazioni, vedere Creazione e associazione dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere StartConfigurationPolicyAssociation
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarestart-configuration-policy-disassociation.
- AWS CLI
-
Esempio 1: dissociare una politica di configurazione
L'
start-configuration-policy-disassociationesempio seguente dissocia una politica di configurazione dall'unità organizzativa specificata. Una configurazione può essere dissociata da un account di destinazione, da un'unità organizzativa o dalla radice.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Dissociazione di una configurazione dagli account e OUs nella Guida per l'utente AWS di Security Hub.
Esempio 2: dissociare una configurazione autogestita
L'
start-configuration-policy-disassociationesempio seguente dissocia una configurazione autogestita dall'account specificato.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"AccountId": "123456789012"}'Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Dissociazione di una configurazione dagli account e OUs nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere StartConfigurationPolicyDisassociation
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaretag-resource.
- AWS CLI
-
Per assegnare un tag a una risorsa
L'
tag-resourceesempio seguente assegna i valori per i tag Reparto e Area alla risorsa hub specificata.aws securityhub tag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tags '{"Department":"Operations", "Area":"USMidwest"}'Questo comando non produce alcun output.
Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per API i dettagli, vedere TagResource
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareuntag-resource.
- AWS CLI
-
Per rimuovere un valore di tag da una risorsa
L'
untag-resourceesempio seguente rimuove il tag Department dalla risorsa hub specificata.aws securityhub untag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tag-keys"Department"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per API i dettagli, vedere UntagResource
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-action-target.
- AWS CLI
-
Per aggiornare un'azione personalizzata
L'
update-action-targetesempio seguente aggiorna il nome dell'azione personalizzata identificata dall'azione specificataARN.aws securityhub update-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"\ --name"Send to remediation"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere UpdateActionTarget
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-configuration-policy.
- AWS CLI
-
Per aggiornare una politica di configurazione
L'
update-configuration-policyesempio seguente aggiorna una politica di configurazione esistente per utilizzare le impostazioni specificate.aws securityhub update-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"\ --name"SampleConfigurationPolicyUpdated"\ --description"SampleDescriptionUpdated"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }Per ulteriori informazioni, vedere Aggiornamento dei criteri di configurazione del Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere UpdateConfigurationPolicy
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-finding-aggregator.
- AWS CLI
-
Per aggiornare la configurazione corrente dell'aggregazione dei risultati
L'
update-finding-aggregatoresempio seguente modifica la configurazione dell'aggregazione dei risultati in base al collegamento da regioni selezionate. Viene gestito dagli Stati Uniti orientali (Virginia), che è la regione di aggregazione. Seleziona Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon) come regioni collegate.aws securityhub update-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Aggiornamento della configurazione di aggregazione dei risultati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere UpdateFindingAggregator
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-insight.
- AWS CLI
-
Esempio 1: Per modificare il filtro per un'analisi personalizzata
L'
update-insightesempio seguente modifica i filtri per un'analisi personalizzata. L'analisi aggiornata cerca risultati con una severità elevata correlati ai AWS ruoli.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name"High severity role findings"Esempio 2: modificare l'attributo di raggruppamento per un'analisi personalizzata
L'
update-insightesempio seguente modifica l'attributo di raggruppamento per l'analisi personalizzata con il valore specificato. ARN Il nuovo attributo di raggruppamento è l'ID della risorsa.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --group-by-attribute"ResourceId"\ --name"Critical role findings"Output:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }Per ulteriori informazioni, consulta Gestire informazioni personalizzate nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere UpdateInsight
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-organization-configuration.
- AWS CLI
-
Per aggiornare il modo in cui Security Hub è configurato per un'organizzazione
L'
update-organization-configurationesempio seguente specifica che Security Hub deve utilizzare la configurazione centrale per configurare un'organizzazione. Dopo aver eseguito questo comando, l'amministratore delegato del Security Hub può creare e gestire i criteri di configurazione per configurare l'organizzazione. L'amministratore delegato può utilizzare questo comando anche per passare dalla configurazione centrale a quella locale. Se la configurazione locale è il tipo di configurazione, l'amministratore delegato può scegliere se abilitare automaticamente Security Hub e gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Managing accounts with AWS Organizations nella AWS Security Hub User Guide.
-
Per API i dettagli, vedere UpdateOrganizationConfiguration
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-security-control.
- AWS CLI
-
Per aggiornare le proprietà dei controlli di sicurezza
L'
update-security-controlesempio seguente specifica valori personalizzati per un parametro di controllo di sicurezza Security Hub.aws securityhub update-security-control \ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Parametri di controllo personalizzati nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere UpdateSecurityControl
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-security-hub-configuration.
- AWS CLI
-
Per aggiornare la configurazione del Security Hub
L'
update-security-hub-configurationesempio seguente configura Security Hub per abilitare automaticamente nuovi controlli per gli standard abilitati.aws securityhub update-security-hub-configuration \ --auto-enable-controlsQuesto comando non produce alcun output.
Per ulteriori informazioni, vedere Abilitazione automatica dei nuovi controlli nella Guida per l'utente AWS di Security Hub.
-
Per API i dettagli, vedere UpdateSecurityHubConfiguration
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-standards-control.
- AWS CLI
-
Esempio 1: disattivare un controllo
L'
update-standards-controlesempio seguente disabilita ilPCI. AutoScaling1. Controllo.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"DISABLED"\ --disabled-reason"Not applicable for my service"Questo comando non produce alcun output.
Esempio 2: abilitare un controllo
L'
update-standards-controlesempio seguente abilita ilPCI. AutoScaling1. Controllo.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"ENABLED"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Disabilitazione e abilitazione dei singoli controlli nella Guida per l'utente del AWS Security Hub.
-
Per API i dettagli, vedere UpdateStandardsControl
in AWS CLI Command Reference.
-
