Configurazione dei controlli in standard specifici - AWS Security Hub
Abilitazione di un controllo in uno standard specificoDisattivazione di un controllo in uno standard specifico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dei controlli in standard specifici

Quando abiliti uno standard in AWS Security Hub, tutti i controlli ad esso applicabili vengono abilitati automaticamente in quello standard (ad eccezione degli standard gestiti dai servizi). È quindi possibile disabilitare e riattivare controlli specifici nello standard. Tuttavia, consigliamo di allineare lo stato di attivazione di un controllo a tutti gli standard abilitati.

Nota

Se si utilizza la configurazione centrale di Security Hub, l'amministratore delegato può abilitare e disabilitare i controlli per gli account dell'organizzazione in tutti gli standard abilitati. Consigliamo questo approccio in modo che lo stato di attivazione di un controllo sia allineato a tutti gli standard. Tuttavia, l'amministratore delegato può designare gli account come autogestiti, il che offre loro la possibilità di abilitare e disabilitare i controlli in standard specifici. Per ulteriori informazioni, consulta Comprendere la configurazione centrale in Security Hub.

La pagina dei dettagli di uno standard contiene l'elenco dei controlli applicabili per lo standard e informazioni sui controlli attualmente abilitati e disabilitati in quello standard.

Nella pagina dei dettagli degli standard, puoi anche abilitare e disabilitare i controlli in uno standard specifico. È necessario abilitare e disabilitare i controlli separatamente in ciascuno Account AWS e Regione AWS. Quando si abilita o disabilita un controllo, ciò influisce solo sull'account corrente e sulla regione.

È possibile abilitare e disabilitare i controlli in ogni regione utilizzando la console Security Hub, Security Hub API o AWS CLI. Se hai impostato una regione di aggregazione, vedrai i controlli di tutte le regioni collegate. Se un controllo è disponibile in una regione collegata ma non nella regione di aggregazione, non è possibile abilitare o disabilitare tale controllo dalla regione di aggregazione. Per gli script di disabilitazione del controllo multiaccount e multiregione, vedere Disabilitazione dei controlli del Security Hub in un ambiente con più account.

Abilitazione di un controllo in uno standard specifico

Per abilitare un controllo in uno standard, è necessario prima abilitare almeno uno standard a cui si applica il controllo. Per istruzioni sull'attivazione di uno standard, vedereConfigurazione degli standard in Security Hub. Quando abiliti un controllo in uno standard, AWS Security Hub inizia a generare risultati per quel controllo. Security Hub include lo stato del controllo nel calcolo del punteggio di sicurezza complessivo e dei punteggi di sicurezza standard. Anche se abiliti un controllo in più standard, se attivi i risultati del controllo consolidato riceverai un unico risultato per ogni controllo di sicurezza tra gli standard. Per ulteriori informazioni, consulta Risultati dei controlli consolidati.

Per abilitare un controllo in uno standard, il controllo deve essere disponibile nella tua regione attuale. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

Segui questi passaggi per abilitare il controllo del Security Hub in uno standard specifico. Al posto dei seguenti passaggi, puoi anche utilizzare l'UpdateStandardsControlAPIazione per abilitare i controlli in uno standard specifico. Per istruzioni sull'attivazione di un controllo in tutti gli standard, vedereAbilitare il controllo in tutti gli standard in un unico account e regione.

Security Hub console
Per abilitare un controllo in uno standard specifico

  1. Aprire il AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Scegli Standard di sicurezza dal pannello di navigazione.

  3. Scegli Visualizza risultati per lo standard pertinente.

  4. Seleziona un controllo.

  5. Scegli Abilita controllo (questa opzione non viene visualizzata per un controllo già abilitato). Conferma scegliendo Abilita.

Security Hub API
Per abilitare un controllo in uno standard specifico

  1. Esegui ListSecurityControlDefinitions e fornisci uno standard ARN per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere uno standardARN, esegui DescribeStandards. Ciò API restituisce un controllo di sicurezza indipendente dallo standardIDs, non un controllo specifico dello standard. IDs

    Richiesta di esempio:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Esegui ListStandardsControlAssociations e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

    Richiesta di esempio:

    {
    "SecurityControlId": "IAM.1"
}

  3. Esegui BatchUpdateStandardsControlAssociations. Fornisci lo ARN standard in cui desideri abilitare il controllo.

  4. Imposta il AssociationStatus parametro uguale aENABLED.

    Richiesta di esempio:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
AWS CLI
Per abilitare un controllo in uno standard specifico

  1. Esegui il list-security-control-definitions comando e fornisci uno standard ARN per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere uno standardARN, eseguidescribe-standards. Questo comando restituisce un controllo di sicurezza indipendente dallo standardIDs, non un controllo specifico dello standard. IDs

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Esegui il list-standards-control-associations comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Esegui il comando batch-update-standards-control-associations. Fornisci lo ARN standard in cui desideri abilitare il controllo.

  4. Imposta il AssociationStatus parametro uguale aENABLED.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'

Disattivazione di un controllo in uno standard specifico

Quando si disabilita un controllo in uno standard, Security Hub interrompe la generazione dei risultati per il controllo. Lo stato del controllo non viene più utilizzato nel calcolo del punteggio di sicurezza per lo standard.

Un modo per disabilitare un controllo consiste nel disabilitare tutti gli standard a cui si applica il controllo. Quando si disabilita uno standard, tutti i controlli che si applicano allo standard vengono disabilitati (tuttavia, tali controlli possono rimanere abilitati in altri standard). Per istruzioni sulla disabilitazione di uno standard, vedereConfigurazione degli standard in Security Hub.

Quando si disattiva un controllo disattivando uno standard a cui si applica, si verifica quanto segue:

  • I controlli di sicurezza per il controllo non vengono più eseguiti per quello standard. Ciò significa che lo stato del controllo non influirà sul punteggio di sicurezza standard (Security Hub continuerà a eseguire i controlli di sicurezza per il controllo se è abilitato in altri standard).

  • Non vengono generati ulteriori risultati per tale verifica.

  • I risultati esistenti vengono archiviati automaticamente dopo 3-5 giorni (tieni presente che si tratta del massimo impegno e non è garantito).

  • I correlati AWS Config le regole create da Security Hub vengono rimosse.

Quando si disabilita uno standard, Security Hub non tiene traccia dei controlli disattivati. Se successivamente si abilita nuovamente lo standard, tutti i controlli ad esso applicabili vengono abilitati automaticamente. Inoltre, la disattivazione di un controllo è un'operazione che si effettua una sola volta. Supponiamo di disabilitare un controllo e quindi di abilitare uno standard precedentemente disabilitato. Se lo standard include quel controllo, sarà abilitato in quello standard. Quando abiliti uno standard in Security Hub, tutti i controlli che si applicano a quello standard vengono abilitati automaticamente.

Invece di disabilitare un controllo disattivando uno standard a cui si applica, puoi semplicemente disabilitare il controllo in uno o più standard specifici.

Per ridurre i disturbi rilevati, può essere utile disabilitare i controlli non pertinenti all'ambiente in uso. Per consigli su quali controlli disabilitare, vedi Controlli del Security Hub che potresti voler disabilitare.

Segui questi passaggi per disabilitare un controllo in standard specifici. Al posto dei passaggi seguenti, puoi anche utilizzare l'UpdateStandardsControlAPIazione per disabilitare i controlli in uno standard specifico. Per istruzioni sulla disabilitazione di un controllo in tutti gli standard, vedere. Configurazione dei controlli tra gli standard

Security Hub console
Per disabilitare un controllo in uno standard specifico

  1. Aprire il AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Scegli Standard di sicurezza dal pannello di navigazione. Scegli Visualizza risultati per lo standard pertinente.

  3. Seleziona un controllo.

  4. Scegli Disabilita controllo (questa opzione non viene visualizzata per un controllo già disabilitato).

  5. Fornisci un motivo per disabilitare il controllo e conferma scegliendo Disabilita.

Security Hub API
Per disabilitare un controllo in uno standard specifico

  1. Esegui ListSecurityControlDefinitions e fornisci uno standard ARN per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere uno standardARN, esegui DescribeStandards. Ciò API restituisce un controllo di sicurezza indipendente dallo standardIDs, non un controllo specifico dello standard. IDs

    Richiesta di esempio:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Esegui ListStandardsControlAssociations e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

    Richiesta di esempio:

    {
    "SecurityControlId": "IAM.1"
}

  3. Esegui BatchUpdateStandardsControlAssociations. Fornisci lo ARN standard in cui desideri disabilitare il controllo.

  4. Imposta il AssociationStatus parametro uguale aDISABLED. Se segui questi passaggi per un controllo già disabilitato, API restituisce una risposta con il codice di HTTP stato 200.

    Richiesta di esempio:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
}
AWS CLI
Per disabilitare un controllo in uno standard specifico

  1. Esegui il list-security-control-definitions comando e fornisci uno standard ARN per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere uno standardARN, eseguidescribe-standards. Questo comando restituisce un controllo di sicurezza indipendente dallo standardIDs, non un controllo specifico dello standard. IDs

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Esegui il list-standards-control-associations comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Esegui il comando batch-update-standards-control-associations. ARNSpecificate lo standard in cui desiderate disabilitare il controllo.

  4. Imposta il AssociationStatus parametro uguale aDISABLED. Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di HTTP stato 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'