Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprensione dei parametri di controllo in Security Hub
Alcuni controlli in AWS Security Hub utilizza parametri che influiscono sul modo in cui viene valutato il controllo. In genere, tali controlli vengono valutati in base ai valori dei parametri predefiniti definiti da Security Hub. Tuttavia, per un sottoinsieme di questi controlli, è possibile modificare i valori dei parametri. Quando si modifica il valore di un parametro di controllo, Security Hub inizia a valutare il controllo rispetto al valore specificato. Se la risorsa alla base del controllo soddisfa il valore personalizzato, Security Hub genera un PASSED risultato. Se la risorsa non soddisfa il valore personalizzato, Security Hub genera un FAILED risultato.
Personalizzando i parametri di controllo, puoi affinare le best practice di sicurezza consigliate e monitorate da Security Hub per allinearle ai requisiti aziendali e alle aspettative di sicurezza. Invece di sopprimere i risultati di un controllo, puoi personalizzare uno o più dei relativi parametri per ottenere risultati adatti alle tue esigenze di sicurezza.
Ecco alcuni esempi di casi d'uso per modificare i parametri di controllo e impostare valori personalizzati:
[CloudWatch.16] — i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato
È possibile specificare il periodo di conservazione.
[IAM.7] — Le politiche relative alle password per IAM gli utenti devono avere configurazioni avanzate
È possibile specificare parametri relativi alla complessità della password.
-
[EC2.18] — I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate
È possibile specificare quali porte sono autorizzate a consentire il traffico in entrata senza restrizioni.
-
[Lambda.5] — Le funzioni VPC Lambda devono funzionare in più zone di disponibilità
È possibile specificare il numero minimo di zone di disponibilità che generano un risultato superato.
Questa sezione descrive gli aspetti da considerare quando si modificano i parametri di controllo.
Effetto della modifica dei valori dei parametri di controllo
Quando modificate il valore di un parametro, attivate anche un nuovo controllo di sicurezza che valuta il controllo in base al nuovo valore. Security Hub genera quindi nuovi risultati di controllo in base al nuovo valore. Durante gli aggiornamenti periodici per controllare i risultati, Security Hub utilizza anche il nuovo valore del parametro. Se modifichi i valori dei parametri per un controllo, ma non hai abilitato nessuno standard che includa il controllo, Security Hub non esegue alcun controllo di sicurezza utilizzando i nuovi valori. È necessario abilitare almeno uno standard pertinente affinché Security Hub valuti il controllo in base al nuovo valore del parametro.
Un controllo può avere uno o più parametri personalizzabili. I tipi di dati possibili per ogni parametro di controllo includono:
Booleano
Doppio
Enum
EnumList
Numero intero
IntegerList
Stringa
StringList
I valori dei parametri personalizzati si applicano a tutti gli standard abilitati. Non puoi personalizzare i parametri per un controllo che non è supportato nella tua regione attuale. Per un elenco dei limiti regionali per i singoli controlli, consultaLimiti regionali sui controlli del Security Hub.
Per alcuni controlli, i valori dei parametri accettabili devono rientrare in un intervallo specificato per essere validi. In questi casi, Security Hub fornisce l'intervallo accettabile.
Security Hub sceglie i valori dei parametri predefiniti e potrebbe occasionalmente aggiornarli. Dopo aver personalizzato un parametro di controllo, il suo valore continua a essere il valore specificato per il parametro, a meno che non lo si modifichi. Vale a dire, il parametro interrompe il tracciamento degli aggiornamenti al valore predefinito di Security Hub, anche se il valore personalizzato del parametro corrisponde al valore predefinito corrente definito da Security Hub. Ecco un esempio del controllo [ACM.1]: i certificati importati ed ACM emessi devono essere rinnovati dopo un periodo di tempo specificato:
{ "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 30 } } } }
Nell'esempio precedente, il daysToExpiration parametro ha un valore personalizzato di. 30 Inoltre, il valore predefinito corrente per questo parametro è30. Se Security Hub modifica il valore predefinito in14, il parametro in questo esempio non terrà traccia di tale modifica. Manterrà il valore di30.
Se desideri tenere traccia degli aggiornamenti al valore predefinito di Security Hub per un parametro, imposta il ValueType campo su DEFAULT invece diCUSTOM. Per ulteriori informazioni, consulta Ripristino dei parametri di controllo predefiniti in un unico account e regione.
Controlli che supportano parametri personalizzati
Per un elenco dei controlli di sicurezza che supportano i parametri personalizzati, vedere la pagina Controlli della console Security Hub o ilRiferimento ai controlli del Security Hub. Per recuperare questo elenco a livello di codice, è possibile utilizzare il ListSecurityControlDefinitionsoperazione. Nella risposta, l'CustomizablePropertiesoggetto indica quali controlli supportano parametri personalizzabili.
