Parametri di controllo personalizzati - AWS Security Hub
Come funzionano i parametri di controllo personalizzatiPersonalizzazione dei parametri di controlloVerifica dello stato dei parametri di controlloRevisione dei parametri di controlloRipristino dei valori dei parametri di controllo predefinitiControlli che supportano parametri personalizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Parametri di controllo personalizzati

Alcuni controlli Security Hub utilizzano parametri che influiscono sul modo in cui il controllo viene valutato. In genere, tali controlli vengono valutati in base ai valori dei parametri predefiniti definiti da Security Hub. Tuttavia, per un sottoinsieme di questi controlli, è possibile personalizzare i valori dei parametri. Quando personalizzi il valore di un parametro per un controllo, Security Hub inizia a valutare il controllo rispetto al valore specificato. Se la risorsa alla base del controllo soddisfa il valore personalizzato, Security Hub genera un PASSED risultato. Se la risorsa non soddisfa il valore personalizzato, Security Hub genera un FAILED risultato.

Personalizzando i parametri di controllo, puoi affinare le best practice di sicurezza consigliate e monitorate da Security Hub per allinearle ai requisiti aziendali e alle aspettative di sicurezza. Invece di sopprimere i risultati di un controllo, puoi personalizzare uno o più dei relativi parametri per ottenere risultati adatti alle tue esigenze di sicurezza.

Ecco alcuni esempi di casi d'uso per parametri di controllo personalizzati:

  • [CloudWatch.16] — i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

    È possibile specificare il periodo di conservazione.

  • [IAM.7] — Le policy relative alle password per gli utenti IAM devono avere configurazioni solide

    È possibile specificare parametri relativi alla complessità della password.

  • [EC2.18] — I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

    È possibile specificare quali porte sono autorizzate a consentire il traffico in entrata senza restrizioni.

  • [Lambda.5] — Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

    È possibile specificare il numero minimo di zone di disponibilità che generano un risultato superato.

Questa sezione spiega come personalizzare e gestire i parametri di controllo.

Come funzionano i parametri di controllo personalizzati

Un controllo può avere uno o più parametri personalizzabili. I possibili tipi di dati per i singoli parametri di controllo includono:

  • Booleano

  • Doppio

  • Enum

  • EnumList

  • Numero intero

  • IntegerList

  • Stringa

  • StringList

Per alcuni controlli, i valori dei parametri accettabili devono inoltre rientrare in un intervallo specificato per essere validi. In questi casi, Security Hub fornisce l'intervallo accettabile.

Security Hub sceglie i valori dei parametri predefiniti e potrebbe occasionalmente aggiornarli. Dopo aver personalizzato un parametro di controllo, il suo valore continua a essere il valore specificato per il parametro, a meno che non lo si modifichi. Vale a dire, il parametro interrompe il tracciamento degli aggiornamenti al valore predefinito di Security Hub, anche se il valore personalizzato del parametro corrisponde al valore predefinito corrente definito da Security Hub. Ecco un esempio per il controllo [ACM.1]: i certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Nell'esempio precedente, il daysToExpiration parametro ha un valore personalizzato di. 30 Inoltre, il valore predefinito corrente per questo parametro è30. Se Security Hub modifica il valore predefinito in14, il parametro in questo esempio non terrà traccia di tale modifica. Manterrà il valore di30.

Se desideri tenere traccia degli aggiornamenti al valore predefinito di Security Hub per un parametro, imposta il ValueType campo su DEFAULT invece diCUSTOM. Per ulteriori informazioni, consulta Ripristino dei valori dei parametri predefiniti in un singolo account e regione.

Quando modifichi il valore di un parametro, attivi anche un nuovo controllo di sicurezza che valuta il controllo in base al nuovo valore. Security Hub genera quindi nuovi risultati di controllo in base al nuovo valore. Durante gli aggiornamenti periodici per controllare i risultati, Security Hub utilizza anche il nuovo valore del parametro. Se modifichi i valori dei parametri per un controllo, ma non hai abilitato nessuno standard che includa il controllo, Security Hub non esegue alcun controllo di sicurezza utilizzando i nuovi valori. È necessario abilitare almeno uno standard pertinente affinché Security Hub valuti il controllo in base al nuovo valore del parametro.

I valori dei parametri personalizzati si applicano a tutti gli standard abilitati. Non puoi personalizzare i parametri per un controllo che non è supportato nella tua regione attuale. Per un elenco dei limiti regionali per i singoli controlli, consultaLimiti regionali sui controlli.

Personalizzazione dei parametri di controllo

Le istruzioni per personalizzare i parametri di controllo variano a seconda che si utilizzi o meno la configurazione centrale. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub può utilizzare per gestire le funzionalità del Security Hub tra Regioni AWS gli account e le unità organizzative (OU) della propria organizzazione.

Se l'organizzazione utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione che includono parametri di controllo personalizzati. Queste politiche possono essere associate agli account dei membri e alle unità organizzative gestite centralmente e hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato può anche designare uno o più account come autogestiti, il che consente al proprietario dell'account di configurare i propri parametri separatamente in ciascuna regione. Se l'organizzazione non utilizza la configurazione centrale, è necessario personalizzare i parametri di controllo separatamente in ogni account e regione.

Personalizzazione dei parametri di controllo su più account e regioni

Quando si utilizza la configurazione centrale, è possibile personalizzare i parametri di controllo per gli account e le unità organizzative gestiti centralmente su più account e regioni. Si consiglia di utilizzare la configurazione centrale perché consente di allineare i valori dei parametri di controllo tra le diverse parti dell'organizzazione. Ad esempio, tutti gli account di test potrebbero utilizzare determinati valori di parametro e tutti gli account di produzione potrebbero utilizzare valori diversi.

Se sei l'amministratore delegato di Security Hub di un'organizzazione che utilizza la configurazione centrale, scegli il metodo preferito e segui i passaggi per personalizzare i parametri di controllo su più account e regioni.

Security Hub console
Per personalizzare i parametri di controllo in più account e regioni

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Assicurati di aver effettuato l'accesso alla regione d'origine.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Scegliere la scheda Policy.

  4. Per creare una nuova politica di configurazione che includa parametri personalizzati, scegli Crea politica. Per specificare parametri personalizzati in una politica di configurazione esistente, seleziona la politica, quindi scegli Modifica.

    Per creare una nuova politica di configurazione con parametri personalizzati

    1. Nella sezione Politica personalizzata, scegli gli standard e i controlli di sicurezza che desideri abilitare.

    2. Seleziona Personalizza i parametri di controllo.

    3. Seleziona un controllo, quindi specifica i valori personalizzati per uno o più parametri.

    4. Per personalizzare i parametri per più controlli, scegli Personalizza controllo aggiuntivo.

    5. Nella sezione Account, seleziona gli account o le unità organizzative a cui desideri applicare la politica.

    6. Seleziona Successivo.

    7. Scegli Crea politica e applicala. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e delle unità organizzative associati a questa politica di configurazione. Gli account e le unità organizzative possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

    Per aggiungere o modificare parametri personalizzati in una politica di configurazione esistente

    1. Nella sezione Controlli, in Criteri personalizzati, specificate i nuovi valori dei parametri personalizzati che desiderate.

    2. Se è la prima volta che personalizzi i parametri di controllo in questa politica, seleziona Personalizza parametri di controllo, quindi seleziona un controllo da personalizzare. Per personalizzare i parametri per ulteriori controlli, scegli Personalizza controllo aggiuntivo.

    3. Nella sezione Account, verifica gli account o le unità organizzative a cui desideri applicare la politica.

    4. Seleziona Successivo.

    5. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli Salva politica e applica. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e delle unità organizzative associati a questa politica di configurazione. Gli account e le unità organizzative possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

Security Hub API

Per personalizzare i parametri di controllo in più account e regioni

Per creare una nuova politica di configurazione con parametri personalizzati

  1. Richiama l'CreateConfigurationPolicyAPI dall'account amministratore delegato nella regione di residenza.

  2. Per l'SecurityControlCustomParametersoggetto, fornite l'identificatore di ogni controllo che desiderate personalizzare.

  3. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Il Value campo non può essere vuoto quando lo ValueType èCUSTOM. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. GetSecurityControlDefinition

Per aggiungere o modificare parametri personalizzati in una politica di configurazione esistente

  1. Richiama l'UpdateConfigurationPolicyAPI dall'account amministratore delegato nella regione di residenza.

  2. Per il Identifier campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.

  3. Per l'SecurityControlCustomParametersoggetto, fornisci l'identificatore di ogni controllo che desideri personalizzare.

  4. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. GetSecurityControlDefinition

Esempio di richiesta API per creare una nuova politica di configurazione:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI

Per personalizzare i parametri di controllo in più account e regioni

Per creare una nuova politica di configurazione con parametri personalizzati

  1. Esegui il create-configuration-policycomando dall'account amministratore delegato nella regione di residenza.

  2. Per l'SecurityControlCustomParametersoggetto, fornite l'identificatore di ogni controllo che desiderate personalizzare.

  3. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Il Value campo non può essere vuoto quando lo ValueType èCUSTOM. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. È possibile trovare parametri, tipi di dati e valori validi supportati per un controllo eseguendo il get-security-control-definitioncomando.

Per aggiungere o modificare parametri in una politica di configurazione esistente

  1. Per aggiungere o aggiornare parametri di input personalizzati in una politica di configurazione esistente, esegui il update-configuration-policycomando dall'account amministratore delegato nella regione di origine.

  2. Per il identifier campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy che desideri aggiornare.

  3. Per l'SecurityControlCustomParametersoggetto, fornisci l'identificatore di ogni controllo che desideri personalizzare.

  4. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. È possibile trovare parametri, tipi di dati e valori validi supportati per un controllo eseguendo il get-security-control-definitioncomando.

Comando di esempio per creare una nuova politica di configurazione:

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'

Personalizzazione dei parametri di controllo in un unico account e regione

Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi personalizzare i parametri di controllo per il tuo account in una regione alla volta

Scegli il tuo metodo preferito e segui i passaggi per personalizzare i parametri di controllo. Le modifiche si applicano solo al tuo account nella regione corrente. Per personalizzare i parametri di controllo in altre regioni, ripeti i passaggi seguenti in ogni account e regione aggiuntivi in cui desideri personalizzare i parametri. Lo stesso controllo può utilizzare valori di parametri diversi in regioni diverse.

Security Hub console
Per personalizzare i parametri di controllo in un account e in un'unica regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel riquadro di navigazione, scegli Controlli. Nella tabella, scegli un controllo che supporti i parametri personalizzati per cui desideri modificare i parametri. La colonna Parametri personalizzati indica quali controlli supportano i parametri personalizzati.

  3. Nella pagina dei dettagli del controllo, scegli la scheda Parametri, quindi scegli Modifica.

  4. Specificate i valori dei parametri desiderati.

  5. Facoltativamente, nella sezione Motivo della modifica, selezionare un motivo per la personalizzazione dei parametri.

  6. Selezionare Salva.

Security Hub API
Per personalizzare i parametri di controllo in un account e in un'unica regione

  1. Invoca l'UpdateSecurityControlAPI.

  2. PerSecurityControlId, fornisci l'ID del controllo che desideri personalizzare.

  3. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. GetSecurityControlDefinition

  4. FacoltativamenteLastUpdateReason, fornisci un motivo per personalizzare i parametri di controllo.

Esempio di richiesta API:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 15
            }
        }
    },
    "LastUpdateReason": "Internal compliance requirement"
}
AWS CLI
Per personalizzare i parametri di controllo in un account e in un'unica regione

  1. Esegui il comando update-security-control.

  2. Persecurity-control-id, fornisci l'ID del controllo che desideri personalizzare.

  3. Per l'parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. È possibile trovare parametri, tipi di dati e valori validi supportati per un controllo eseguendo il get-security-control-definitioncomando.

  4. Facoltativamentelast-update-reason, fornisci un motivo per personalizzare i parametri di controllo.

Comando di esempio:

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"

Verifica dello stato dei parametri di controllo

È importante convalidare e controllare lo stato delle modifiche ai parametri di controllo. Questo aiuta a garantire che un controllo funzioni come previsto e fornisca il valore di sicurezza previsto. Per verificare che l'aggiornamento di un parametro sia andato a buon fine, puoi esaminare i dettagli del controllo sulla console Security Hub. Sulla console, scegli il controllo per visualizzarne i dettagli. La scheda Parametri mostra lo stato della modifica del parametro.

A livello di programmazione, se la richiesta di aggiornamento di un parametro è valida, il valore del UpdateStatus campo è UPDATING in risposta all'BatchGetSecurityControlsoperazione. Ciò significa che l'aggiornamento era valido, ma i risultati potrebbero non includere ancora i valori dei parametri aggiornati. Quando il valore di viene UpdateState modificato inREADY, i risultati iniziano a includere i valori dei parametri aggiornati.

L'UpdateSecurityControloperazione restituisce una InvalidInputException risposta per i valori dei parametri non validi. La risposta fornisce ulteriori dettagli sul motivo dell'errore. Ad esempio, è possibile che abbiate specificato un valore che non rientra nell'intervallo valido per un parametro. Oppure, hai specificato un valore che non utilizza il tipo di dati corretto. Invia nuovamente la richiesta con un input valido. Se l'aggiornamento di un parametro non riesce, Security Hub mantiene il valore corrente del parametro.

Se si verifica un errore interno quando si tenta di aggiornare il valore di un parametro, Security Hub riprova automaticamente se è stato AWS Config abilitato. Per ulteriori informazioni, consulta Configurazione AWS Config.

Revisione dei parametri di controllo

Puoi rivedere i valori correnti dei singoli parametri di controllo nel tuo account. Se si utilizza la configurazione centrale, l'amministratore delegato del Security Hub può anche esaminare i valori dei parametri specificati in una politica di configurazione.

Scegliete il metodo preferito e seguite i passaggi per rivedere i valori correnti dei parametri di controllo.

Security Hub console
Per rivedere i valori dei parametri correnti

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel riquadro di navigazione, scegli Controlli. Scegli un controllo.

  3. Scegli la scheda Parametri. Questa scheda mostra i valori correnti dei parametri per il controllo.

Security Hub API

Per rivedere i valori dei parametri correnti

Richiama l'BatchGetSecurityControlsAPI e fornisci uno o più ARN o ID di controllo di sicurezza. L'Parametersoggetto nella risposta mostra i valori correnti dei parametri per i controlli specificati.

Esempio di richiesta API:

{
    "SecurityControlIds": ["APIGateway.1", "CloudWatch.15", "IAM.7"]
}
AWS CLI

Per rivedere i valori correnti dei parametri

Esegui il batch-get-security-controlscomando e fornisci uno o più ARN o ID di controllo di sicurezza. L'Parametersoggetto nella risposta mostra i valori correnti dei parametri per i controlli specificati.

Comando di esempio:

$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'

Scegliete il metodo preferito per visualizzare i valori correnti dei parametri in una politica di configurazione centrale.

Security Hub console
Per esaminare i valori dei parametri correnti in una politica di configurazione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Nella scheda Politiche, seleziona la politica di configurazione, quindi scegli Visualizza dettagli. Vengono quindi visualizzati i dettagli della politica, inclusi i valori dei parametri correnti.

Security Hub API
Per esaminare i valori dei parametri correnti in una politica di configurazione

  1. Richiama l'GetConfigurationPolicyAPI dall'account amministratore delegato nella regione di residenza.

  2. Fornisci l'ARN o l'ID della politica di configurazione di cui desideri visualizzare i dettagli. La risposta include i valori dei parametri correnti.

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
AWS CLI
Per esaminare i valori dei parametri correnti in una politica di configurazione

  1. Esegui il get-configuration-policycomando dall'account amministratore delegato nella regione di residenza.

  2. Fornisci l'ARN o l'ID della politica di configurazione di cui desideri visualizzare i dettagli. La risposta include i valori dei parametri correnti.

$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

I risultati del controllo mostrano anche i valori dei parametri correnti. InAWS Sintassi del Security Finding Format (ASFF), questi valori vengono visualizzati nel Parameters campo dell'Complianceoggetto. Per esaminare i risultati sulla console Security Hub, scegli Findings nel riquadro di navigazione. Per esaminare i risultati a livello di codice, usa l'GetFindingsoperazione.

Nota

Dopo il rilascio della funzionalità dei parametri di controllo personalizzati, Security Hub aggiornerà i risultati di controllo esistenti per includere il campo Parameters ASFF. Questa operazione potrebbe richiedere fino a 24 ore.

Ripristino dei valori dei parametri di controllo predefiniti

Un parametro di controllo può avere un valore predefinito definito da Security Hub. Potremmo aggiornare il valore predefinito di un parametro per riflettere le migliori pratiche di sicurezza in evoluzione. Se non hai specificato un valore personalizzato per un parametro di controllo, il controllo tiene automaticamente traccia di tali aggiornamenti e utilizza il nuovo valore predefinito.

È possibile tornare a utilizzare i valori dei parametri predefiniti per un controllo. Il modo in cui eseguire questa operazione dipende dall'utilizzo o meno della configurazione centrale.

Nota

Non tutti i parametri di controllo hanno un valore Security Hub predefinito. In questi casi, quando ValueType è impostato suDEFAULT, non esiste un valore predefinito specifico utilizzato da Security Hub. Piuttosto, Security Hub ignora il parametro in assenza di un valore personalizzato.

Ripristino dei valori dei parametri predefiniti su più account e regioni

Se si utilizza la configurazione centrale, è possibile ripristinare i parametri di controllo per gli account e le unità organizzative gestiti centralmente su più account e regioni.

Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti su più account e regioni utilizzando la configurazione centrale.

Security Hub console
Per ripristinare i valori dei parametri predefiniti in più account e regioni

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Scegliere la scheda Policy.

  4. Seleziona una politica, quindi scegli Modifica.

  5. In Criteri personalizzati, la sezione Controlli mostra un elenco di controlli per i quali sono stati specificati parametri personalizzati.

  6. Trova il controllo che ha uno o più valori di parametro da ripristinare. Quindi, scegli Rimuovi per ripristinare i valori predefiniti.

  7. Nella sezione Account, verifica gli account o le unità organizzative a cui desideri applicare la politica.

  8. Seleziona Successivo.

  9. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli Salva politica e applica. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e delle unità organizzative associati a questa politica di configurazione. Gli account e le unità organizzative possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

Security Hub API
Per ripristinare i valori dei parametri predefiniti in più account e regioni

  1. Richiama l'UpdateConfigurationPolicyAPI dall'account amministratore delegato nella regione di origine.

  2. Per il Identifier campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy che desideri aggiornare.

  3. Per l'SecurityControlCustomParametersoggetto, fornisci l'identificatore di ogni controllo per il quale desideri ripristinare uno o più parametri.

  4. Nell'Parametersoggetto, per ogni parametro che desideri ripristinare, inserisci DEFAULT il campo. ValueType Quando ValueType è impostato suDEFAULT, non è necessario fornire un valore per il Value campo. Se nella richiesta è incluso un valore, Security Hub lo ignora. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente.

avvertimento

Se si omette un oggetto di controllo dal SecurityControlCustomParameters campo, Security Hub ripristina tutti i parametri personalizzati per il controllo ai valori predefiniti. Un elenco completamente vuoto riporta SecurityControlCustomParameters i parametri personalizzati per tutti i controlli ai valori predefiniti.

Esempio di richiesta API:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "TestConfigurationPolicy",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Revert ACM.1 parameter to default value",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
             "SecurityControlsConfiguration": {
                "DisbledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "DEFAULT"
                             }
                         }
                    }
                ]
             }
        }
    }
}
AWS CLI
Per ripristinare i valori dei parametri predefiniti in più account e regioni

  1. Esegui il update-configuration-policycomando dall'account amministratore delegato nella regione di origine.

  2. Per il identifier campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy che desideri aggiornare.

  3. Per l'SecurityControlCustomParametersoggetto, fornisci l'identificatore di ogni controllo per il quale desideri ripristinare uno o più parametri.

  4. Nell'Parametersoggetto, per ogni parametro che desideri ripristinare, inserisci DEFAULT il campo. ValueType Quando ValueType è impostato suDEFAULT, non è necessario fornire un valore per il Value campo. Se nella richiesta è incluso un valore, Security Hub lo ignora. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente.

avvertimento

Se si omette un oggetto di controllo dal SecurityControlCustomParameters campo, Security Hub ripristina tutti i parametri personalizzati per il controllo ai valori predefiniti. Un elenco completamente vuoto riporta SecurityControlCustomParameters i parametri personalizzati per tutti i controlli ai valori predefiniti.

Comando di esempio:

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

Ripristino dei valori dei parametri predefiniti in un singolo account e regione

Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi tornare a utilizzare i valori dei parametri predefiniti per il tuo account in una regione alla volta.

Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti per il tuo account in una singola regione. Per ripristinare i valori dei parametri predefiniti in altre regioni, ripeti questi passaggi in ogni regione aggiuntiva.

Nota

Se disabiliti Security Hub, i parametri di controllo personalizzati vengono ripristinati. Se abiliti nuovamente Security Hub in futuro, tutti i controlli utilizzeranno i valori dei parametri predefiniti per iniziare.

Security Hub console
Per ripristinare i valori dei parametri predefiniti in un account e in una regione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel riquadro di navigazione, scegli Controlli. Scegli il controllo che desideri ripristinare ai valori dei parametri predefiniti.

  3. Nella Parameters scheda, scegli Personalizzato accanto a un parametro di controllo. Quindi, scegli Rimuovi personalizzazione. Questo parametro ora utilizza il valore predefinito di Security Hub e tiene traccia degli aggiornamenti futuri al valore predefinito.

  4. Ripetere il passaggio precedente per ogni valore di parametro che si desidera ripristinare.

Security Hub API
Per ripristinare i valori dei parametri predefiniti in un account e in una regione

  1. Invoca l'API. UpdateSecurityControl

  2. PerSecurityControlId, fornisci l'ARN o l'ID del controllo di cui desideri ripristinare i parametri.

  3. Nell'Parametersoggetto, per ogni parametro che desideri ripristinare, inserisci DEFAULT il campo. ValueType Quando ValueType è impostato suDEFAULT, non è necessario fornire un valore per il Value campo. Se nella richiesta è incluso un valore, Security Hub lo ignora.

  4. FacoltativamenteLastUpdateReason, fornisci un motivo per ripristinare i valori dei parametri predefiniti.

Esempio di richiesta API:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "DEFAULT"
        },
    "LastUpdateReason": "New internal requirement"
}
AWS CLI
Per ripristinare i valori dei parametri predefiniti in un account e in una regione

  1. Esegui il comando update-security-control.

  2. Persecurity-control-id, fornisci l'ARN o l'ID del controllo di cui desideri ripristinare i parametri.

  3. Nell'parametersoggetto, per ogni parametro che desideri ripristinare, inserisci DEFAULT il campo. ValueType Quando ValueType è impostato suDEFAULT, non è necessario fornire un valore per il Value campo. Se nella richiesta è incluso un valore, Security Hub lo ignora.

  4. Facoltativamentelast-update-reason, fornisci un motivo per ripristinare i valori dei parametri predefiniti.

Comando di esempio:

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"

Controlli che supportano parametri personalizzati

Per un elenco dei controlli di sicurezza che supportano i parametri personalizzati, puoi fare riferimento alla pagina Controlli sulla console Security Hub o alRiferimento ai controlli del Security Hub. Per recuperare questo elenco a livello di codice, è possibile utilizzare l'operazione. ListSecurityControlDefinitions Nella risposta, l'CustomizablePropertiesoggetto indica quali controlli supportano parametri personalizzabili.