

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Comprensione dei parametri di controllo in Security Hub CSPM
<a name="custom-control-parameters"></a>

Alcuni controlli in AWS Security Hub CSPM utilizzano parametri che influiscono sul modo in cui il controllo viene valutato. In genere, tali controlli vengono valutati in base ai valori dei parametri predefiniti definiti da Security Hub CSPM. Tuttavia, per un sottoinsieme di questi controlli, è possibile modificare i valori dei parametri. Quando si modifica il valore di un parametro di controllo, Security Hub CSPM inizia a valutare il controllo rispetto al valore specificato. Se la risorsa alla base del controllo soddisfa il valore personalizzato, Security Hub CSPM genera un risultato. `PASSED` Se la risorsa non soddisfa il valore personalizzato, Security Hub CSPM genera un `FAILED` risultato.

Personalizzando i parametri di controllo, è possibile affinare le best practice di sicurezza consigliate e monitorate da Security Hub CSPM per allinearle ai requisiti aziendali e alle aspettative di sicurezza. Invece di sopprimere i risultati di un controllo, è possibile personalizzare uno o più dei relativi parametri per ottenere risultati adatti alle proprie esigenze di sicurezza.

Ecco alcuni esempi di casi d'uso per modificare i parametri di controllo e impostare valori personalizzati:
+ **[CloudWatch.16] — i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato**

  È possibile specificare il periodo di conservazione.
+ **[IAM.7] — Le policy relative alle password per gli utenti IAM devono avere configurazioni solide**

  È possibile specificare parametri relativi alla complessità della password.
+ **[EC2.18] — I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate**

  È possibile specificare quali porte sono autorizzate a consentire il traffico in entrata senza restrizioni.
+ **[Lambda.5] — Le funzioni VPC Lambda devono funzionare in più zone di disponibilità**

  È possibile specificare il numero minimo di zone di disponibilità che generano un risultato superato.

Questa sezione descrive gli aspetti da considerare quando si modificano i parametri di controllo.

## Effetto della modifica dei valori dei parametri di controllo
<a name="custom-control-parameters-overview"></a>

Quando modificate il valore di un parametro, attivate anche un nuovo controllo di sicurezza che valuta il controllo in base al nuovo valore. Security Hub CSPM genera quindi nuovi risultati di controllo in base al nuovo valore. Durante gli aggiornamenti periodici per controllare i risultati, Security Hub CSPM utilizza anche il nuovo valore del parametro. Se modifichi i valori dei parametri per un controllo, ma non hai abilitato nessuno standard che includa il controllo, Security Hub CSPM non esegue alcun controllo di sicurezza utilizzando i nuovi valori. È necessario abilitare almeno uno standard pertinente affinché Security Hub CSPM valuti il controllo in base al nuovo valore del parametro.

Un controllo può avere uno o più parametri personalizzabili. I tipi di dati possibili per ogni parametro di controllo includono:
+ Booleano
+ Double
+ Enum
+ EnumList
+ Numero intero
+ IntegerList
+ Stringa
+ StringList

I valori dei parametri personalizzati si applicano a tutti gli standard abilitati. Non puoi personalizzare i parametri per un controllo che non è supportato nella tua regione attuale. Per un elenco dei limiti regionali per i singoli controlli, consulta[Limiti regionali sui controlli CSPM di Security Hub](regions-controls.md).

Per alcuni controlli, i valori dei parametri accettabili devono rientrare in un intervallo specificato per essere validi. In questi casi, Security Hub CSPM fornisce l'intervallo accettabile.

Security Hub CSPM sceglie i valori dei parametri predefiniti e potrebbe occasionalmente aggiornarli. Dopo aver personalizzato un parametro di controllo, il suo valore continua a essere il valore specificato per il parametro, a meno che non venga modificato. Vale a dire, il parametro interrompe il tracciamento degli aggiornamenti al valore CSPM predefinito di Security Hub, anche se il valore personalizzato del parametro corrisponde al valore predefinito corrente definito da Security Hub CSPM. Ecco un esempio del controllo **[ACM.1]: i certificati importati ed emessi da ACM devono essere** rinnovati dopo un periodo di tempo specificato:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

Nell'esempio precedente, il `daysToExpiration` parametro ha un valore personalizzato di. `30` Inoltre, il valore predefinito corrente per questo parametro è`30`. Se Security Hub CSPM modifica il valore predefinito in`14`, il parametro in questo esempio non terrà traccia di tale modifica. Manterrà il valore di. `30`

Se desideri tenere traccia degli aggiornamenti al valore CSPM predefinito di Security Hub per un parametro, imposta il `ValueType` campo su `DEFAULT` invece di. `CUSTOM` Per ulteriori informazioni, consulta [Ripristino dei parametri di controllo predefiniti in un unico account e regione](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Controlli che supportano parametri personalizzati
<a name="controls-list-custom-parameters"></a>

Per un elenco dei controlli di sicurezza che supportano i parametri personalizzati, vedere la pagina **Controlli** della console CSPM di Security Hub o il. [Riferimento di controllo per Security Hub CSPM](securityhub-controls-reference.md) Per recuperare questo elenco a livello di codice, è possibile utilizzare l'operazione. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html) Nella risposta, l'`CustomizableProperties`oggetto indica quali controlli supportano parametri personalizzabili.

# Revisione dei valori correnti dei parametri di controllo
<a name="view-control-parameters"></a>

Può essere utile conoscere il valore corrente di un parametro di controllo prima di modificarlo.

Puoi rivedere i valori correnti per i singoli parametri di controllo nel tuo account. Se si utilizza la configurazione centrale, l'amministratore delegato di AWS Security Hub CSPM può anche esaminare i valori dei parametri specificati in una politica di configurazione.

Scegliete il metodo preferito e seguite i passaggi per rivedere i valori correnti dei parametri di controllo.

------
#### [ Security Hub CSPM console ]

**Per rivedere i valori correnti dei parametri di controllo (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Controlli.** Scegli un controllo.

1. Scegli la scheda **Parametri**. Questa scheda mostra i valori correnti dei parametri per il controllo.

------
#### [ Security Hub CSPM API ]

**Per rivedere i valori correnti dei parametri di controllo (API)**

Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API e fornisci uno o più controlli di sicurezza IDs oppure ARNs. L'`Parameters`oggetto nella risposta mostra i valori correnti dei parametri per i controlli specificati.

Ad esempio, il AWS CLI comando seguente mostra i valori correnti dei parametri per `APIGatway.1``CloudWatch.15`, e`IAM.7`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Scegliete il metodo preferito per visualizzare i valori correnti dei parametri in una politica di configurazione centrale.

------
#### [ Security Hub CSPM console ]

**Per esaminare i valori correnti dei parametri di controllo in una politica di configurazione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Nella scheda **Politiche**, seleziona la politica di configurazione, quindi scegli **Visualizza dettagli**. Vengono quindi visualizzati i dettagli della politica, inclusi i valori dei parametri correnti.

------
#### [ Security Hub CSPM API ]

**Per esaminare i valori correnti dei parametri di controllo in una politica di configurazione (API)**

1. Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)API dall'account amministratore delegato nella regione d'origine.

1. Fornisci l'ARN o l'ID della politica di configurazione di cui desideri visualizzare i dettagli. La risposta include i valori dei parametri correnti.

Ad esempio, il AWS CLI comando seguente recupera i valori dei parametri di controllo correnti nella politica di configurazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

I risultati del controllo includono anche i valori correnti dei parametri di controllo. In[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md), questi valori vengono visualizzati nel `Parameters` campo dell'`Compliance`oggetto. Per esaminare i risultati sulla console CSPM di Security Hub, scegli **Findings** nel riquadro di navigazione. Per esaminare i risultati a livello di codice, utilizzate il [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)funzionamento dell'API CSPM Security Hub.

# Personalizzazione dei valori dei parametri di controllo
<a name="customize-control-parameters"></a>

Le istruzioni per personalizzare i parametri di controllo variano a seconda che si utilizzi o meno la [configurazione centrale](central-configuration-intro.md) in AWS Security Hub CSPM. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub CSPM può utilizzare per configurare le funzionalità CSPM di Security Hub tra account e unità Regioni AWS organizzative (). OUs

Se l'organizzazione utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione che includono parametri di controllo personalizzati. Queste politiche possono essere associate ad account membri gestiti OUs centralmente e hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato può anche designare uno o più account come autogestiti, il che consente al proprietario dell'account di configurare i propri parametri separatamente in ciascuna regione. Se l'organizzazione non utilizza la configurazione centrale, è necessario personalizzare i parametri di controllo separatamente in ogni account e regione.

Ti consigliamo di utilizzare la configurazione centrale perché consente di allineare i valori dei parametri di controllo tra le diverse parti dell'organizzazione. Ad esempio, tutti gli account di test potrebbero utilizzare determinati valori di parametro e tutti gli account di produzione potrebbero utilizzare valori diversi.

## Personalizzazione dei parametri di controllo in più account e regioni
<a name="customize-control-parameters-central-config"></a>

Se sei l'amministratore delegato di Security Hub CSPM di un'organizzazione che utilizza la configurazione centrale, scegli il metodo preferito e segui i passaggi per personalizzare i parametri di controllo su più account e regioni.

------
#### [ Security Hub CSPM console ]

**Per personalizzare i valori dei parametri di controllo in più account e regioni (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Assicurati di aver effettuato l'accesso alla regione d'origine.

1. Nel riquadro di navigazione, scegli **Impostazioni** e **configurazione**.

1. Scegliere la scheda **Policy**.

1. Per creare una nuova politica di configurazione che includa parametri personalizzati, scegli **Crea politica**. Per specificare parametri personalizzati in una politica di configurazione esistente, seleziona la politica, quindi scegli **Modifica**.

   **Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati**

   1. Nella sezione **Politica personalizzata**, scegli gli standard e i controlli di sicurezza che desideri abilitare.

   1. Seleziona **Personalizza i parametri di controllo**.

   1. Seleziona un controllo, quindi specifica i valori personalizzati per uno o più parametri.

   1. Per personalizzare i parametri per più controlli, scegli **Personalizza controllo aggiuntivo**.

   1. Nella sezione **Account**, seleziona gli account o a OUs cui desideri applicare la politica.

   1. Scegli **Next (Successivo)**.

   1. Scegli **Crea politica e applicala**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

   **Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente**

   1. Nella sezione **Controlli**, in **Criteri personalizzati**, specificate i nuovi valori dei parametri personalizzati che desiderate.

   1. Se è la prima volta che personalizzi i parametri di controllo in questa politica, seleziona **Personalizza parametri di controllo**, quindi seleziona un controllo da personalizzare. Per personalizzare i parametri per ulteriori controlli, scegli **Personalizza controllo aggiuntivo**.

   1. Nella sezione **Account**, verifica gli account o a OUs cui desideri applicare la politica.

   1. Scegli **Next (Successivo)**.

   1. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli **Salva politica e applica**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

------
#### [ Security Hub CSPM API ]

**Per personalizzare i valori dei parametri di controllo in più account e regioni (API)**

**Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati**

1. Richiama l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dall'account amministratore delegato nella regione di residenza.

1. Per l'`SecurityControlCustomParameters`oggetto, fornite l'identificatore di ogni controllo che desiderate personalizzare.

1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Il `Value` campo non può essere vuoto quando lo `ValueType` è`CUSTOM`. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)

**Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente**

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato nella regione di residenza.

1. Per il `Identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.

1. Per l'`SecurityControlCustomParameters`oggetto, fornisci l'identificatore di ogni controllo che desideri personalizzare.

1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)

Ad esempio, il AWS CLI comando seguente crea una nuova politica di configurazione con un valore personalizzato per il `daysToExpiration` parametro di`ACM.1`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Personalizzazione dei parametri di controllo in un unico account e regione
<a name="customize-control-parameters-local-config"></a>

Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi personalizzare i parametri di controllo per il tuo account solo in una regione alla volta.

Scegli il tuo metodo preferito e segui i passaggi per personalizzare i parametri di controllo. Le modifiche si applicano solo al tuo account nella regione corrente. Per personalizzare i parametri di controllo in altre regioni, ripeti i passaggi seguenti in ogni account e regione aggiuntivi in cui desideri personalizzare i parametri. Lo stesso controllo può utilizzare valori di parametri diversi in regioni diverse.

------
#### [ Security Hub CSPM console ]

**Per personalizzare i valori dei parametri di controllo in un account e in una regione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Controlli.** Nella tabella, scegli un controllo che supporti i parametri personalizzati per cui desideri modificare i parametri. La colonna **Parametri personalizzati** indica quali controlli supportano i parametri personalizzati.

1. Nella pagina dei dettagli del controllo, scegli la scheda **Parametri**, quindi scegli **Modifica**.

1. Specificate i valori dei parametri che desiderate.

1. Facoltativamente, nella sezione **Motivo della modifica**, selezionare un motivo per la personalizzazione dei parametri.

1. Scegli **Save** (Salva).

------
#### [ Security Hub CSPM API ]

**Per personalizzare i valori dei parametri di controllo in un account e in un'unica regione (API)**

1. Invoca l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)API.

1. Per`SecurityControlId`, fornisci l'ID del controllo che desideri personalizzare.

1. Per l'`Parameters`oggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci `CUSTOM``ValueType`. Per`Value`, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html)

1. Facoltativamente`LastUpdateReason`, fornisci un motivo per personalizzare i parametri di controllo.

Ad esempio, il AWS CLI comando seguente definisce un valore personalizzato per il `daysToExpiration` parametro di. `ACM.1` Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Ripristino dei valori dei parametri di controllo predefiniti
<a name="revert-default-parameter-values"></a>

Un parametro di controllo può avere un valore predefinito definito da AWS Security Hub CSPM. Occasionalmente, Security Hub CSPM aggiorna il valore predefinito di un parametro per riflettere le best practice di sicurezza in evoluzione. Se non è stato specificato un valore personalizzato per un parametro di controllo, il controllo tiene traccia automaticamente di tali aggiornamenti e utilizza il nuovo valore predefinito.

È possibile tornare a utilizzare i valori dei parametri predefiniti per un controllo. Le istruzioni per la reversione dipendono dall'utilizzo o meno della [configurazione centrale](central-configuration-intro.md) in Security Hub CSPM. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub CSPM può utilizzare per configurare le funzionalità CSPM di Security Hub tra account e unità Regioni AWS organizzative (). OUs

**Nota**  
Non tutti i parametri di controllo hanno un valore CSPM di Security Hub predefinito. In questi casi, quando `ValueType` è impostato su`DEFAULT`, non esiste un valore predefinito specifico utilizzato da Security Hub CSPM. Piuttosto, Security Hub CSPM ignora il parametro in assenza di un valore personalizzato.

## Ripristino dei parametri di controllo predefiniti in più account e regioni
<a name="revert-default-parameter-values-central-config"></a>

Se utilizzi la configurazione centrale, puoi ripristinare i parametri di controllo per più account gestiti centralmente, nella regione di origine e OUs nelle regioni collegate.

Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti su più account e regioni utilizzando la configurazione centrale.

------
#### [ Security Hub CSPM console ]

**Per ripristinare i valori dei parametri di controllo predefiniti in più account e regioni (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Scegliere la scheda **Policy**.

1. Seleziona una politica, quindi scegli **Modifica**. 

1. In **Criteri personalizzati**, la sezione **Controlli** mostra un elenco di controlli per i quali sono stati specificati parametri personalizzati.

1. Trova il controllo che ha uno o più valori di parametro da ripristinare. Quindi, scegli **Rimuovi** per ripristinare i valori predefiniti.

1. Nella sezione **Account**, verifica gli account o a OUs cui desideri applicare la politica.

1. Scegli **Next (Successivo)**.

1. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli **Salva politica e applica**. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

------
#### [ Security Hub CSPM API ]

**Per ripristinare i valori dei parametri di controllo predefiniti in più account e regioni (API)**

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato nella regione d'origine.

1. Per il `Identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy che desideri aggiornare.

1. Per l'`SecurityControlCustomParameters`oggetto, fornisci l'identificatore di ogni controllo per il quale desideri ripristinare uno o più parametri.

1. Nell'`Parameters`oggetto, per ogni parametro che desideri ripristinare, inserisci `DEFAULT` il campo. `ValueType` Quando `ValueType` è impostato su`DEFAULT`, non è necessario fornire un valore per il `Value` campo. Se nella richiesta è incluso un valore, Security Hub CSPM lo ignora. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente.

**avvertimento**  
Se si omette un oggetto di controllo dal `SecurityControlCustomParameters` campo, Security Hub CSPM ripristina tutti i parametri personalizzati per il controllo ai valori predefiniti. Un elenco completamente vuoto riporta i parametri `SecurityControlCustomParameters` personalizzati per tutti i controlli ai valori predefiniti.

Ad esempio, il AWS CLI comando seguente riporta il parametro `daysToExpiration` control `ACM.1` al valore predefinito nella politica di configurazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Ripristino dei parametri di controllo predefiniti in un unico account e regione
<a name="revert-default-parameter-values-local-config"></a>

Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi tornare a utilizzare i valori dei parametri predefiniti per il tuo account in una regione alla volta.

Scegli il tuo metodo preferito e segui i passaggi per ripristinare i valori dei parametri predefiniti per il tuo account in una singola regione. Per ripristinare i valori dei parametri predefiniti in altre regioni, ripeti questi passaggi in ogni regione aggiuntiva.

**Nota**  
Se disabiliti Security Hub CSPM, i parametri di controllo personalizzati vengono ripristinati. Se abiliti nuovamente Security Hub CSPM in futuro, tutti i controlli utilizzeranno i valori dei parametri predefiniti per l'avvio.

------
#### [ Security Hub CSPM console ]

**Per ripristinare i valori dei parametri di controllo predefiniti in un account e in una regione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel riquadro di navigazione, scegli Controlli.** Scegliete il controllo per il quale desiderate ripristinare i valori dei parametri predefiniti.

1. Nella `Parameters` scheda, scegli **Personalizzato** accanto a un parametro di controllo. Quindi, scegli **Rimuovi personalizzazione.** Questo parametro ora utilizza il valore CSPM predefinito di Security Hub e tiene traccia degli aggiornamenti futuri al valore predefinito.

1. Ripetere il passaggio precedente per ogni valore di parametro che si desidera ripristinare.

------
#### [ Security Hub CSPM API ]

**Per ripristinare i valori dei parametri di controllo predefiniti in un account e in un'unica regione (API)**

1. Invoca l'API. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html)

1. Per`SecurityControlId`, fornisci l'ARN o l'ID del controllo di cui desideri ripristinare i parametri.

1. Nell'`Parameters`oggetto, per ogni parametro che desideri ripristinare, inserisci `DEFAULT` il campo. `ValueType` Quando `ValueType` è impostato su`DEFAULT`, non è necessario fornire un valore per il `Value` campo. Se nella richiesta è incluso un valore, Security Hub CSPM lo ignora.

1. Facoltativamente`LastUpdateReason`, fornisci un motivo per ripristinare i valori dei parametri predefiniti.

Ad esempio, il AWS CLI comando seguente ripristina il valore predefinito del parametro `daysToExpiration` control for`ACM.1`. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Verifica dello stato delle modifiche ai parametri di controllo
<a name="parameter-update-status"></a>

Quando si tenta di personalizzare un parametro di controllo o di ripristinare il valore predefinito, è possibile verificare se le modifiche desiderate sono state efficaci. Questo aiuta a garantire che un controllo funzioni come previsto e fornisca il valore di sicurezza previsto. Se l'aggiornamento di un parametro non riesce, Security Hub CSPM mantiene il valore corrente del parametro.

Per verificare che l'aggiornamento di un parametro sia andato a buon fine, puoi esaminare i dettagli del controllo sulla console CSPM di Security Hub. Sulla console, scegli **Controlli** nel pannello di navigazione. Quindi, scegli un controllo per visualizzarne i dettagli. La scheda **Parametri** mostra lo stato della modifica del parametro.

A livello di programmazione, se la richiesta di aggiornamento di un parametro è valida, il valore del `UpdateStatus` campo è `UPDATING` in risposta all'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)operazione. Ciò significa che l'aggiornamento era valido, ma tutti i risultati potrebbero non includere ancora i valori dei parametri aggiornati. Quando il valore di `UpdateState` cambia in`READY`, Security Hub CSPM utilizza i valori dei parametri di controllo aggiornati durante l'esecuzione dei controlli di sicurezza del controllo. I risultati includono i valori dei parametri aggiornati.

L'`UpdateSecurityControl`operazione restituisce una `InvalidInputException` risposta per i valori dei parametri non validi. La risposta fornisce ulteriori dettagli sul motivo dell'errore. Ad esempio, è possibile che abbiate specificato un valore che non rientra nell'intervallo valido per un parametro. In alternativa, potresti aver specificato un valore che non utilizza il tipo di dati corretto. Invia nuovamente la richiesta con un input valido.

Se si verifica un errore interno quando si tenta di aggiornare il valore di un parametro, Security Hub CSPM riprova automaticamente se è stato abilitato. AWS Config Per ulteriori informazioni, consulta [Considerazioni prima dell'attivazione e della configurazione AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).