Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione del Security Hub

Esistono due modi per abilitare AWS Security Hub, mediante l'integrazione AWS Organizations o manualmente.

Consigliamo vivamente l'integrazione con Organizations per ambienti con più account e più regioni. Se disponi di un account indipendente, è necessario configurare Security Hub manualmente.

Verifica delle autorizzazioni necessarie

Dopo esserti registrato ad Amazon Web Services (AWS), devi abilitare Security Hub per utilizzarne le funzionalità e le caratteristiche. Per abilitare Security Hub, devi prima configurare le autorizzazioni che ti consentano di accedere alla console di Security Hub e alle operazioni API. Tu o il tuo AWS amministratore potete farlo utilizzando AWS Identity and Access Management (IAM) per allegare la policy AWS gestita chiamata AWSSecurityHubFullAccess alla vostra identità IAM.

Per abilitare e gestire Security Hub tramite l'integrazione Organizations, è inoltre necessario allegare la policy AWS gestita denominataAWSSecurityHubOrganizationsAccess.

Per ulteriori informazioni, consulta AWS politiche gestite per AWS Security Hub.

Abilitare l'integrazione di Security Hub with Organizations

Per iniziare a utilizzare Security Hub conAWS Organizations, l'account di AWS Organizations gestione dell'organizzazione designa un account come account amministratore delegato di Security Hub per l'organizzazione. Security Hub viene abilitato automaticamente nell'account amministratore delegato nella regione corrente.

Scegli il metodo preferito e segui i passaggi per designare l'amministratore delegato.

Security Hub console

Per designare l'amministratore delegato del Security Hub durante l'onboarding

1. Aprire la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Scegli Vai a Security Hub. Ti viene richiesto di accedere all'account di gestione Organizations.

3. Nella pagina Designa amministratore delegato, nella sezione Account amministratore delegato, specifica l'account amministratore delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.

4. Scegli Imposta amministratore delegato.

Security Hub API

Richiama l'EnableOrganizationAdminAccountAPI dall'account di gestione Organizations. Fornisci l'Account AWSID dell'account amministratore delegato del Security Hub.

AWS CLI

Esegui il enable-organization-admin-accountcomando dall'account di gestione Organizations. Fornisci l'Account AWSID dell'account amministratore delegato del Security Hub.

Comando di esempio:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Per ulteriori informazioni sull'integrazione con Organizations, vedereIntegrazione del Security Hub con AWS Organizations.

Dopo aver designato l'amministratore delegato, ti consigliamo di continuare a configurare Security Hub con la configurazione centralizzata. La console ti chiede di farlo. Utilizzando la configurazione centralizzata, è possibile semplificare il processo di attivazione e configurazione di Security Hub per l'organizzazione e garantire che l'organizzazione disponga di una copertura di sicurezza adeguata.

La configurazione centrale consente all'amministratore delegato di personalizzare Security Hub su più account e regioni dell'organizzazione anziché configurare regione per regione. È possibile creare una politica di configurazione per l'intera organizzazione o creare politiche di configurazione diverse per account e unità organizzative diversi. Le policy specificano se Security Hub è abilitato o disabilitato negli account associati e quali standard e controlli di sicurezza sono abilitati.

L'amministratore delegato può designare gli account come gestiti centralmente o autogestiti. Gli account gestiti centralmente sono configurabili solo dall'amministratore delegato. Gli account autogestiti possono specificare le proprie impostazioni.

Se non si utilizza la configurazione centrale, l'amministratore delegato ha una capacità più limitata di configurare Security Hub. Per ulteriori informazioni, consulta Gestione degli account con AWS Organizations.

Abilitazione manuale di Security Hub

Devi abilitare Security Hub manualmente se disponi di un account autonomo o se non esegui l'integrazione conAWS Organizations. Gli account autonomi non possono integrarsi AWS Organizations e devono utilizzare l'abilitazione manuale.

Quando si abilita Security Hub manualmente, si designa un account amministratore di Security Hub e si invitano altri account a diventare account membro. La relazione amministratore-membro viene stabilita quando un potenziale account membro accetta l'invito.

Scegli il tuo metodo preferito e segui i passaggi per abilitare Security Hub. Quando abiliti Security Hub dalla console, hai anche la possibilità di abilitare gli standard di sicurezza supportati.

Security Hub console

1. Aprire la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Quando apri la console Security Hub per la prima volta, scegli Vai a Security Hub.

3. Nella pagina di benvenuto, la sezione Standard di sicurezza elenca gli standard di sicurezza supportati da Security Hub.

   Seleziona la casella di controllo relativa a uno standard per abilitarlo e deseleziona la casella di controllo per disabilitarlo.

   È possibile abilitare o disabilitare uno standard o i relativi controlli singoli in qualsiasi momento. Per informazioni sulla gestione degli standard e dei controlli di sicurezza, consulta Controlli e standard di AWS sicurezza in Security Hub.

4. Scegliere Enable Security Hub (Abilita Security Hub).

Security Hub API

Richiama l'EnableSecurityHubAPI. Quando abiliti Security Hub dall'API, abilita automaticamente i seguenti standard di sicurezza predefiniti:

• AWS Foundational Security Best Practices

• Benchmark v1.2.0 delle AWS basi del Center for Internet Security (CIS)

Se non desideri abilitare questi standard, imposta EnableDefaultStandards su false.

È inoltre possibile utilizzare il Tags parametro per assegnare i valori dei tag alla risorsa dell'hub.

AWS CLI

Esegui il comando enable-security-hub. Per abilitare gli standard predefiniti, --enable-default-standards includi. Per non abilitare gli standard predefiniti, includi--no-enable-default-standards. Gli standard di sicurezza predefiniti sono i seguenti:

• AWS Foundational Security Best Practices

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Esempio

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script di abilitazione per più account

Lo script di abilitazione multi-account di Security Hub GitHub consente di abilitare Security Hub tra account e regioni. Lo script automatizza anche il processo di invio e attivazione degli inviti agli account dei membri. AWS Config

Lo script abilita automaticamente la registrazione delle risorse per tutte le risorse, incluse le risorse globali, in tutte le regioni. Non limita la registrazione delle risorse globali a una singola regione.

Esiste uno script corrispondente per disabilitare Security Hub tra account e regioni.

Passaggi successivi dopo aver abilitato Security Hub

Dopo aver abilitato Security Hub, ti consigliamo di abilitare gli standard di sicurezza e i controlli di sicurezza importanti per le tue esigenze di sicurezza. Dopo aver abilitato i controlli, Security Hub inizia a eseguire i controlli di sicurezza e a generare i risultati dei controlli. Puoi anche sfruttare le integrazioni tra Security Hub Servizi AWS e altre soluzioni di terze parti per visualizzarne i risultati in Security Hub.