Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Abilitazione dei controlli in Security Hub CSPM
<a name="securityhub-standards-enable-disable-controls"></a>

In AWS Security Hub CSPM, un controllo è una protezione all'interno di uno standard di sicurezza che aiuta un'organizzazione a proteggere la riservatezza, l'integrità e la disponibilità delle proprie informazioni. Ogni controllo CSPM di Security Hub è correlato a una risorsa specifica AWS . Quando abiliti un controllo, Security Hub CSPM inizia a eseguire i controlli di sicurezza per il controllo e genera i relativi risultati. Security Hub CSPM considera anche tutti i controlli abilitati nel calcolo dei punteggi di sicurezza.

Puoi scegliere di abilitare un controllo su tutti gli standard di sicurezza a cui si applica. In alternativa, è possibile configurare lo stato di abilitazione in modo diverso a seconda degli standard. Consigliamo la prima opzione, in cui lo stato di attivazione di un controllo è allineato a tutti gli standard abilitati. Per istruzioni su come abilitare un controllo su tutti gli standard che lo applica, consulta. [Abilitare un controllo attraverso gli standard](enable-controls-overview.md) Per istruzioni su come abilitare un controllo in standard specifici, vedere[Abilitazione di un controllo in uno standard specifico](controls-configure.md).

Se abiliti l'aggregazione tra regioni e accedi a un'area di aggregazione, la console Security Hub CSPM mostra i controlli disponibili in almeno una regione collegata. Se un controllo è disponibile in una regione collegata ma non nella regione di aggregazione, non è possibile abilitare o disabilitare tale controllo dalla regione di aggregazione.

È possibile abilitare e disabilitare i controlli in ogni regione utilizzando la console CSPM di Security Hub, l'API CSPM di Security Hub o. AWS CLI

[Le istruzioni per abilitare e disabilitare i controlli variano a seconda che si utilizzi o meno la configurazione centrale.](central-configuration-intro.md) Questo argomento descrive le differenze. La configurazione centrale è disponibile per gli utenti che integrano Security Hub CSPM e. AWS Organizations Si consiglia di utilizzare la configurazione centrale per semplificare il processo di attivazione e disabilitazione dei controlli in ambienti con più account e più regioni. Se utilizzi la configurazione centrale, puoi abilitare il controllo su più account e regioni tramite l'uso di politiche di configurazione. Se non utilizzi la configurazione centrale, devi abilitare un controllo separatamente in ogni regione e account.

# Abilitare un controllo attraverso gli standard
<a name="enable-controls-overview"></a>

Consigliamo di abilitare un controllo CSPM AWS Security Hub su tutti gli standard a cui si applica il controllo. Se attivi i risultati del controllo consolidato, riceverai un risultato per controllo anche se un controllo appartiene a più di uno standard.

## Abilitazione multistandard in ambienti con più account e più regioni
<a name="enable-controls-all-standards-central-configuration"></a>

[Per abilitare un controllo di sicurezza su più Account AWS e Regioni AWS, è necessario accedere all'account amministratore CSPM di Security Hub delegato e utilizzare la configurazione centrale.](central-configuration-intro.md)

Nella configurazione centrale, l'amministratore delegato può creare politiche di configurazione CSPM di Security Hub che abilitano controlli specifici attraverso gli standard abilitati. È quindi possibile associare la politica di configurazione a account e unità organizzative specifici (OUs) o alla radice. Una politica di configurazione ha effetto nella regione di origine (chiamata anche regione di aggregazione) e in tutte le regioni collegate.

Le politiche di configurazione offrono la personalizzazione. Ad esempio, puoi scegliere di abilitare tutti i controlli in un'unità organizzativa e puoi scegliere di abilitare solo i controlli Amazon Elastic Compute Cloud (EC2) in un'altra unità organizzativa. Il livello di granularità dipende dagli obiettivi prefissati per la copertura di sicurezza nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione che abiliti controlli specifici tra gli standard, vedi. [Creazione e associazione di policy di configurazione](create-associate-policy.md)

**Nota**  
L'amministratore delegato può creare politiche di configurazione per gestire i controlli in tutti gli standard tranne il [Service-Managed](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html) Standard:. AWS Control Tower I controlli per questo standard devono essere configurati nel servizio. AWS Control Tower 

Se desideri che alcuni account configurino i propri controlli anziché l'amministratore delegato, l'amministratore delegato può designare tali account come autogestiti. Gli account autogestiti devono configurare i controlli separatamente in ciascuna regione.

## Abilitazione multistandard in un unico account e regione
<a name="enable-controls-all-standards"></a>

Se non utilizzi la configurazione centrale o sei un account autogestito, non puoi utilizzare i criteri di configurazione per abilitare centralmente i controlli in più account e regioni. Tuttavia, puoi utilizzare i seguenti passaggi per abilitare un controllo in un singolo account e regione.

------
#### [ Security Hub CSPM console ]

**Per abilitare un controllo su più standard in un account e in un'unica regione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Controlli** dal pannello di navigazione.

1. Scegli la scheda **Disabilitato**.

1. Scegli l'opzione accanto a un controllo.

1. Scegli **Abilita controllo** (questa opzione non viene visualizzata per un controllo già abilitato).

1. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.

------
#### [ Security Hub CSPM API ]

**Per abilitare il controllo su più standard in un account e in un'unica regione**

1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)API. Fornisci un ID di controllo di sicurezza.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)API. Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standard ARNs, [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)esegui.

1. Imposta il `AssociationStatus` parametro uguale a`ENABLED`. Se segui questi passaggi per un controllo già abilitato, l'API restituisce una risposta con codice di stato HTTP 200.

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Ripetere l'operazione in ogni regione in cui si desidera abilitare il controllo.

------
#### [ AWS CLI ]

**Per abilitare il controllo su più standard in un account e in un'unica regione**

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Fornisci un ID di controllo di sicurezza.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Fornisci l'Amazon Resource Name (ARN) di tutti gli standard in cui il controllo non è abilitato. Per ottenere lo standard ARNs, esegui il `describe-standards` comando.

1. Imposta il `AssociationStatus` parametro uguale a`ENABLED`. Se segui questi passaggi per un controllo già abilitato, il comando restituisce una risposta con il codice di stato HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Ripeti l'operazione in ogni regione in cui desideri abilitare il controllo.

------

# Abilitazione di un controllo in uno standard specifico
<a name="controls-configure"></a>

Quando abiliti uno standard in AWS Security Hub CSPM, tutti i controlli ad esso applicabili vengono abilitati automaticamente in quello standard (ad eccezione degli standard gestiti dai servizi). È quindi possibile disabilitare e riattivare controlli specifici nello standard. Tuttavia, consigliamo di allineare lo stato di attivazione di un controllo a tutti gli standard abilitati. Per istruzioni su come abilitare un controllo su tutti gli standard, consulta. [Abilitare un controllo attraverso gli standard](enable-controls-overview.md)

La pagina dei dettagli di uno standard contiene l'elenco dei controlli applicabili allo standard e informazioni sui controlli attualmente abilitati e disabilitati in quello standard.

Nella pagina dei dettagli degli standard, puoi anche abilitare i controlli in standard specifici. È necessario abilitare i controlli in standard specifici separatamente in ogni Account AWS e Regione AWS. Quando si abilita un controllo in standard specifici, ciò influisce solo sull'account corrente e sulla regione.

Per abilitare un controllo in uno standard, è necessario innanzitutto abilitare almeno uno standard a cui si applica il controllo. Per istruzioni sull'attivazione di uno standard, vedere[Abilitazione di uno standard di sicurezza](enable-standards.md). Quando abiliti un controllo in uno o più standard, Security Hub CSPM inizia a generare risultati per quel controllo. Security Hub CSPM include lo [stato del controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) nel calcolo del punteggio di sicurezza complessivo e dei punteggi di sicurezza standard. Anche se abiliti un controllo in più standard, se attivi i risultati del controllo consolidato, riceverai un unico risultato per ogni controllo di sicurezza tra gli standard. Per ulteriori informazioni, consulta [Risultati dei controlli consolidati](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).

Per abilitare un controllo in uno standard, il controllo deve essere disponibile nella tua regione attuale. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Segui questi passaggi per abilitare un controllo CSPM Security Hub in uno standard *specifico*. Al posto dei seguenti passaggi, puoi anche utilizzare l'azione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html)API per abilitare i controlli in uno standard specifico. Per istruzioni sull'attivazione di un controllo in *tutti* gli standard, vedere[Abilitazione multistandard in un unico account e regione](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**Per abilitare un controllo in uno standard specifico**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Standard di sicurezza** dal pannello di navigazione.

1. Scegli **Visualizza risultati** per lo standard pertinente.

1. Seleziona un controllo.

1. Scegli **Abilita controllo** (questa opzione non viene visualizzata per un controllo già abilitato). Conferma scegliendo **Abilita**.

------
#### [ Security Hub CSPM API ]

**Per abilitare un controllo in uno standard specifico**

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html) Questa API restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   **Richiesta di esempio:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   **Richiesta di esempio:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Esegui `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Fornisci l'ARN dello standard in cui desideri abilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `ENABLED`

   **Richiesta di esempio:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Per abilitare un controllo in uno standard specifico**

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` comando e fornisci un ARN standard per ottenere un elenco di controlli disponibili per uno standard specifico. Per ottenere un ARN standard, esegui. `describe-standards` Questo comando restituisce un controllo di sicurezza indipendente dallo standard, non un controllo IDs specifico dello standard. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Esegui il `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` comando e fornisci un ID di controllo specifico per restituire lo stato di abilitazione corrente di un controllo in ogni standard.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Esegui il comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Fornisci l'ARN dello standard in cui desideri abilitare il controllo.

1. Imposta il `AssociationStatus` parametro uguale a. `ENABLED`

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Abilitazione automatica di nuovi controlli negli standard abilitati
<a name="controls-auto-enable"></a>

AWS Security Hub CSPM rilascia regolarmente nuovi controlli e li aggiunge a uno o più standard. Puoi scegliere se abilitare automaticamente i nuovi controlli negli standard abilitati.

Si consiglia di utilizzare la configurazione centrale CSPM di Security Hub per abilitare automaticamente nuovi controlli di sicurezza. È possibile creare policy di configurazione che includono un elenco di controlli da disabilitare in tutti gli standard. Tutti gli altri controlli, compresi quelli appena rilasciati, sono abilitati per impostazione predefinita. In alternativa, è possibile creare policy che includono un elenco di controlli da abilitare in tutti gli standard. Tutti gli altri controlli, compresi quelli appena rilasciati, sono disabilitati per impostazione predefinita. Per ulteriori informazioni, consulta [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Security Hub CSPM non abilita nuovi controlli quando vengono aggiunti a uno standard che non hai abilitato.

Le seguenti istruzioni si applicano solo se non si utilizza la configurazione centrale.

Scegli il metodo di accesso preferito e segui i passaggi per abilitare automaticamente i nuovi controlli negli standard abilitati.

**Nota**  
Quando abiliti automaticamente i nuovi controlli utilizzando le seguenti istruzioni, puoi interagire con i controlli nella console e in modo programmatico subito dopo il rilascio. **Tuttavia, lo stato predefinito temporaneo dei controlli abilitati automaticamente è Disabilitato.** Security Hub CSPM può impiegare fino a diversi giorni per elaborare la versione di controllo e designare il controllo come **Attivato** nel tuo account. Durante il periodo di elaborazione, è possibile abilitare o disabilitare manualmente un controllo e Security Hub CSPM manterrà tale designazione indipendentemente dal fatto che sia attivata l'abilitazione automatica del controllo.

------
#### [ Security Hub CSPM console ]

**Per abilitare automaticamente i nuovi controlli**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Nel riquadro di navigazione, scegli **Impostazioni**, quindi scegli la scheda **Generale**.

1. In **Controlli**, scegli **Modifica**.

1. Attiva l'**attivazione automatica dei nuovi controlli negli standard abilitati**.

1. Scegli **Save** (Salva).

------
#### [ Security Hub CSPM API ]

**Per abilitare automaticamente i nuovi controlli**

1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Per abilitare automaticamente nuovi controlli per gli standard abilitati, imposta `AutoEnableControls` su`true`. Se non desideri abilitare automaticamente i nuovi controlli, imposta `AutoEnableControls` su false.

------
#### [ AWS CLI ]

**Per abilitare automaticamente i nuovi controlli**

1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).

1. Per abilitare automaticamente nuovi controlli per gli standard abilitati, specificare`--auto-enable-controls`. Se non desideri abilitare automaticamente i nuovi controlli, specifica`--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Comando di esempio**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Se non abiliti automaticamente i nuovi controlli, devi abilitarli manualmente. Per istruzioni, consulta [Abilitazione dei controlli in Security Hub CSPM](securityhub-standards-enable-disable-controls.md).