Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Standard di gestione dei servizi in Security Hub CSPM
Uno standard gestito dai servizi è uno standard di sicurezza Servizio AWS gestito da un altro ma che è possibile visualizzare in Security Hub CSPM. Ad esempio, [Service-Managed Standard: AWS Control Towerè uno standard gestito dai](service-managed-standard-aws-control-tower.md) servizi che gestisce. AWS Control Tower Uno standard gestito dai servizi si differenzia da uno standard di sicurezza gestito da AWS Security Hub CSPM nei seguenti modi:
+ **Creazione ed eliminazione di standard**: è possibile creare ed eliminare uno standard gestito dal servizio con la console o l'API del servizio di gestione oppure con. AWS CLI Finché non crei lo standard nel servizio di gestione in uno di questi modi, lo standard non viene visualizzato nella console CSPM di Security Hub e non è accessibile tramite l'API CSPM di Security Hub o. AWS CLI
+ **Nessuna attivazione automatica dei controlli**: quando si crea uno standard gestito dal servizio, Security Hub CSPM e il servizio di gestione non abilitano automaticamente i controlli che si applicano allo standard. Inoltre, quando Security Hub CSPM rilascia nuovi controlli per lo standard, questi non vengono abilitati automaticamente. Si tratta di un allontanamento dagli standard gestiti da Security Hub CSPM. Per ulteriori informazioni sul modo consueto di configurare i controlli in Security Hub CSPM, vedere. [Comprendere i controlli di sicurezza in Security Hub CSPM](controls-view-manage.md)
+ **Abilitazione e disabilitazione dei controlli**: consigliamo di abilitare e disabilitare i controlli nel servizio di gestione per evitare deviazioni.
+ **Disponibilità dei controlli**: il servizio di gestione sceglie quali controlli sono disponibili come parte dello standard di gestione dei servizi. I controlli disponibili possono includere tutti o un sottoinsieme dei controlli CSPM esistenti di Security Hub.
Dopo che il servizio di gestione ha creato lo standard gestito dal servizio e reso disponibili i relativi controlli, puoi accedere ai risultati del controllo, agli stati dei controlli e al punteggio di sicurezza standard nella console CSPM di Security Hub, nell'API CSPM di Security Hub o. AWS CLI Alcune o tutte queste informazioni potrebbero essere disponibili anche nel servizio di gestione.
Seleziona uno standard gestito dal servizio dall'elenco seguente per visualizzare ulteriori dettagli al riguardo.
**Topics**
+ [Standard di gestione dei servizi: AWS Control Tower](service-managed-standard-aws-control-tower.md)
# Standard di gestione dei servizi: AWS Control Tower
Questa sezione fornisce informazioni su Service-Managed Standard:. AWS Control Tower
## Che cos'è Service-Managed Standard:? AWS Control Tower
Service-Managed Standard: AWS Control Tower è uno standard gestito dai servizi che AWS Control Tower gestisce che supporta un sottoinsieme di controlli Security Hub. Questo standard è progettato per gli utenti di AWS Security Hub CSPM e. AWS Control Tower Consente di configurare i controlli di rilevamento di Security Hub CSPM dal AWS Control Tower servizio.
I controlli investigativi rilevano la non conformità delle risorse (ad esempio, configurazioni errate) all'interno dell'azienda. Account AWS
**Suggerimento**
Gli standard gestiti dai servizi differiscono dagli standard gestiti da AWS Security Hub CSPM. Ad esempio, è necessario creare ed eliminare uno standard gestito dai servizi nel servizio di gestione. Per ulteriori informazioni, consulta [Standard di gestione dei servizi in Security Hub CSPM](service-managed-standards.md).
Quando abiliti un controllo CSPM di Security Hub tramite AWS Control Tower, Control Tower abilita anche Security Hub CSPM per te in quegli account e regioni specifici, se non è già abilitato. Nella console e nell'API di Security Hub CSPM, puoi visualizzare Service-Managed Standard: insieme ad altri standard CSPM di AWS Control Tower Security Hub, una volta abilitato lo standard da. AWS Control Tower
Per ulteriori informazioni su questo standard, consulta i [controlli CSPM di Security Hub nella Guida](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) per l'*AWS Control Tower utente*.
## Creazione dello standard
Questo standard è disponibile in Security Hub CSPM solo se si abilitano i controlli CSPM di Security Hub da. AWS Control Tower AWS Control Tower crea lo standard quando si abilita per la prima volta un controllo applicabile utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)
Quando abiliti un controllo CSPM di Security Hub tramite AWS Control Tower, se non hai già abilitato Security Hub CSPM, abilita anche AWS Control Tower Security Hub CSPM per te in quegli account e regioni specifici.
Per identificare un controllo CSPM di Security Hub tramite l'ID di controllo in Control Catalog, puoi utilizzare il campo `Implementation.Identifier` in. AWS Control Tower Questo campo è mappato all'ID di controllo CSPM di Security Hub e può essere utilizzato per filtrare un ID di controllo specifico. Per recuperare i metadati di controllo per uno specifico controllo CSPM di Security Hub (ad esempio, "CodeBuild.1") in AWS Control Tower, puoi utilizzare l'API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)
`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Non puoi visualizzare o accedere a questo standard nella console CSPM di Security Hub, nell'API CSPM di Security Hub o AWS CLI senza prima configurare e abilitare i controlli CSPM di AWS Control Tower Security Hub AWS Control Tower utilizzando uno dei metodi precedenti.
[Questo standard è disponibile solo dove è disponibile.Regioni AWSAWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html)
## Abilitazione e disabilitazione dei controlli nello standard
Dopo aver abilitato i controlli CSPM di Security Hub AWS Control Tower e aver creato lo standard Service-Managed AWS Control Tower Standard: è possibile visualizzare lo standard e i relativi controlli disponibili in Security Hub CSPM.
Quando Security Hub CSPM aggiunge nuovi controlli al Service-Managed Standard: AWS Control Tower standard, questi non vengono abilitati automaticamente per i clienti che hanno lo standard abilitato. È necessario abilitare e disabilitare i controlli per lo standard AWS Control Tower utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)and [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (esegui i [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandi [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)and)
Quando si modifica lo stato di attivazione di un controllo in AWS Control Tower, la modifica si riflette anche in Security Hub CSPM.
Tuttavia, la disabilitazione di un controllo in Security Hub CSPM abilitato in AWS Control Tower comporta una deriva del controllo. Lo stato del controllo in viene visualizzato come. AWS Control Tower `Drifted` È possibile risolvere questa deriva utilizzando l'[ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API per reimpostare il controllo in corso, selezionando [Registra nuovamente l'unità organizzativa](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) nella AWS Control Tower console o disabilitando e riabilitando il controllo AWS Control Tower utilizzando uno dei metodi precedenti.
Il completamento delle azioni di attivazione e disabilitazione in consente di evitare la deriva del controllo. AWS Control Tower
Quando abiliti o disabiliti i controlli in AWS Control Tower, l'azione si applica a tutti gli account e alle regioni governati da. AWS Control Tower Se abiliti e disabiliti i controlli in Security Hub CSPM (non consigliato per questo standard), l'azione si applica solo all'account e alla regione correnti.
**Nota**
[La configurazione centrale](central-configuration-intro.md) non può essere utilizzata per gestire Service-Managed Standard:. AWS Control Tower Puoi utilizzare *solo* il AWS Control Tower servizio per abilitare e disabilitare i controlli in questo standard.
## Visualizzazione dello stato di attivazione e dello stato di controllo
È possibile visualizzare lo stato di attivazione di un controllo utilizzando uno dei seguenti metodi:
+ Console CSPM Security Hub, API CSPM Security Hub o AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API per visualizzare un elenco di controlli abilitati (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI per visualizzare un elenco di controlli abilitati (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)
Un controllo che disabiliti AWS Control Tower ha lo stato di attivazione in Security Hub CSPM, `Disabled` a meno che non abiliti esplicitamente tale controllo in Security Hub CSPM.
Security Hub CSPM calcola lo stato del controllo in base allo stato del flusso di lavoro e allo stato di conformità dei risultati del controllo. Per ulteriori informazioni sullo stato di attivazione e sullo stato di controllo, vedere. [Revisione dei dettagli dei controlli in Security Hub CSPM](securityhub-standards-control-details.md)
In base agli stati di controllo, Security Hub CSPM calcola un [punteggio di sicurezza](standards-security-score.md) per Service-Managed Standard:. AWS Control Tower Questo punteggio è disponibile solo in Security Hub CSPM. Inoltre, è possibile visualizzare i [risultati del controllo](controls-findings-create-update.md) solo in Security Hub CSPM. Il punteggio di sicurezza standard e i risultati del controllo non sono disponibili in. AWS Control Tower
**Nota**
Quando abiliti i controlli per Service-Managed Standard: AWS Control Tower, Security Hub CSPM può impiegare fino a 18 ore per generare risultati per i controlli che utilizzano una regola esistente collegata al servizio. AWS Config Potresti avere regole collegate ai servizi esistenti se hai abilitato altri standard e controlli in Security Hub CSPM. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).
## Eliminazione dello standard
È possibile eliminare questo standard gestito AWS Control Tower dal servizio disabilitando tutti i controlli applicabili utilizzando uno dei seguenti metodi:
+ AWS Control Tower console
+ AWS Control Tower API (chiama l'[https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)
La disabilitazione di tutti i controlli elimina lo standard in tutti gli account gestiti e nelle regioni governate in. AWS Control Tower L'eliminazione dello standard lo AWS Control Tower rimuove dalla pagina **Standard** della console CSPM di Security Hub e non è più possibile accedervi utilizzando l'API CSPM di Security Hub o. AWS CLI
**Nota**
La disabilitazione di tutti i controlli dallo standard in Security Hub CSPM non disabilita o elimina lo standard.
La disattivazione del servizio CSPM Security Hub rimuove Service-Managed Standard AWS Control Tower e tutti gli altri standard che hai abilitato.
## Trova il formato dei campi per Service-Managed Standard: AWS Control Tower
Quando crei Service-Managed Standard: AWS Control Tower e ne abiliti i controlli, inizierai a ricevere i risultati del controllo in Security Hub CSPM. Security Hub CSPM riporta i risultati del controllo in. [AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md) Questi sono i valori ASFF per Amazon Resource Name (ARN) di questo standard e: `GeneratorId`
+ **ARN standard** — `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`
Per un esempio di risultato per Service-Managed Standard: AWS Control Tower, vedere. [Esempi di risultati di controllo](sample-control-findings.md)
## Controlli che si applicano a Service-Managed Standard: AWS Control Tower
Service-Managed Standard: AWS Control Tower supporta un sottoinsieme di controlli che fanno parte dello standard AWS Foundational Security Best Practices (FSBP). Scegliete un controllo per visualizzarne le informazioni, incluse le procedure di correzione in caso di risultati non riusciti.
Per vedere da cosa sono supportati i controlli CSPM di Security Hub AWS Control Tower, puoi utilizzare uno dei seguenti metodi:
+ AWS Controlla la console Catalog per cui puoi filtrare `“Control owner = AWS Security Hub”`
+ AWS L'API Control Catalog (chiama l'[https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) con filtro `Implementations` per cui verificare `Types` è `AWS::SecurityHub::SecurityControl`
+ AWS CLI (esegui il [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) con filtro per`Implementations`. Esempio di comando CLI:
`aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`
I limiti regionali sui controlli CSPM di Security Hub, se abilitati tramite lo standard Control Tower, potrebbero non corrispondere ai limiti regionali sui controlli sottostanti.
In Security Hub CSPM, se [i risultati del controllo consolidato](controls-findings-create-update.md#consolidated-control-findings) sono disattivati nel tuo account, il `ProductFields.ControlId` campo dei risultati generati utilizza l'ID di controllo standard. **L'ID di controllo basato su standard è formattato come CT. ***ControlId***(ad esempio, CT. CodeBuild.1**).
Per ulteriori informazioni su questo standard, consulta i [controlli CSPM di Security Hub nella Guida](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) per l'*AWS Control Tower utente*.