Aggiornamento delle politiche di configurazione - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornamento delle politiche di configurazione

Dopo aver creato una politica di configurazione, l'account AWS Security Hub amministratore delegato può aggiornare i dettagli delle politiche e le associazioni delle politiche. Quando i dettagli della politica vengono aggiornati, gli account associati alla politica di configurazione iniziano automaticamente a utilizzare la politica aggiornata.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consultaComprendere la configurazione centrale in Security Hub.

L'amministratore delegato può aggiornare le seguenti impostazioni dei criteri:

  • Abilita o disabilita Security Hub.

  • Abilita uno o più standard di sicurezza.

  • Indica quali controlli di sicurezza sono abilitati negli standard abilitati. Puoi farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub disabilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati. In alternativa, puoi fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub abilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati.

  • Facoltativamente, personalizza i parametri per selezionare i controlli abilitati tra gli standard abilitati.

Scegli il tuo metodo preferito e segui i passaggi per aggiornare una politica di configurazione.

Nota

Se si utilizza la configurazione centrale, Security Hub disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine. Quando utilizzi la configurazione centrale, non hai la copertura necessaria per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate. Per un elenco dei controlli che coinvolgono risorse globali, consultaControlli che utilizzano risorse globali.

Console
Per aggiornare le politiche di configurazione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Scegliere la scheda Policy.

  4. Seleziona la politica di configurazione che desideri modificare e scegli Modifica. Se lo desideri, modifica le impostazioni dei criteri. Lasciate questa sezione così com'è se desiderate mantenere invariate le impostazioni dei criteri.

  5. Scegliete Avanti. Se lo desiderate, modificate le associazioni di policy. Lasciate questa sezione così com'è se desiderate mantenere invariate le associazioni di politiche. Puoi associare o dissociare la policy con un massimo di 15 obiettivi (account o root) quando la aggiorni. OUs

  6. Scegli Next (Successivo).

  7. Controlla le modifiche e scegli Salva e applica. Nella tua regione d'origine e nelle regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati a una politica di configurazione tramite l'applicazione o ereditati da un nodo principale.

API
Per aggiornare le politiche di configurazione

  1. Per aggiornare le impostazioni in una politica di configurazione, richiama l'UpdateConfigurationPolicyAPIaccount amministratore delegato del Security Hub nella regione di residenza.

  2. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.

  3. Fornisci valori aggiornati per i campi sottostantiConfigurationPolicy. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento.

  4. Per aggiungere nuove associazioni per questa politica di configurazione, richiama l'StartConfigurationPolicyAssociationAPIaccount amministratore delegato del Security Hub nella regione di residenza. Per rimuovere una o più associazioni correnti, richiama l'account amministratore delegato StartConfigurationPolicyDisassociationAPIdal Security Hub nella regione di residenza.

  5. Per il ConfigurationPolicyIdentifier campo, fornisci l'ARNo l'ID della politica di configurazione di cui desideri aggiornare le associazioni.

  6. Per il Target campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificatiOUs.

Nota

Quando si richiama il UpdateConfigurationPolicyAPI, Security Hub esegue una sostituzione completa dell'elenco per i SecurityControlCustomParameters campi EnabledStandardIdentifiersEnabledSecurityControlIdentifiers,DisabledSecurityControlIdentifiers, e. Ogni volta che lo richiamiAPI, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli per i quali desideri abilitare o disabilitare e personalizzare i parametri.

Esempio API di richiesta di aggiornamento di una politica di configurazione:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
Per aggiornare le politiche di configurazione

  1. Per aggiornare le impostazioni in una politica di configurazione, esegui il update-configuration-policycomando dall'account amministratore delegato di Security Hub nella regione di residenza.

  2. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.

  3. Fornisci valori aggiornati per i campi sottostanticonfiguration-policy. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento.

  4. Per aggiungere nuove associazioni per questa politica di configurazione, esegui il start-configuration-policy-associationcomando dall'account amministratore delegato di Security Hub nella regione di residenza. Per rimuovere una o più associazioni correnti, esegui il start-configuration-policy-disassociationcomando dall'account amministratore delegato di Security Hub nella regione di residenza.

  5. Per il configuration-policy-identifier campo, fornisci l'ARNo l'ID della politica di configurazione di cui desideri aggiornare le associazioni.

  6. Per il target campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificatiOUs.

Nota

Quando si esegue il update-configuration-policy comando, Security Hub sostituisce l'elenco completo dei SecurityControlCustomParameters campi EnabledStandardIdentifiers EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers,, e. Ogni volta che esegui questo comando, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli per i quali desideri abilitare o disabilitare e personalizzare i parametri.

Comando di esempio per aggiornare una politica di configurazione:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

StartConfigurationPolicyAssociationAPIRestituisce un campo chiamatoAssociationStatus. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a SUCCESS o FAILURE può richiedere fino a 24 ore. PENDING Per ulteriori informazioni sullo stato dell'associazione, vedereRevisione dello stato di associazione di una politica di configurazione.