Entendendo os parâmetros de controle no Security Hub - AWS Security Hub
Efeito da modificação dos valores dos parâmetros de controleControles que oferecem suporte a parâmetros personalizados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo os parâmetros de controle no Security Hub

Alguns controles em AWS Security Hub use parâmetros que afetam a forma como o controle é avaliado. Normalmente, esses controles são avaliados em relação aos valores de parâmetros padrão definidos pelo Security Hub. No entanto, para um subconjunto desses controles, você pode modificar os valores dos parâmetros. Quando você modifica um valor de parâmetro de controle, o Security Hub começa a avaliar o controle em relação ao valor que você especifica. Se o recurso subjacente ao controle satisfizer o valor personalizado, o Security Hub gerará uma descoberta PASSED. Se o recurso não satisfizer o valor personalizado, o Security Hub gerará uma descoberta FAILED.

Ao personalizar os parâmetros de controle, é possível refinar as melhores práticas de segurança recomendadas e monitoradas pelo Security Hub para se alinharem aos requisitos de sua empresa e às expectativas de segurança. Em vez de suprimir as descobertas de um controle, é possível personalizar um ou mais de seus parâmetros para obter descobertas que atendam às suas necessidades de segurança.

Aqui estão alguns exemplos de casos de uso para modificar parâmetros de controle e definir valores personalizados:

  • [CloudWatch.16] — os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

    É possível especificar o período de tempo de retenção.

  • [IAM.7] — As políticas de senha para IAM usuários devem ter configurações fortes

    É possível especificar parâmetros relacionados à força da senha.

  • [EC2.18] — Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

    É possível especificar quais portas estão autorizadas a permitir tráfego de entrada irrestrito.

  • [Lambda.5] — As funções VPC Lambda devem operar em várias zonas de disponibilidade

    É possível especificar o número mínimo de zonas de disponibilidade que produzem uma descoberta aprovada.

Esta seção aborda aspectos a serem considerados ao modificar os parâmetros de controle.

Efeito da modificação dos valores dos parâmetros de controle

Ao alterar o valor de um parâmetro, você também aciona uma nova verificação de segurança que avaliará o controle com base no novo valor. Em seguida, o Security Hub gerará novas descobertas de controle com base no novo valor. Durante atualizações periódicas para controlar as descobertas, o Security Hub também usará o novo valor do parâmetro. Se você alterar os valores dos parâmetros de um controle, mas não tiver habilitado nenhum padrão que inclua o controle, o Security Hub não realizará nenhuma verificação de segurança usando os novos valores. Você precisa habilitar pelo menos um padrão relevante para que o Security Hub avalie o controle com base no novo valor do parâmetro.

Um controle pode ter um ou mais parâmetros personalizáveis. Os tipos de dados possíveis para cada parâmetro de controle incluem o seguinte:

  • Booleano

  • Double

  • Enum

  • EnumList

  • Inteiro

  • IntegerList

  • String

  • StringList

Os valores de parâmetros personalizados se aplicam a todos os padrões habilitados. Você não pode personalizar os parâmetros de um controle que não seja compatível com sua região atual. Para obter uma lista de limites regionais para controles individuais, consulte Limites regionais nos controles do Security Hub.

Para alguns controles, os valores de parâmetros aceitáveis devem estar em um intervalo especificado para serem válidos. Nesses casos, o Security Hub fornece o intervalo aceitável.

O Security Hub escolhe valores de parâmetros padrão e pode ocasionalmente atualizá-los. Depois de personalizar um parâmetro de controle, seu valor continua sendo o valor que você especificou para o parâmetro, a menos que você o altere. Ou seja, o parâmetro interrompe o acompanhamento de atualizações no valor padrão do Security Hub, mesmo que o valor personalizado do parâmetro corresponda ao valor padrão atual definido pelo Security Hub. Aqui está um exemplo do controle [ACM.1] — Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

No exemplo anterior, o parâmetro daysToExpiration tem um valor personalizado de 30. O valor padrão atual desse parâmetro também é 30. Se o Security Hub alterar o valor padrão para 14, o parâmetro neste exemplo não acompanhará essa alteração. Ele manterá um valor de 30.

Se você quiser acompanhar as atualizações do valor padrão do Security Hub para um parâmetro, defina o campo ValueType como DEFAULT em vez de CUSTOM. Para obter mais informações, consulte Revertendo para os parâmetros de controle padrão em uma única conta e região.

Controles que oferecem suporte a parâmetros personalizados

Para obter uma lista de controles de segurança que oferecem suporte a parâmetros personalizados, consulte a página Controles do console do Security Hub ou Referência de controles do Security Hub o. Para recuperar essa lista programaticamente, você pode usar o ListSecurityControlDefinitionsoperação. Na resposta, o objeto CustomizableProperties indica quais controles oferecem suporte a parâmetros personalizáveis.