As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Noções básicas sobre os parâmetros de controles no CSPM do Security Hub
<a name="custom-control-parameters"></a>

Alguns controles no AWS Security Hub CSPM usam parâmetros que afetam a forma como o controle é avaliado. Normalmente, esses controles são avaliados em relação aos valores de parâmetros padrão definidos pelo CSPM do Security Hub. Porém, para um subconjunto desses controles, você pode personalizar os valores dos parâmetros. Quando você modifica o valor de um parâmetro de controle, o CSPM do Security Hub começa a avaliar o controle em relação ao valor especificado. Se o recurso subjacente ao controle satisfizer o valor personalizado, o CSPM do Security Hub gerará uma descoberta `PASSED`. Se o recurso não satisfizer o valor personalizado, o CSPM do Security Hub gerará uma descoberta `FAILED`.

Ao personalizar os parâmetros de controle, é possível refinar as melhores práticas recomendadas de segurança e monitoradas pelo CSPM do Security Hub para se alinharem aos requisitos de sua empresa e às expectativas de segurança. Em vez de suprimir as descobertas de um controle, é possível personalizar um ou mais de seus parâmetros para obter descobertas que atendam às suas necessidades de segurança.

Aqui estão alguns exemplos de casos de uso de modificação de parâmetros de controles e definição de valores personalizados:
+ **[CloudWatch.16] — os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado**

  É possível especificar o período de tempo de retenção.
+ **[IAM.7]: as políticas de senha para usuários do IAM devem ter configurações fortes**

  É possível especificar parâmetros relacionados à força da senha.
+ **[EC2.18] — Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas**

  É possível especificar quais portas estão autorizadas a permitir tráfego de entrada irrestrito.
+ **[Lambda.5]: as funções do Lambda da VPC devem operar em várias zonas de disponibilidade**

  É possível especificar o número mínimo de zonas de disponibilidade que produzem uma descoberta aprovada.

Esta seção aborda o que deverá ser considerado quando você modificar os parâmetros de controle.

## Efeito da modificação dos valores dos parâmetros de controle
<a name="custom-control-parameters-overview"></a>

Ao alterar o valor de um parâmetro, você também aciona uma nova verificação de segurança que avaliará o controle com base no novo valor. Em seguida, o CSPM do Security Hub gerará novas descobertas de controle com base no novo valor. Durante atualizações periódicas para controlar as descobertas, o CSPM do Security Hub também usará o novo valor do parâmetro. Se você alterar os valores dos parâmetros de um controle, mas não tiver habilitado nenhum padrão que inclua o controle, o CSPM do Security Hub não realizará nenhuma verificação de segurança usando os novos valores. Você precisa habilitar pelo menos um padrão relevante para que o CSPM do Security Hub avalie o controle com base no novo valor do parâmetro.

Um controle pode ter um ou mais parâmetros personalizáveis. Os possíveis tipos de dados para cada parâmetro de controle incluem o seguinte:
+ Booleano
+ Duplo
+ Enum
+ EnumList
+ Inteiro
+ IntegerList
+ String
+ StringList

Valores de parâmetros personalizados se aplicam a todos os padrões habilitados. Você não pode personalizar os parâmetros de um controle que não seja compatível com sua região atual. Para obter uma lista de limites regionais para controles individuais, consulte [Limites regionais em controles do CSPM do Security Hub](regions-controls.md).

Em alguns controles, os valores aceitáveis dos parâmetros devem estar em intervalo especificado para serem válidos. Nesses casos, o CSPM do Security Hub fornece o intervalo aceitável.

O CSPM do Security Hub escolhe valores de parâmetros padrão e pode ocasionalmente atualizá-los. Depois de personalizar um parâmetro de controle, seu valor continua sendo o valor que você especificou para o parâmetro, a menos que você o altere. Ou seja, o parâmetro interrompe o rastreamento de atualizações no valor padrão do CSPM do Security Hub, mesmo que o valor personalizado do parâmetro corresponda ao valor padrão atual definido pelo CSPM do Security Hub. Aqui está um exemplo para o controle **[ACM.1]: certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado**:

```
{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}
```

No exemplo anterior, o parâmetro `daysToExpiration` tem um valor personalizado de `30`. O valor padrão atual desse parâmetro também é `30`. Se o CSPM do Security Hub alterar o valor padrão para `14`, o parâmetro neste exemplo não rastreará essa alteração. Ele manterá um valor de `30`.

Se você quiser rastrear as atualizações do valor padrão do CSPM do Security Hub para um parâmetro, defina o campo `ValueType` como `DEFAULT` em vez de `CUSTOM`. Para obter mais informações, consulte [Reverter os parâmetros de controles ao padrão em uma única conta e região](revert-default-parameter-values.md#revert-default-parameter-values-local-config).

## Controles que oferecem suporte a parâmetros personalizados
<a name="controls-list-custom-parameters"></a>

Para obter uma lista de controles de segurança que oferecem suporte a parâmetros personalizados, consulte a página **Controles** no console do CSPM do Security Hub ou a [Referência de controle para o CSPM do Security Hub](securityhub-controls-reference.md). Para recuperar essa lista programaticamente, é possível usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html). Na resposta, o objeto `CustomizableProperties` indica quais controles oferecem suporte a parâmetros personalizáveis.

# Revisar os valores dos parâmetros de controles atuais
<a name="view-control-parameters"></a>

Pode ser útil saber o valor atual de um parâmetro de controle antes de modificá-lo.

É possível revisar os valores atuais dos parâmetros de controle individuais em sua conta. Se você usar a configuração central, o administrador delegado do CSPM do AWS Security Hub também poderá revisar os valores dos parâmetros especificados em uma política de configuração.

Escolha seu método preferido e siga as etapas para revisar os valores atuais dos parâmetros de controle.

------
#### [ Security Hub CSPM console ]

**Para revisar os valores atuais dos parâmetros de controles (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**. Escolha um controle.

1. Selecione a guia **Parâmetros**. Essa guia mostra os valores atuais dos parâmetros do controle.

------
#### [ Security Hub CSPM API ]

**Para revisar os valores atuais dos parâmetros de controles (API)**

Invoque a [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchGetSecurityControls.html)API e forneça um ou mais controles de segurança IDs ou ARNs. O objeto `Parameters` na resposta mostra os valores dos parâmetros atuais para os controles especificados.

Por exemplo, o AWS CLI comando a seguir mostra os valores dos parâmetros atuais para `APIGatway.1``CloudWatch.15`, `IAM.7` e. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'
```

------

Escolha seu método preferido para visualizar os valores dos parâmetros atuais em uma política de configuração central.

------
#### [ Security Hub CSPM console ]

**Para revisar os valores atuais dos parâmetros em uma política de configuração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Na guia **Políticas**, selecione a política de configuração e escolha **Exibir detalhes**. Em seguida, os detalhes da política serão exibidos, incluindo os valores dos parâmetros atuais.

------
#### [ Security Hub CSPM API ]

**Para revisar os valores atuais dos parâmetros em uma política de configuração (API)**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. Forneça o ARN ou o ID da política de configuração cujos detalhes você deseja ver. A resposta inclui valores de parâmetros atuais.

Por exemplo, o AWS CLI comando a seguir recupera os valores atuais dos parâmetros de controle na política de configuração especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

As descobertas de controles também incluem os valores atuais dos parâmetros de controle. Em [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md), esses valores aparecem no campo `Parameters` do objeto `Compliance`. Para revisar as descobertas no console do CSPM do Security Hub, escolha **Descobertas** no painel de navegação. Para revisar as descobertas programaticamente, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html) da API do CSPM do Security Hub.

# Personalizar parâmetros de controles
<a name="customize-control-parameters"></a>

As instruções para personalizar os parâmetros de controle variam de acordo com o uso da [configuração central](central-configuration-intro.md) no CSPM do AWS Security Hub. A configuração central é um recurso que o administrador delegado do CSPM do Security Hub pode usar para configurar os recursos do CSPM do Security Hub em contas e unidades Regiões da AWS organizacionais (). OUs

Se sua organização usa a configuração central, o administrador delegado pode criar políticas de configuração que incluam parâmetros de controle personalizados. Essas políticas podem ser associadas a contas de membros gerenciadas centralmente e OUs entram em vigor na sua região de origem e em todas as regiões vinculadas. O administrador delegado também pode designar uma ou mais contas como autogerenciadas, o que permite que o proprietário da conta configure seus próprios parâmetros separadamente em cada região. Se sua organização não usa a configuração central, será necessário personalizar os parâmetros de controle separadamente em cada conta e região.

Recomendamos usar a configuração central porque ela permite alinhar os valores dos parâmetros de controle em diferentes partes da sua organização. Por exemplo, todas as suas contas de teste podem usar determinados valores de parâmetros, e todas as contas de produção podem usar valores diferentes.

## Personalizar os parâmetros dos controles em várias contas e regiões
<a name="customize-control-parameters-central-config"></a>

Se você for o administrador delegado do CSPM do Security Hub de uma organização que use a configuração central, escolha seu método preferido e siga as etapas para personalizar os parâmetros de controle em várias contas e regiões.

------
#### [ Security Hub CSPM console ]

**Para personalizar os parâmetros de controles em várias contas e regiões (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Certifique-se de que você está conectado à região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**.

1. Para criar uma nova política de configuração que inclua parâmetros personalizados, escolha **Criar política**. Para especificar parâmetros personalizados em uma política de configuração existente, selecione a política e escolha **Editar**.

   **Para criar uma nova política de configuração com valores de parâmetros de controles personalizados**

   1. Na seção **Política personalizada**, escolha os padrões e controles de segurança que você deseja habilitar.

   1. Selecione **Personalizar parâmetros de controle**.

   1. Selecione um controle e, em seguida, especifique valores personalizados para um ou mais parâmetros.

   1. Para personalizar os parâmetros para mais controles, escolha **Personalizar controle adicional**.

   1. Na seção **Contas**, selecione as contas às OUs quais você deseja aplicar a política.

   1. Escolha **Próximo**.

   1. Escolha **Criar política e aplicar**. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

   **Para personalizar valores de parâmetros de controles em uma política de configuração existente**

   1. Na seção **Controles**, em **Política personalizada**, especifique os novos valores de parâmetros personalizados que você deseja.

   1. Se essa for a primeira vez que você personaliza parâmetros de controle nessa política, selecione **Personalizar parâmetros de controle** e, em seguida, selecione um controle para personalizar. Para personalizar os parâmetros para mais controles, escolha **Personalizar controle adicional**.

   1. Na seção **Contas**, verifique as contas às OUs quais você deseja aplicar a política.

   1. Escolha **Próximo**.

   1. Revise suas alterações e verifique se estão corretas. Ao terminar, escolha **Salvar política e aplicar**. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

------
#### [ Security Hub CSPM API ]

**Para personalizar os parâmetros de controles em várias contas e regiões (API)**

**Para criar uma nova política de configuração com valores de parâmetros de controles personalizados**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. Para o objeto `SecurityControlCustomParameters`, forneça o identificador de cada controle que você deseja personalizar.

1. Para o objeto `Parameters`, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça `CUSTOM` para `ValueType`. Em `Value`, forneça o tipo de dados do parâmetro e o valor personalizado. O campo `Value` não poderá estar vazio quando `ValueType` for `CUSTOM`. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle invocando a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

**Para personalizar valores de parâmetros de controles em uma política de configuração existente**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. No campo `Identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

1. Para o objeto `SecurityControlCustomParameters`, forneça o identificador de cada controle que você deseja personalizar.

1. Para o objeto `Parameters`, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça `CUSTOM` para `ValueType`. Em `Value`, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle invocando a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

Por exemplo, o AWS CLI comando a seguir cria uma nova política de configuração com um valor personalizado para o `daysToExpiration` parâmetro de`ACM.1`. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'
```

------

## Personalização de parâmetros de controle em uma única conta e região
<a name="customize-control-parameters-local-config"></a>

Se você não usar a configuração central ou sua conta for autogerenciada, poderá personalizar os parâmetros de controles da conta em uma região de cada vez.

Escolha seu método preferido e siga as etapas para personalizar os parâmetros de controle. Suas alterações se aplicam somente à sua conta na região atual. Para personalizar os parâmetros de controle em regiões adicionais, repita as etapas a seguir em cada conta e região adicional na qual você deseja personalizar os parâmetros. O mesmo controle pode usar valores de parâmetros diferentes em regiões diferentes.

------
#### [ Security Hub CSPM console ]

**Para personalizar os valores dos parâmetros de controles em uma única conta e região (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**. Na tabela, escolha um controle que ofereça suporte a parâmetros personalizados e para o qual você deseja alterar os parâmetros. A coluna **Parâmetros personalizados** indica quais controles oferecem suporte a parâmetros personalizados.

1. Na página de detalhes do controle, escolha a guia **Parâmetros** e, em seguida, selecione **Editar**.

1. Especifique os valores de parâmetros que você desejar.

1. Opcionalmente, na seção **Motivo da alteração**, selecione um motivo para personalizar os parâmetros.

1. Escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

**Para personalizar os valores dos parâmetros de controles em uma única conta e região (API)**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. Em `SecurityControlId`, forneça o ID do controle que você deseja personalizar.

1. Para o objeto `Parameters`, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça `CUSTOM` para `ValueType`. Em `Value`, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle invocando a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetSecurityControlDefinition.html).

1. Opcionalmente, em `LastUpdateReason`, forneça um motivo para personalizar os parâmetros de controle.

Por exemplo, o AWS CLI comando a seguir define um valor personalizado para o `daysToExpiration` parâmetro de`ACM.1`. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"
```

------

# Revertendo para valores de parâmetros de controle padrão
<a name="revert-default-parameter-values"></a>

Um parâmetro de controle pode ter um valor padrão definido pelo AWS Security Hub CSPM. Ocasionalmente, o CSPM do Security Hub atualiza o valor padrão de um parâmetro para refletir a evolução das práticas recomendadas de segurança. Se você não especificou um valor personalizado para um parâmetro de controle, o controle acompanhará automaticamente essas atualizações e usará o novo valor padrão.

É possível voltar a usar valores de parâmetros padrão para um controle. As instruções para reversão dependem de você usar ou não a [configuração central](central-configuration-intro.md) no CSPM do Security Hub. A configuração central é um recurso que o administrador delegado do CSPM do Security Hub pode usar para configurar os recursos do CSPM do Security Hub em contas e unidades Regiões da AWS organizacionais (). OUs

**nota**  
Nem todos os parâmetros de controle têm um valor padrão no CSPM do Security Hub. Nesses casos, quando `ValueType` estiver definido como `DEFAULT`, não haverá um valor padrão específico usado pelo CSPM do Security Hub. Em vez disso, o CSPM do Security Hub ignorará o parâmetro na ausência de um valor personalizado.

## Para reverter os parâmetros de controles ao padrão em várias contas e regiões
<a name="revert-default-parameter-values-central-config"></a>

Se você usar a configuração central, poderá reverter os parâmetros de controle para várias contas gerenciadas centralmente e na região de origem e OUs nas regiões vinculadas.

Escolha seu método preferido e siga as etapas para voltar aos valores de parâmetros padrão em várias contas e regiões usando a configuração central.

------
#### [ Security Hub CSPM console ]

**Para reverter os parâmetros aos valores padrão em várias contas e regiões (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**.

1. Selecione uma política e escolha **Editar**. 

1. Em **Política personalizada**, a seção **Controles** mostrará uma lista de controles para os quais você especificou parâmetros personalizados.

1. Encontre o controle que tem um ou mais valores de parâmetros a serem revertidos. Em seguida, escolha **Remover** para reverter aos valores padrão.

1. Na seção **Contas**, verifique as contas às OUs quais você deseja aplicar a política.

1. Escolha **Próximo**.

1. Revise suas alterações e verifique se estão corretas. Ao terminar, escolha **Salvar política e aplicar**. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

------
#### [ Security Hub CSPM API ]

**Para reverter os parâmetros aos valores padrão em várias contas e regiões (API)**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) a partir da conta de administrador delegado na região inicial.

1. No campo `Identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política que deseja atualizar.

1. Para o objeto `SecurityControlCustomParameters`, forneça o identificador de cada controle para o qual você deseja reverter um ou mais parâmetros.

1. No objeto `Parameters`, para cada parâmetro que você desejar reverter, forneça `DEFAULT` para o campo `ValueType`. Quando `ValueType` estiver definido como `DEFAULT`, você não precisará fornecer um valor para o campo `Value`. Se um valor for incluído na sua solicitação, o CSPM do Security Hub o ignorará. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual.

**Atenção**  
Se você omitir um objeto de controle do campo `SecurityControlCustomParameters`, o CSPM do Security Hub reverterá todos os parâmetros personalizados do controle para seus valores padrão. Uma lista completamente vazia para `SecurityControlCustomParameters` reverterá os parâmetros personalizados de todos os controles para seus valores padrão.

Por exemplo, o AWS CLI comando a seguir reverte o parâmetro de `daysToExpiration` controle `ACM.1` para seu valor padrão na política de configuração especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'
```

------

## Reverter os parâmetros de controles ao padrão em uma única conta e região
<a name="revert-default-parameter-values-local-config"></a>

Se você não usa a configuração central ou tem uma conta autogerenciada, pode reverter para o uso dos valores padrão dos parâmetros para sua conta em uma região por vez

Escolha seu método preferido e siga as etapas para voltar aos valores padrão dos parâmetros para sua conta em uma única região. Para reverter aos valores padrão dos parâmetros em regiões adicionais, repita essas etapas em cada região adicional.

**nota**  
Se você desabilitar o CSPM do Security Hub, seus parâmetros de controle personalizados serão redefinidos. Se você habilitar o CSPM do Security Hub novamente no futuro, todos os controles usarão valores de parâmetros padrão ao iniciar.

------
#### [ Security Hub CSPM console ]

**Para reverter os parâmetros de controles aos valores padrão em uma única conta e região (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**. Escolha o controle que você deseja reverter para os valores padrão dos parâmetros.

1. Na guia `Parameters`, escolha **Personalizado** ao lado de um parâmetro de controle. Em seguida, escolha **Remover personalização**. Esse parâmetro agora usa o valor padrão do CSPM do Security Hub e acompanhará futuras atualizações até o valor padrão.

1. Repita a etapa anterior para cada valor de parâmetro que desejar reverter.

------
#### [ Security Hub CSPM API ]

**Para reverter os parâmetros de controles aos valores padrão em uma única conta e região (API)**

1. Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateSecurityControl.html).

1. Em `SecurityControlId`, forneça o ARN ou ID do controle cujos parâmetros você deseja reverter.

1. No objeto `Parameters`, para cada parâmetro que você desejar reverter, forneça `DEFAULT` para o campo `ValueType`. Quando `ValueType` estiver definido como `DEFAULT`, você não precisará fornecer um valor para o campo `Value`. Se um valor for incluído na sua solicitação, o CSPM do Security Hub o ignorará.

1. Opcionalmente, em `LastUpdateReason`, forneça um motivo para reverter aos valores padrão dos parâmetros.

Por exemplo, o AWS CLI comando a seguir reverte o parâmetro `daysToExpiration` de controle `ACM.1` para seu valor padrão. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"
```

------

# Verificar o status de alterações nos parâmetros de controle
<a name="parameter-update-status"></a>

Quando você tenta personalizar um parâmetro de controle ou revertê-lo ao valor padrão, pode validar se as alterações desejadas tiveram efeito. Isso ajuda a garantir que um controle funcione conforme o esperado e forneça o valor de segurança pretendido. Se a atualização de um parâmetro não obtiver êxito, o CSPM do Security Hub reterá o valor atual do parâmetro.

Para verificar se a atualização de um parâmetro obteve êxito, é possível revisar os detalhes do controle no console do CSPM do Security Hub. No console, escolha **Controles** no painel de navegação. Depois, escolha um controle para exibir seus detalhes. A guia **Parâmetros** mostra o status da alteração do parâmetro.

Programaticamente, se a sua solicitação para atualizar um parâmetro for válida, o valor do campo `UpdateStatus` será `UPDATING` em resposta à operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetSecurityControls.html). Isso significa que a atualização foi válida, mas que talvez nem as todas descobertas já incluam os valores dos parâmetros atualizados. Quando o valor de `UpdateState` muda para `READY`, o CSPM do Security Hub usa os valores atualizados dos parâmetros de controles ao executar verificações de segurança do controle. As descobertas incluem os valores atualizados dos parâmetros.

A operação `UpdateSecurityControl` retorna uma resposta `InvalidInputException` para valores de parâmetros inválidos. A resposta fornece detalhes adicionais sobre o motivo da falha. Por exemplo, pode ter sido especificado um valor que esteja fora do intervalo válido para um parâmetro. Ou talvez você tenha especificado um valor que não usa o tipo de dados correto. Envie sua solicitação novamente com informações válidas.

Se ocorrer uma falha interna ao tentar atualizar um valor de parâmetro, o Security Hub CSPM tentará novamente automaticamente se você tiver habilitado. AWS Config Para obter mais informações, consulte [Considerações antes de ativar e configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).