Desabilitando um padrão de segurança no Security Hub - AWS Security Hub
Desativando um padrão em várias contas e regiõesDesabilitação de um padrão em uma única conta e região

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desabilitando um padrão de segurança no Security Hub

Ao desabilitar um padrão de segurança no Security Hub, ocorre o seguinte:

  • Todos os controles que se aplicam ao padrão também são desativados, a menos que estejam associados a outro padrão.

  • Verificações para controles desativados que não são mais executados e nenhuma descoberta adicional será gerada para os controles desativados.

  • As descobertas existentes para controles desabilitados são arquivadas automaticamente após aproximadamente 3 a 5 dias.

  • As AWS Config regras que o Security Hub criou para os controles desativados foram removidas.

    Isso normalmente ocorre alguns minutos após a desativação do padrão, mas pode levar mais tempo. Se a primeira solicitação para excluir AWS Config as regras falhar, o Security Hub tentará novamente a cada 12 horas. Entretanto, se você desabilitou o Security Hub ou não tem nenhum outro padrão habilitado, o Security Hub não poderá repetir a solicitação, o que significa que ele não poderá excluir as regras da AWS Config . Se isso ocorrer e você precisar excluir AWS Config regras, entre em contato AWS Support.

Desativando um padrão em várias contas e regiões

Para desabilitar um padrão de segurança em várias contas e regiões, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração que desabilitem um ou mais padrões. Você pode associar uma política de configuração a contas específicas OUs e/ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCIDSS) em uma OU e pode optar por desativar tanto PCI DSS o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (NIST) SP 800-53 Rev. 5 em outra OU. Para obter instruções sobre como criar uma política de configuração que desabilite padrões específicos, consulte Criação e associação de políticas de configuração.

nota

O administrador delegado pode criar políticas de configuração para desativar qualquer padrão, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Você pode desativar esse padrão somente no AWS Control Tower serviço. Se você usar a configuração central, poderá usar habilitar e desabilitar controles nesse padrão para uma conta gerenciada centralmente somente no AWS Control Tower.

Se você quiser que algumas contas configurem seus próprios padrões em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar padrões separadamente em cada região.

Desabilitação de um padrão em uma única conta e região

Se você não usar a configuração central ou se você for uma conta autogerenciada, não poderá usar políticas de configuração para desabilitar padrões de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para desabilitar um padrão em uma única conta e região.

Security Hub console
Para desabilitar um padrão em uma conta e região

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Verifique se você está usando o Security Hub na região na qual deseja desabilitar o padrão.

  3. No painel de navegação do Security Hub, selecione Padrões de segurança.

  4. Para o padrão que deseja desativar, selecione Disable (Desabilitar).

  5. Repita em cada região na qual deseja desabilitar o padrão.

Security Hub API
Para desabilitar um padrão em uma conta e região

  1. Invoque o BatchDisableStandards API.

  2. Para cada padrão que você deseja desativar, forneça a assinatura padrãoARN. Para obter a assinatura ARNs de seus padrões habilitados, invoque o GetEnabledStandards API.

  3. Repita em cada região na qual deseja desabilitar o padrão.

AWS CLI
Para desabilitar um padrão em uma conta e região

  1. Execute a batch-disable-standardscomando.

  2. Para cada padrão que você deseja desativar, forneça a assinatura padrãoARN. Para obter a assinatura ARNs de seus padrões habilitados, execute o get-enabled-standardscomando.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Exemplo

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Repita em cada região na qual deseja desabilitar o padrão.