As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando um padrão de segurança no Security Hub

Quando você ativa um padrão de segurança no AWS Security Hub, todos os controles que se aplicam ao padrão são automaticamente ativados nele. O Security Hub também começa a executar verificações de segurança e a gerar descobertas para controles que se aplicam ao padrão.

Antes de habilitar qualquer padrão de segurança, você deve ativar o registro de recursos AWS Config para todos os recursos usados pelos controles que se aplicam ao padrão. Caso contrário, o Security Hub talvez não consiga gerar descobertas para os controles que se aplicam a um padrão. Para obter mais informações, consulte Configuração AWS Config para Security Hub.

É possível escolher quais controles habilitar e desabilitar em cada padrão. A desativação de um controle impede que as descobertas do controle sejam geradas, e o controle é ignorado ao calcular as pontuações de segurança.

Quando você habilita o Security Hub, ele calcula a pontuação de segurança inicial para um padrão dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de Segurança no console do Security Hub. Pode levar até 24 horas para que as pontuações de segurança pela primeira vez sejam geradas nas regiões da China e AWS GovCloud (US) Region. As pontuações são geradas somente para padrões que são ativados quando você visita essas páginas. Além disso, o registro AWS Config de recursos deve ser configurado para que as pontuações apareçam. Após a primeira geração de pontuação, o Security Hub atualiza as pontuações de segurança a cada 24 horas. O Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez. Para ver uma lista dos padrões atualmente habilitados em sua conta, invoque o GetEnabledStandards API.

As instruções para habilitar um padrão variam de acordo com o uso ou não da configuração central. Você pode usar a configuração central se integrar o Security Hub AWS Organizations e. Recomendamos usar a configuração central se você quiser habilitar padrões em ambientes com várias contas e várias regiões. Se você não usa a configuração central, deve habilitar individualmente cada padrão em cada conta e cada região.

Habilitando um padrão em várias contas e regiões

Para habilitar um padrão de segurança em várias contas Regiões da AWS, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que habilitem um ou mais padrões. Em seguida, você pode associar a política de configuração a contas e unidades organizacionais específicas (OUs) ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por habilitar somente as Melhores Práticas de Segurança AWS Fundamental (FSBP) em uma OU, e você pode optar por habilitar o FSBP Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 em outra OU. Para obter instruções sobre como criar uma política de configuração que habilite padrões específicos, consulte Criação e associação de políticas de configuração

Se você usa a configuração central, o Security Hub não habilita automaticamente nenhum padrão em contas novas ou existentes. Em vez disso, ao criar uma política de configuração, o administrador delegado define quais padrões devem ser habilitados em diferentes contas. O Security Hub oferece uma política de configuração recomendada na qual somente FSBP está habilitada. Para obter mais informações, consulte Tipos de políticas de configuração.

Se você quiser que algumas contas configurem seus próprios padrões em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar padrões separadamente em cada região.

Habilitação de um padrão em uma única conta e região

Se você não usar a configuração central ou se você for uma conta autogerenciada, não poderá usar políticas de configuração para habilitar padrões de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um padrão em uma única conta e região.

Security Hub console

Para habilitar um padrão em uma conta e região

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. Verifique se você está usando o Security Hub na região na qual deseja habilitar o padrão.

3. No painel de navegação do Security Hub, selecione Padrões de segurança.

4. Para o padrão que deseja habilitar, selecione Enable (Habilitar). Isso também habilita todos os controles dentro desse padrão.

5. Repita em cada região na qual deseja habilitar o padrão.

Security Hub API

Para habilitar um padrão em uma conta e região

1. Invoque o BatchEnableStandards API.

2. Forneça o Amazon Resource Name (ARN) do padrão que você deseja habilitar. Para obter o padrãoARN, invoque o DescribeStandards API.

3. Repita em cada região na qual deseja habilitar o padrão.

AWS CLI

Para habilitar um padrão em uma conta e região

1. Execute a batch-enable-standardscomando.

2. Forneça o Amazon Resource Name (ARN) do padrão que você deseja habilitar. Para obter o padrãoARN, execute o describe-standardscomando.

   aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

   Exemplo

   aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

3. Repita em cada região na qual deseja habilitar o padrão.