As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitação de controles no CSPM do Security Hub
<a name="securityhub-standards-enable-disable-controls"></a>

No AWS Security Hub CSPM, um controle é uma proteção dentro de um padrão de segurança que ajuda a organização a proteger a confidencialidade, integridade e disponibilidade de suas informações. Cada controle CSPM do Security Hub está relacionado a um recurso específico AWS . Quando você ativa um controle, o CSPM do Security Hub começa a realizar verificações de segurança e gerar descobertas para ele. O CSPM do Security Hub também considera todos os controles habilitados ao calcular as pontuações de segurança.

É possível escolher habilitar um controle em todos os padrões aos quais ele se aplica. Ou pode configurar o status de habilitação de maneira diferente para padrões diferentes. Recomendamos a primeira opção, na qual o status de habilitação de um controle está alinhado com todos os padrões habilitados. Para obter instruções para habilitar um controle em todos os padrões a que ele se aplica, consulte [Habilitar um controle em todos os padrões](enable-controls-overview.md). Para obter instruções para habilitar um controle em padrões específicos, consulte [Habilitando um controle em um padrão específico](controls-configure.md).

Se você habilitar a agregação entre regiões e fizer login em uma região de agregação, o console do CSPM do Security Hub mostrará os controles que estão disponíveis em pelo menos uma região vinculada. Se um controle estiver disponível em uma região vinculada, mas não na região de agregação, você não poderá habilitar ou desabilitar esse controle na região de agregação.

Você pode ativar e desativar controles em cada região usando o console CSPM do Security Hub, a API CSPM do Security Hub ou. AWS CLI

As instruções para habilitar e desabilitar os controles variam de acordo com o uso ou não da [configuração central](central-configuration-intro.md). Este tópico descreve as diferenças. A configuração central está disponível para usuários que integram o Security Hub CSPM e. AWS Organizations Recomendamos usar a configuração central para simplificar o processo de habilitação e desabilitação de controles em ambientes com várias contas e várias regiões. Se você usar a configuração central, poderá habilitar um controle em várias contas e regiões usando políticas de configuração. Se você não usar a configuração central, deverá habilitar um controle separadamente em cada conta e em cada região.

# Habilitar um controle em todos os padrões
<a name="enable-controls-overview"></a>

Recomendamos habilitar um controle CSPM do AWS Security Hub em todos os padrões aos quais o controle se aplica. Se você ativar as descobertas de controles consolidadas, receberá uma descoberta por verificação de controle, mesmo que um controle pertença a mais de um padrão.

## Habilitação em vários padrões em ambientes com várias contas e várias regiões
<a name="enable-controls-all-standards-central-configuration"></a>

[Para habilitar um controle de segurança em vários Contas da AWS e Regiões da AWS, você deve estar conectado à conta delegada de administrador CSPM do Security Hub e usar a configuração central.](central-configuration-intro.md)

Na configuração central, o administrador delegado pode criar políticas de configuração do CSPM do Security Hub que habilitem controles específicos em todos os padrões habilitados. Em seguida, você pode associar a política de configuração a contas e unidades organizacionais específicas (OUs) ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, é possível optar por habilitar todos os controles em uma UO e optar por habilitar somente os controles do Amazon Elastic Compute Cloud (EC2) em outra UO. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que habilite controles específicos em padrões, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**nota**  
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão [Gerenciado por Serviços](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

## Habilitação em vários padrões em uma única conta e região
<a name="enable-controls-all-standards"></a>

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para habilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um controle em uma única conta e região.

------
#### [ Security Hub CSPM console ]

**Para habilitar um controle em padrões em uma conta e região**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Controles**.

1. Escolha a guia **Desativado**.

1. Escolha a opção ao lado de um controle.

1. Escolha **Ativar controle** (essa opção não aparece para um controle que já está ativado).

1. Repita em cada região na qual deseja habilitar o controle.

------
#### [ Security Hub CSPM API ]

**Para habilitar um controle em padrões em uma conta e região**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html). Forneça uma ID de controle de segurança.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html). Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html).

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`. Se você seguir essas etapas para um controle que já está ativado, a API retornará uma resposta do código de status HTTP 200.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }
   ```

1. Repita em cada região na qual deseja habilitar o controle.

------
#### [ AWS CLI ]

**Para habilitar um controle em padrões em uma conta e região**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html). Forneça uma ID de controle de segurança.

   ```
   aws securityhub  --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
   ```

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html). Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute o `describe-standards` comando.

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
   ```

1. Repita em cada região na qual deseja habilitar o controle.

------

# Habilitando um controle em um padrão específico
<a name="controls-configure"></a>

Quando você habilita um padrão no AWS Security Hub CSPM, todos os controles que se aplicam a ele são automaticamente habilitados nesse padrão (a exceção são os padrões gerenciados por serviços). É possível desabilitar e re-habilitar controles específicos no padrão. Entretanto, recomendamos alinhar o status de habilitação de um controle em todos os seus padrões habilitados. Para obter instruções sobre como habilitar um controle em todos os padrões, consulte [Habilitar um controle em todos os padrões](enable-controls-overview.md).

A página de detalhes de um padrão contém a lista de controles aplicáveis para o padrão e informações sobre quais controles estão atualmente habilitados e desativados nesse padrão.

Na página de detalhes do padrão, você também pode habilitar os controles em um padrão específico. Você deve habilitar controles em padrões específicos separadamente em cada Conta da AWS Região da AWS e. Quando você habilita um control em padrões específicos, ele afeta apenas a conta e a região atual.

Para ativar um controle em um padrão, é necessário primeiro ativar pelo menos um padrão ao qual o controle se aplica. Para obter instruções sobre a habilitação de um controle, consulte [Habilitar um padrão de segurança](enable-standards.md). Quando você habilita um controle em um ou mais padrões, o CSPM do Security Hub começa a gerar descobertas para esse controle. O CSPM do Security Hub inclui o [status do controle](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values) no cálculo da pontuação de segurança do padrão. Mesmo que você habilite um controle em vários padrões, você receberá uma única descoberta por verificação de segurança em todos os padrões se ativar as descobertas de controle consolidadas. Para obter mais informações, consulte [Descobertas de controle consolidadas](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings).

Para ativar um controle em um padrão, o controle deve estar disponível na sua região atual. Para obter mais informações, consulte [Disponibilidade de controles por região](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support).

Siga estas etapas para habilitar um controle do CSPM do Security Hub em um padrão *específico*. Em vez das etapas a seguir, você também pode usar a ação da API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) para ativar controles em um padrão específico. Para obter instruções sobre como habilitar um controle em *todos* os padrões, consulte [Habilitação em vários padrões em uma única conta e região](enable-controls-overview.md#enable-controls-all-standards).

------
#### [ Security Hub CSPM console ]

**Para habilitar um controle em um padrão específico**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Selecione **Padrões de segurança** no painel de navegação.

1. Escolha **Exibir resultados** para o respectivo padrão.

1. Selecione um controle.

1. Escolha **Ativar controle** (essa opção não aparece para um controle que já está ativado). Confirme escolhendo **Ativar**.

------
#### [ Security Hub CSPM API ]

**Para habilitar um controle em um padrão específico**

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html). Essa API retorna controle de segurança independente do padrão IDs, não controle específico do padrão. IDs

   **Exemplo de solicitação:**

   ```
   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }
   ```

1. Execute `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   **Exemplo de solicitação:**

   ```
   {
       "SecurityControlId": "IAM.1"
   }
   ```

1. Executar `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`. Forneça o ARN do padrão no qual você deseja ativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`.

   **Exemplo de solicitação:**

   ```
   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }
   ```

------
#### [ AWS CLI ]

**Para habilitar um controle em um padrão específico**

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute `describe-standards`. Esse comando retorna o controle de segurança independente do padrão IDs, não o controle específico do padrão. IDs

   ```
   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   ```
   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
   ```

1. Execute o comando `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)`. Forneça o ARN do padrão no qual você deseja ativar o controle.

1. Defina o parâmetro `AssociationStatus` igual a `ENABLED`.

   ```
   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
   ```

------

# Habilitar novos controles em padrões habilitados automaticamente
<a name="controls-auto-enable"></a>

AWS O Security Hub CSPM lança regularmente novos controles e os adiciona a um ou mais padrões. É possível escolher se deseja habilitar automaticamente novos controles nos padrões habilitados.

Recomendamos usar a configuração central do CSPM do Security Hub para habilitar automaticamente novos controles de segurança. É possível criar políticas de configuração que incluam uma lista de controles a serem desabilitados em todos os padrões. Todos os outros controles, incluindo os recém-lançados, são habilitados por padrão. De forma alternativa, é possível criar políticas que incluam uma lista de controles a serem habilitados nos padrões. Todos os outros controles, incluindo os recém-lançados, são desabilitados por padrão. Para obter mais informações, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

O CSPM do Security Hub não habilita novos controles quando eles são adicionados a um padrão que você não habilitou.

As etapas a seguir se aplicam somente caso você não use a configuração central.

Escolha seu método de acesso preferido e siga estas etapas para ativar automaticamente novos controles em padrões habilitados.

**nota**  
Ao habilitar automaticamente novos controles usando as instruções a seguir, será possível interagir com os controles no console e programaticamente imediatamente após o lançamento. Entretanto, os controles habilitados automaticamente têm um status padrão temporário de **Desabilitado**. Pode levar vários dias para que o CSPM do Security Hub processe a liberação do controle e designe o controle como **Habilitado** em sua conta. Durante o período de processamento, é possível habilitar ou desabilitar manualmente um controle, e o CSPM do Security Hub manterá essa designação, independentemente de você ter a habilitação automática do controle ativada.

------
#### [ Security Hub CSPM console ]

**Para habilitar automaticamente novos controles**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Geral**.

1. Em **Controles**, escolha **Editar**.

1. Ative a **Ativação automática de novos controles nos padrões habilitados**.

1. Escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

**Para habilitar automaticamente novos controles**

1. Executar [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html).

1. Para ativar automaticamente novos controles para os padrões habilitados, defina `AutoEnableControls` como `true`. Se você não quiser habilitar automaticamente novos controles, defina `AutoEnableControls` como false.

------
#### [ AWS CLI ]

**Para habilitar automaticamente novos controles**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html).

1. Para ativar automaticamente novos controles para os padrões habilitados, especifique os `--auto-enable-controls`. Se você não quiser habilitar automaticamente novos controles, especifique os `--no-auto-enable-controls`.

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
   ```

   **Exemplo de comando**

   ```
   aws securityhub update-security-hub-configuration --auto-enable-controls
   ```

------

Se você não habilitar automaticamente os novos controles, deverá habilitá-los manualmente. Para instruções, consulte [Habilitação de controles no CSPM do Security Hub](securityhub-standards-enable-disable-controls.md).