Ativando e desativando padrões no Security Hub - AWS Security Hub
Habilitar um padrão de segurançaDesabilitar um padrão de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ativando e desativando padrões no Security Hub

É possível ativar ou desativar cada padrão de segurança disponível no Security Hub.

Antes de ativar qualquer padrão de segurança, verifique se você ativou AWS Config e configurou a gravação de recursos. Caso contrário, o Security Hub talvez não consiga gerar descobertas para os controles que se aplicam a um padrão. Para obter mais informações, consulte Configuração AWS Config para o Security Hub.

nota

As instruções para habilitar e desabilitar os padrões variam de acordo com o uso ou não da configuração central. Esta seção descreve as diferenças. A configuração central está disponível para usuários que integram o Security Hub AWS Organizations e. Recomendamos usar a configuração central para simplificar o processo de habilitação e desabilitação de padrões em ambientes com várias contas e várias regiões.

Habilitar um padrão de segurança

Quando você ativa um padrão de segurança, todos os controles que se aplicam ao padrão são ativados automaticamente. O Security Hub também começa a gerar descobertas para controles que se aplicam ao padrão.

É possível escolher quais controles habilitar e desabilitar em cada padrão. A desativação de um controle impede que as descobertas do controle sejam geradas, e o controle é ignorado ao calcular as pontuações de segurança.

Quando você habilita o Security Hub, ele calcula a pontuação de segurança inicial para um padrão dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de Segurança no console do Security Hub. Pode levar até 24 horas para que as pontuações de segurança pela primeira vez sejam geradas nas regiões da China e AWS GovCloud (US) Region. As pontuações são geradas somente para padrões que são ativados quando você visita essas páginas. Além disso, o registro AWS Config de recursos deve ser configurado para que as pontuações apareçam. Após a primeira geração de pontuação, o Security Hub atualiza as pontuações de segurança a cada 24 horas. O Security Hub exibe um timestamp para indicar quando uma pontuação de segurança foi atualizada pela última vez. Para ver uma lista dos padrões atualmente habilitados em sua conta, invoque o. GetEnabledStandardsAPI

Habilitação de um padrão em várias contas e regiões

Para habilitar um padrão de segurança em várias contas Regiões da AWS, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que habilitem um ou mais padrões. Em seguida, você pode associar a política de configuração a contas e unidades organizacionais específicas (OUs) ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por habilitar somente as Melhores Práticas de Segurança AWS Fundamental (FSBP) em uma OU, e você pode optar por ativar o FSBP Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 em outra OU. Para obter instruções sobre como criar uma política de configuração que habilite padrões específicos, consulte Criação e associação de políticas de configuração

Se você usa a configuração central, o Security Hub não habilita automaticamente nenhum padrão em contas novas ou existentes. Em vez disso, ao criar uma política de configuração, o administrador delegado define quais padrões devem ser habilitados em diferentes contas. O Security Hub oferece uma política de configuração recomendada na qual somente FSBP está habilitada. Para obter mais informações, consulte Tipos de políticas de configuração.

nota

O administrador delegado pode criar políticas de configuração para habilitar qualquer padrão, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Você pode ativar esse padrão somente no AWS Control Tower serviço. Se você usar a configuração central, poderá usar habilitar e desabilitar controles nesse padrão para uma conta gerenciada centralmente somente no AWS Control Tower.

Se você quiser que algumas contas configurem seus próprios padrões em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar padrões separadamente em cada região.

Habilitação de um padrão em uma única conta e região

Se você não usar a configuração central ou se você for uma conta autogerenciada, não poderá usar políticas de configuração para habilitar padrões de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um padrão em uma única conta e região.

Security Hub console
Para habilitar um padrão em uma conta e região

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Verifique se você está usando o Security Hub na região na qual deseja habilitar o padrão.

  3. No painel de navegação do Security Hub, selecione Padrões de segurança.

  4. Para o padrão que deseja habilitar, selecione Enable (Habilitar). Isso também habilita todos os controles dentro desse padrão.

  5. Repita em cada região na qual deseja habilitar o padrão.

Security Hub API
Para habilitar um padrão em uma conta e região

  1. Invoque o. BatchEnableStandardsAPI

  2. Forneça o Amazon Resource Name (ARN) do padrão que você deseja habilitar. Para obter o padrãoARN, invoque o. DescribeStandardsAPI

  3. Repita em cada região na qual deseja habilitar o padrão.

AWS CLI
Para habilitar um padrão em uma conta e região

  1. Execute o comando batch-enable-standards.

  2. Forneça o Amazon Resource Name (ARN) do padrão que você deseja habilitar. Para obter o padrãoARN, execute o describe-standardscomando.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Exemplo

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. Repita em cada região na qual deseja habilitar o padrão.

Habilitação automática de padrões de segurança padrão

Se você não usa a configuração central, o Security Hub habilita automaticamente os padrões de segurança padrão em novas contas quando elas ingressam na sua organização. Todos os controles que fazem parte dos padrões padrão também são habilitados automaticamente. Atualmente, os padrões de segurança padrão que são habilitados automaticamente são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. É possível desativar os padrões habilitados automaticamente se preferir habilitá-los manualmente em novas contas.

Se você usar a configuração central, poderá criar uma política de configuração que habilite os padrões padrão e associar essa política à raiz. Todas as contas da sua organização OUs herdarão essa política de configuração, a menos que estejam associadas a uma política diferente ou sejam autogerenciadas.

Desativação de padrões habilitados automaticamente

As etapas a seguir se aplicam somente se você integra com a configuração central, AWS Organizations mas não usa. Se você não usar a integração Organizations, poderá desativar um padrão ao habilitar o Security Hub pela primeira vez ou seguir as etapas para desabilitar um padrão.

Security Hub console
Para desativar padrões habilitados automaticamente

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta de administrador.

  2. No painel de navegação do Security Hub, em Configurações, escolha Configuração.

  3. Na seção Contas, desative os Habilitar automaticamente padrões padrão.

Security Hub API
Para desativar padrões habilitados automaticamente

  1. Invoque o UpdateOrganizationConfigurationAPIda conta de administrador do Security Hub.

  2. Para desativar os padrões habilitador automaticamente em novas contas-membro, defina AutoEnableStandards igual a NONE.

AWS CLI
Para desativar padrões habilitados automaticamente

  1. Execute o comando update-organization-configuration.

  2. Inclua o parâmetro auto-enable-standards para desativar os padrões habilitados automaticamente em novas contas-membro.

    aws securityhub update-organization-configuration --auto-enable-standards

Desabilitar um padrão de segurança

Ao desabilitar um padrão de segurança no Security Hub, ocorre o seguinte:

  • Todos os controles que se aplicam ao padrão também são desativados, a menos que estejam associados a outro padrão.

  • Verificações para controles desativados que não são mais executados e nenhuma descoberta adicional será gerada para os controles desativados.

  • As descobertas existentes para controles desabilitados são arquivadas automaticamente após aproximadamente 3 a 5 dias.

  • As AWS Config regras que o Security Hub criou para os controles desativados foram removidas.

    Isso normalmente ocorre alguns minutos após a desativação do padrão, mas pode levar mais tempo. Se a primeira solicitação para excluir AWS Config as regras falhar, o Security Hub tentará novamente a cada 12 horas. Entretanto, se você desabilitou o Security Hub ou não tem nenhum outro padrão habilitado, o Security Hub não poderá repetir a solicitação, o que significa que ele não poderá excluir as regras da AWS Config . Se isso ocorrer e você precisar excluir AWS Config regras, entre em contato AWS Support.

Desabilitação de um padrão em várias contas e regiões

Para desabilitar um padrão de segurança em várias contas e regiões, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração que desabilitem um ou mais padrões. Você pode associar uma política de configuração a contas específicas OUs e/ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCIDSS) em uma OU e pode optar por desativar tanto PCI DSS o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (NIST) SP 800-53 Rev. 5 em outra OU. Para obter instruções sobre como criar uma política de configuração que desabilite padrões específicos, consulte Criação e associação de políticas de configuração.

nota

O administrador delegado pode criar políticas de configuração para desativar qualquer padrão, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Você pode desativar esse padrão somente no AWS Control Tower serviço. Se você usar a configuração central, poderá usar habilitar e desabilitar controles nesse padrão para uma conta gerenciada centralmente somente no AWS Control Tower.

Se você quiser que algumas contas configurem seus próprios padrões em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar padrões separadamente em cada região.

Desabilitação de um padrão em uma única conta e região

Se você não usar a configuração central ou se você for uma conta autogerenciada, não poderá usar políticas de configuração para desabilitar padrões de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para desabilitar um padrão em uma única conta e região.

Security Hub console
Para desabilitar um padrão em uma conta e região

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Verifique se você está usando o Security Hub na região na qual deseja desabilitar o padrão.

  3. No painel de navegação do Security Hub, selecione Padrões de segurança.

  4. Para o padrão que deseja desativar, selecione Disable (Desabilitar).

  5. Repita em cada região na qual deseja desabilitar o padrão.

Security Hub API
Para desabilitar um padrão em uma conta e região

  1. Invoque o. BatchDisableStandardsAPI

  2. Para cada padrão que você deseja desativar, forneça a assinatura padrãoARN. Para obter a assinatura ARNs de seus padrões habilitados, invoque o. GetEnabledStandardsAPI

  3. Repita em cada região na qual deseja desabilitar o padrão.

AWS CLI
Para desabilitar um padrão em uma conta e região

  1. Execute o comando batch-disable-standards.

  2. Para cada padrão que você deseja desativar, forneça a assinatura padrãoARN. Para obter a assinatura ARNs dos padrões habilitados, execute o get-enabled-standardscomando.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Exemplo

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Repita em cada região na qual deseja desabilitar o padrão.