As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Padrões gerenciados por serviços no CSPM do Security Hub
Um padrão gerenciado por serviços é um padrão de segurança AWS service (Serviço da AWS) gerenciado por outra pessoa, mas que você pode visualizar no CSPM do Security Hub. Por exemplo, Padrão [gerenciado por serviços: AWS Control Toweré um padrão gerenciado](service-managed-standard-aws-control-tower.md) por serviços que gerencia. AWS Control Tower Um padrão gerenciado por serviço difere de um padrão de segurança que o CSPM do AWS Security Hub gerencia das maneiras a seguir:
+ **Criação e exclusão de padrões**: você cria e exclui um padrão gerenciado por serviço com o console ou a API do serviço de gerenciamento, ou com o AWS CLI. Até que você crie o padrão no serviço de gerenciamento de uma dessas formas, o padrão não aparece no console do CSPM do Security Hub e não pode ser acessado pela API do CSPM do Security Hub ou pela AWS CLI.
+ **Sem ativação automática dos controles**: quando você cria um padrão gerenciado por serviço, o CSPM do Security Hub e o serviço de gerenciamento não habilitam automaticamente os controles que se aplicam ao padrão. Além disso, quando o CSPM do Security Hub lança novos controles para o padrão, eles não são habilitados automaticamente. Isso é um desvio dos padrões que o CSPM do Security Hub gerencia. Para obter mais informações sobre a maneira usual de configurar controles no CSPM do Security Hub, consulte [Noções básicas sobre os controles de segurança no CSPM do Security Hub](controls-view-manage.md).
+ **Ativar e desativar controles**: recomendamos ativar e desativar os controles no serviço de gerenciamento para evitar desvios.
+ **Disponibilidade de controles**: o serviço de gerenciamento escolhe quais controles estão disponíveis como parte do padrão gerenciado por serviço. Os controles disponíveis podem incluir todos ou um subconjunto dos controles existentes do CSPM do Security Hub.
Depois que o serviço de gerenciamento criar o padrão gerenciado por serviço e disponibilizar os controles para ele, será possível acessar suas descobertas de controle, status de controle e pontuação de segurança padrão no console do CSPM do Security Hub, na API do CSPM do Security Hub ou na AWS CLI. Algumas ou todas essas informações também podem estar disponíveis no serviço de gerenciamento.
Selecione um padrão gerenciado por serviço na lista a seguir para ver mais detalhes sobre ele.
**Topics**
+ [Padrão gerenciado por serviços: AWS Control Tower](service-managed-standard-aws-control-tower.md)
# Padrão gerenciado por serviços: AWS Control Tower
Esta seção fornece informações sobre o Service-Managed Standard:. AWS Control Tower
## O que é o padrão gerenciado por serviços:? AWS Control Tower
Padrão gerenciado por serviços: AWS Control Tower é um padrão gerenciado por serviços que AWS Control Tower suporta um subconjunto de controles do Security Hub. Esse padrão foi desenvolvido para usuários do AWS Security Hub CSPM e. AWS Control Tower Ele permite que você configure os controles de detetive do Security Hub CSPM a partir do serviço. AWS Control Tower
Os controles de detetive detectam a não conformidade de recursos (por exemplo, configurações incorretas) em sua Contas da AWS.
**dica**
Os padrões gerenciados por serviços diferem dos padrões gerenciados pelo AWS Security Hub CSPM. Por exemplo, é necessário criar e excluir um padrão gerenciado por serviço no serviço de gerenciamento. Para obter mais informações, consulte [Padrões gerenciados por serviços no CSPM do Security Hub](service-managed-standards.md).
Quando você ativa um controle CSPM do Security Hub por meio do AWS Control Tower, o Control Tower também ativa o CSPM do Security Hub para você nessas contas e regiões específicas, se ainda não estiver habilitado. No console e na API do Security Hub CSPM, você pode visualizar o Service-Managed Standard: junto com outros padrões CSPM do AWS Control Tower Security Hub, uma vez que o padrão é ativado a partir de. AWS Control Tower
Para obter mais informações sobre esse padrão, consulte [controles do CSPM do Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) no *Guia do usuário do AWS Control Tower *.
## Criando o padrão
Esse padrão está disponível no CSPM do Security Hub somente se você habilitar os controles CSPM do Security Hub a partir de. AWS Control Tower AWS Control Tower cria o padrão quando você ativa pela primeira vez um controle aplicável usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)API)
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)comando)
Ao habilitar um controle CSPM do Security Hub por meio de AWS Control Tower, se você ainda não tiver habilitado o CSPM do Security Hub, também habilita o CSPM do AWS Control Tower Security Hub para você nessas contas e regiões específicas.
Para identificar um controle CSPM do Security Hub por ID de controle no Catálogo de Controle, você pode usar o campo `Implementation.Identifier` em. AWS Control Tower Esse campo mapeia para a ID de controle CSPM do Security Hub e pode ser usado para filtrar uma ID de controle específica. Para recuperar metadados de controle para um controle CSPM específico do Security Hub (digamos, "CodeBuild.1") em AWS Control Tower, você pode usar a API: [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)
`aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Você não pode visualizar ou acessar esse padrão no console CSPM do Security Hub, na API CSPM do Security Hub ou AWS CLI sem primeiro configurar e habilitar os controles CSPM do AWS Control Tower Security Hub AWS Control Tower usando um dos métodos anteriores.
Esse padrão só está disponível no [Regiões da AWS local onde AWS Control Tower está disponível](https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html).
## Ativando e desativando controles no padrão
Depois de habilitar os controles CSPM do Security Hub AWS Control Tower e criar o padrão Service-Managed AWS Control Tower Standard:, você pode visualizar o padrão e seus controles disponíveis no Security Hub CSPM.
Quando o Security Hub CSPM adiciona novos controles ao Padrão Gerenciado por Serviços: AWS Control Tower padrão, eles não são habilitados automaticamente para clientes que têm o padrão ativado. Você deve ativar e desativar os controles para o formulário padrão AWS Control Tower usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame o [https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_EnableControl.html)e [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html) APIs)
+ AWS CLI (execute os [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comandos [https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/enable-control.html)e)
Quando você altera o status de habilitação de um controle em AWS Control Tower, a alteração também é refletida no CSPM do Security Hub.
No entanto, desabilitar um controle no CSPM do Security Hub que está ativado AWS Control Tower resulta em desvio de controle. O status do controle em é AWS Control Tower exibido como`Drifted`. Você pode resolver esse desvio usando a [ResetEnabledControl](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ResetEnabledControl.html)API para redefinir o controle que está em desvio, selecionando [Registrar novamente a OU](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#resolving-drift) no AWS Control Tower console ou desativando e reativando o controle AWS Control Tower usando um dos métodos anteriores.
A conclusão das ações de ativação e desativação AWS Control Tower ajuda a evitar desvios de controle.
Quando você ativa ou desativa os controles em AWS Control Tower, a ação se aplica às contas e regiões governadas por AWS Control Tower. Se você ativar e desativar os controles no CSPM do Security Hub (não recomendado para esse padrão), a ação se aplicará somente à conta e à região atuais.
**nota**
A [configuração central](central-configuration-intro.md) não pode ser usada para gerenciar o Service-Managed Standard:. AWS Control Tower Você pode usar *somente* o AWS Control Tower serviço para ativar e desativar os controles nesse padrão.
## Visualizando o status da habilitação e o status do controle
É possível exibir o status de habilitação de um controle usando um dos métodos a seguir:
+ Console CSPM do Security Hub, API CSPM do Security Hub ou AWS CLI
+ AWS Control Tower console
+ AWS Control Tower API para ver uma lista de controles habilitados (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_ListEnabledControls.html)API)
+ AWS CLI para ver uma lista de controles habilitados (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/list-enabled-controls.html)comando)
Um controle que você desabilita AWS Control Tower tem um status de habilitação no CSPM do `Disabled` Security Hub, a menos que você habilite explicitamente esse controle no CSPM do Security Hub.
O CSPM do Security Hub calcula o status do controle com base no status do fluxo de trabalho e no status de conformidade das descobertas de controle. Para obter mais informações sobre o status de habilitação e o status de controle, consulte [Análise dos detalhes dos controles no CSPM do Security Hub](securityhub-standards-control-details.md).
Com base nos status de controle, o Security Hub CSPM calcula uma [pontuação de segurança](standards-security-score.md) para o Service-Managed Standard:. AWS Control Tower Essa pontuação só está disponível no CSPM do Security Hub. Além disso, você só pode visualizar as [descobertas de controle](controls-findings-create-update.md) no CSPM do Security Hub. A pontuação de segurança padrão e as descobertas de controle não estão disponíveis em AWS Control Tower.
**nota**
Quando você ativa controles para Service-Managed Standard: AWS Control Tower, o Security Hub CSPM pode levar até 18 horas para gerar descobertas para controles que usam uma regra vinculada ao serviço existente. AWS Config É possível ter regras vinculadas a serviços existentes se tiver habilitado outros padrões e controles no CSPM do Security Hub. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).
## Excluindo o padrão
Você pode excluir esse padrão gerenciado de serviços em AWS Control Tower desativando todos os controles aplicáveis usando um dos seguintes métodos:
+ AWS Control Tower console
+ AWS Control Tower API (chame a [https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html](https://docs.aws.amazon.com/controltower/latest/APIReference/API_DisableControl.html)API)
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html](https://docs.aws.amazon.com/cli/latest/reference/controltower/disable-control.html)comando)
A desativação de todos os controles exclui o padrão em todas as contas gerenciadas e regiões governadas no AWS Control Tower. A exclusão do padrão em o AWS Control Tower remove da página **Padrões** do console CSPM do Security Hub, e você não pode mais acessá-lo usando a API CSPM do Security Hub ou. AWS CLI
**nota**
Desabilitar todos os controles do padrão no CSPM do Security Hub não desabilita nem exclui o padrão.
A desativação do serviço CSPM do Security Hub remove o Service-Managed Standard: AWS Control Tower e quaisquer outros padrões que você tenha habilitado.
## Localizando o formato de campo para o Service-Managed Standard: AWS Control Tower
Ao criar o Service-Managed Standard: AWS Control Tower e habilitar controles para ele, você começará a receber descobertas de controle no Security Hub CSPM. O CSPM do Security Hub relata as descobertas de controle no [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). Esses são os valores ASFF para o nome do recurso da Amazon (ARN) desse padrão e `GeneratorId`:
+ **ARN padrão**: `arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0`
+ **GeneratorId** – `service-managed-aws-control-tower/v/1.0.0/CodeBuild.1`
Para obter um exemplo de descoberta do Service-Managed Standard: AWS Control Tower, consulte. [Exemplos de descobertas de controles](sample-control-findings.md)
## Controles que se aplicam ao padrão gerenciado por serviços: AWS Control Tower
Padrão gerenciado por serviços: AWS Control Tower suporta um subconjunto de controles que fazem parte do padrão AWS Foundational Security Best Practices (FSBP). Escolha um controle para ver informações sobre ele, incluindo etapas de correção para descobertas com falha.
Para ver quais controles CSPM do Security Hub são compatíveis AWS Control Tower, você pode usar um dos seguintes métodos:
+ AWS Console do Control Catalog, onde você pode filtrar por `“Control owner = AWS Security Hub”`
+ AWS API do Catálogo de Controle (chame a [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API) com filtro `Implementations` para verificar se `Types` é `AWS::SecurityHub::SecurityControl`
+ AWS CLI (execute o [https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html](https://docs.aws.amazon.com/cli/latest/reference/controlcatalog/list-controls.html)comando) com filtro para`Implementations`. Exemplo de comando da CLI:
`aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'`
Os limites regionais nos controles CSPM do Security Hub, quando ativados pelo padrão Control Tower, podem não corresponder aos limites regionais dos controles subjacentes.
No Security Hub CSPM, se [as descobertas de controle consolidadas](controls-findings-create-update.md#consolidated-control-findings) estiverem desativadas em sua conta, o `ProductFields.ControlId` campo nas descobertas geradas usará o ID de controle baseado em padrão. **O ID de controle baseado em padrões é formatado como CT. *ControlId***(por exemplo, **CT. CodeBuild.1**).
Para obter mais informações sobre esse padrão, consulte [controles do CSPM do Security Hub](https://docs.aws.amazon.com/controltower/latest/userguide/security-hub-controls.html) no *Guia do usuário do AWS Control Tower *.