Atualização das políticas de configuração - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualização das políticas de configuração

Depois de criar uma política de configuração, a conta do AWS Security Hub administrador delegado pode atualizar os detalhes da política e as associações de políticas. Quando os detalhes da política são atualizados, as contas associadas à política de configuração começam automaticamente a usar a política atualizada.

Para obter informações básicas sobre os benefícios da configuração central e como ela funciona, consulteEntendendo a configuração central no Security Hub.

O administrador delegado pode atualizar as seguintes configurações de política:

  • Habilitar ou desabilitar o Security Hub.

  • Habilitar um ou mais padrões de segurança.

  • Indicar quais controles de segurança estão habilitados dentre todos os padrões habilitados. É possível fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o Security Hub desabilitará todos os outros controles, incluindo novos controles quando eles forem lançados. De forma alternativa, é possível fornecer uma lista de controles específicos que devem ser desabilitados, e o Security Hub habilitará todos os outros controles, incluindo novos controles quando eles forem lançados.

  • Opcionalmente, personalize os parâmetros para selecionar controles habilitados dentre os padrões habilitados.

Escolha seu método preferido e siga as etapas para atualizar uma política de configuração.

nota

Se você usar a configuração central, o Security Hub desativará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região de origem. Outros controles que você escolhe ativar por meio de uma política de configuração são habilitados em todas as regiões em que estão disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem. Ao usar a configuração central, você não tem cobertura para um controle que não está disponível na região de origem ou em qualquer uma das regiões vinculadas. Para obter uma lista de controles que envolvem recursos globais, consulteControles que usam recursos globais.

Console
Para atualizar políticas de configuração

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas.

  4. Selecione a política de configuração que deseja editar e escolha Editar. Se desejar, edite as configurações da política. Deixe esta seção como está se desejar manter as configurações de políticas inalteradas.

  5. Escolha Avançar. Se desejar, edite as associações de políticas. Deixe esta seção como está se desejar manter as associações de políticas inalteradas. Você pode associar ou desassociar a política a um máximo de 15 alvos (contas ou raiz) ao atualizá-la. OUs

  6. Escolha Próximo.

  7. Revise suas alterações e escolha Salvar e aplicar. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um nó pai.

API
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, invoque o UpdateConfigurationPolicyAPIda conta de administrador delegado do Security Hub na região de origem.

  2. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração que você deseja atualizar.

  3. Forneça valores atualizados para os campos sob ConfigurationPolicy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações para essa política de configuração, invoque o StartConfigurationPolicyAssociationAPIda conta de administrador delegado do Security Hub na região de origem. Para remover uma ou mais associações atuais, invoque o StartConfigurationPolicyDisassociationAPIda conta de administrador delegado do Security Hub na região de origem.

  5. Para o ConfigurationPolicyIdentifier campo, forneça a ID ARN ou da política de configuração cujas associações você deseja atualizar.

  6. Para o Target campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

nota

Quando você invoca o UpdateConfigurationPolicyAPI, o Security Hub executa uma substituição completa da lista para os SecurityControlCustomParameters campos EnabledStandardIdentifiers EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers,, e. Sempre que você invocar issoAPI, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja ativar ou desativar e personalizar os parâmetros.

Exemplo de API solicitação para atualizar uma política de configuração:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, execute o update-configuration-policycomando da conta de administrador delegado do Security Hub na região de origem.

  2. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração que você deseja atualizar.

  3. Forneça valores atualizados para os campos sob configuration-policy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações para essa política de configuração, execute o start-configuration-policy-associationcomando da conta de administrador delegado do Security Hub na região de origem. Para remover uma ou mais associações atuais, execute o start-configuration-policy-disassociationcomando da conta de administrador delegado do Security Hub na região de origem.

  5. Para o configuration-policy-identifier campo, forneça a ID ARN ou da política de configuração cujas associações você deseja atualizar.

  6. Para o target campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

nota

Quando você executa o comando update-configuration-policy, o Security Hub executa uma substituição completa da lista para os campos EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiers e SecurityControlCustomParameters. Sempre que você executar esse comando, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

Exemplo de comando para atualizar uma política de configuração:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

O StartConfigurationPolicyAssociation API retorna um campo chamadoAssociationStatus. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. Para obter mais informações sobre status de associações, consulte Revisando o status de associação de uma política de configuração.