本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Security Hub CSPM 中启用控件
在 Sec AWS urity Hub CSPM 中,控制是安全标准中的一种保护措施,可帮助组织保护其信息的机密性、完整性和可用性。每个 Security Hub CSPM 控件都与特定的 AWS 资源相关。当您启用某个控件时,Security Hub CSPM 会开始对该控件运行安全检查并生成控件的调查发现。计算安全分数时,Security Hub CSPM 还会考虑所有已启用的控件。
您可以选择针对所有适用安全标准启用控件。或者,您也可以在不同的标准中以不同的方式配置启用状态。我们建议使用前一个选项,即控件的启用状态在所有已启用的标准中保持一致。有关针对所有适用标准启用控件的说明,请参阅[针对各种标准启用控件](enable-controls-overview.md)。有关在特定标准中启用控件的说明,请参阅[启用特定标准中的控件](controls-configure.md)。
如果您启用了跨区域聚合并登录了某个聚合区域,Security Hub CSPM 控制台将显示在至少一个关联区域中可用的控件。如果某个控件在关联区域中可用,但在聚合区域中不可用,则无法在聚合区域启用或禁用该控件。
您可以使用 Security Hub CSPM 控制台、Security Hub CSPM API 或在每个区域启用和禁用控件。 AWS CLI
启用和禁用控件的说明会因您是否使用[中心配置](central-configuration-intro.md)而异。本主题介绍其中的区别。集成 Security Hub CSPM 和的用户可以使用中央配置。 AWS Organizations我们建议使用中心配置来简化在多账户、多区域环境中启用和禁用控件的过程。如果您使用中心配置,则可以通过使用配置策略启用针对多个账户和区域的控件。如果您不使用中心配置,则必须在每个账户和区域中分别启用控件。
# 针对各种标准启用控件
我们建议在该控件适用的所有标准中启用 Sec AWS urity Hub CSPM 控件。如果开启整合的控件调查发现,那么即使一项控件属于多个标准,您也会收到每项控件检查的调查发现。
## 在多账户、多区域环境中的跨标准启用
要在多个 AWS 账户 和之间启用安全控制 AWS 区域,您必须登录委派的 Security Hub CSPM 管理员帐户并使用[中央](central-configuration-intro.md)配置。
使用中心配置时,委派管理员可以创建 Security Hub CSPM 配置策略,这些策略可以跨已启用标准启用指定控件。然后,您可以将配置策略与特定账户和组织单位 (OUs) 或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。
配置策略可自定义。例如,您可以选择启用一个 OU 中的所有控件,也可以选择在另一个 OU 中仅启用 Amazon Elastic Compute Cloud(EC2)控件。粒度级别取决于您的组织中安全覆盖范围的预期目标。有关创建配置策略(启用不同标准中的指定控件)的说明,请参阅[创建和关联配置策略](create-associate-policy.md)。
**注意**
授权的管理员可以创建配置策略来管理除[服务管理标准之外的所有标准中的控件: AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。应在 AWS Control Tower 服务中配置该标准的控件。
如果您希望某些账户配置自己的控件而不是委派管理员来配置,则委派管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域中单独配置控件。
## 单个账户和区域中的跨标准启用
如果您不使用中心配置或是自行管理账户,则无法使用配置策略在多个账户和区域中集中启用控件。但是,您可以使用以下步骤在单个账户和区域中启用控件。
------
#### [ Security Hub CSPM console ]
**要在一个账户和区域中启用不同标准中的控件**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 从导航窗格中选择**控件**。
1. 选择**已禁用**选项卡。
1. 选择控件旁边的选项。
1. 选择**启用控制**(对于已启用的控件,此选项不会出现)。
1. 在您要在其中启用控件的每个区域中重复这些操作。
------
#### [ Security Hub CSPM API ]
**要在一个账户和区域中启用不同标准中的控件**
1. 调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html) API。提供安全控件 ID。
**请求示例:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. 调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html) API。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获得标准 ARNs,请运行[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。
1. 将 `AssociationStatus` 参数设置为等于 `ENABLED`。如果您对已启用的控件执行以下步骤,则该 API 将返回 HTTP 状态码 200 响应。
**请求示例:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}
```
1. 在您要在其中启用控件的每个区域中重复这些操作。
------
#### [ AWS CLI ]
**要在一个账户和区域中启用不同标准中的控件**
1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) 命令。提供安全控件 ID。
```
aws securityhub --region us-east-1 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html) --security-control-id CloudTrail.1
```
1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html) 命令。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获得标准 ARNs,请运行`describe-standards`命令。
1. 将 `AssociationStatus` 参数设置为等于 `ENABLED`。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
```
1. 在您要在其中启用控件的每个区域中重复这些操作。
------
# 启用特定标准中的控件
在 Sec AWS urity Hub CSPM 中启用标准时,适用于该标准的所有控件都会自动启用该标准中的所有控件(服务管理标准除外)。然后,您可以禁用并重新启用标准中的特定控件。但是,我们建议您在所有已启用的标准中调整控件的启用状态。有关在所有标准中启用控件的说明,请参阅 [针对各种标准启用控件](enable-controls-overview.md)。
标准的详细信息页面包含该标准的适用控件列表,以及有关该标准当前启用和禁用哪些控件的信息。
在标准详细信息页面上,您还可以在特定标准中启用控件。您必须在每个 AWS 账户 和中分别启用特定标准中的控件 AWS 区域。在特定标准中启用控件时,它只会影响当前账户和区域。
要启用标准中的控件,您必须首先启用至少一个该控件适用的标准。有关启用标准的说明,请参阅[启用安全标准](enable-standards.md)。当您在一个或多个标准中启用某个控件时,Security Hub CSPM 会开始生成该控件的调查发现。Security Hub CSPM 还在总体安全分数和标准安全分数的计算中包括[控件状态](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-overall-status.html#controls-overall-status-values)。即使您在多个标准中启用了控件,但如果您开启整合的控件调查发现,您也将收到一个各类标准的安全检查调查发现。有关更多信息,请参阅 [Consolidated control findings](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)。
要启用标准中的控件,该控件必须在您当前的区域中可用。有关更多信息,请参阅[根据区域的控件可用性](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-regions-control-support)。
请按照以下步骤启用*特定*标准中的 Security Hub CSPM 控件。除了以下步骤之外,您还可以使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html) API 操作来启用特定标准中的控件。有关在*所有*标准中启用控件的说明,请参阅 [单个账户和区域中的跨标准启用](enable-controls-overview.md#enable-controls-all-standards)。
------
#### [ Security Hub CSPM console ]
**要启用特定标准中的控件**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 从导航窗格中选择**安全标准**。
1. 对于相关标准,选择**查看结果**。
1. 选择控件。
1. 选择**启用控制**(对于已启用的控件,此选项不会出现)。选择**启用**进行确认。
------
#### [ Security Hub CSPM API ]
**要启用特定标准中的控件**
1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` 并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DescribeStandards.html)。此 API 返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDs
**请求示例:**
```
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}
```
1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListStandardsControlAssociations.html)`,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。
**请求示例:**
```
{
"SecurityControlId": "IAM.1"
}
```
1. 运行 `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`。提供您想要在其中启用控件的标准的 ARN。
1. 将 `AssociationStatus` 参数设置为等于 `ENABLED`。
**请求示例:**
```
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
```
------
#### [ AWS CLI ]
**要启用特定标准中的控件**
1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-security-control-definitions.html)` 命令并提供标准 ARN 以获取特定标准的可用控件列表。要获取标准 ARN,请运行 `describe-standards`。此命令返回与标准无关的安全控制 IDs,而不是特定于标准的控制。 IDs
```
aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"
```
1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-standards-control-associations.html)` 命令,并提供特定的控件 ID 以返回每个标准中控件的当前启用状态。
```
aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
```
1. 运行 `[https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-standards-control-associations.html)` 命令。提供您想要在其中启用控件的标准的 ARN。
1. 将 `AssociationStatus` 参数设置为等于 `ENABLED`。
```
aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
```
------
# 自动启用已启用标准中的新控件
AWS Security Hub CSPM 定期发布新的控件并将其添加到一个或多个标准中。您可以选择是否在启用的标准中自动启用新控件。
我们建议使用 Security Hub CSPM 中心配置来自动启用新的安全控件。您可以创建配置策略,其中包括不同标准中要禁用的控件列表。默认情况下,所有其他控件(包括新发布的控件)均处于启用状态。或者,您可以创建策略,其中包含不同标准中要启用的控件的列表。默认情况下,所有其他控件(包括新发布的控件)均处于禁用状态。有关更多信息,请参阅 [了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。
当新控件添加到您尚未启用的标准时,Security Hub CSPM 不会启用这些控件。
以下说明仅在您不使用中心配置时适用。
选择首选访问方法,然后按照以下步骤自动启用启用的标准中的新控件。
**注意**
按照以下说明自动启用新控件后,您可以在发布后立即在控制台中以编程方式与控件进行交互。但是,自动启用的控件的临时默认状态为**已禁用**。Security Hub CSPM 可能需要几天时间来处理控件发布并将控件在您的账户中指定为**已启用**。在处理期间,您可以手动启用或禁用某个控件,无论您是否开启了自动控件启用,Security Hub CSPM 都将保持该指定。
------
#### [ Security Hub CSPM console ]
**要自动启用新控件**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择**设置**,然后选择**常规**选项卡。
1. 在**控件**下,选择**编辑**。
1. **在已启用的标准中开启自动启用新控件**。
1. 选择**保存**。
------
#### [ Security Hub CSPM API ]
**要自动启用新控件**
1. 运行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html)。
1. 要自动为启用的标准启用新控件,将 `AutoEnableControls` 设置为 `true`。如果您不想自动启用新控件,请设置 `AutoEnableControls` 为 false。
------
#### [ AWS CLI ]
**要自动启用新控件**
1. 运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) 命令。
1. 要自动为启用的标准启用新控件,请指定 `--auto-enable-controls`。如果您不想自动启用新控件,请指定 `--no-auto-enable-controls`。
```
aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls
```
**命令示例**
```
aws securityhub update-security-hub-configuration --auto-enable-controls
```
------
如果您没有自动启用新控件,则必须手动启用它们。有关说明,请参阅[在 Security Hub CSPM 中启用控件](securityhub-standards-enable-disable-controls.md)。