本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您在 中啟用標準時 AWS Security Hub,適用於該標準的所有控制項都會在該標準中自動啟用 (這是服務受管標準)。然後,您可以在 標準中停用並重新啟用特定控制項。不過,我們建議您在所有啟用的標準之間調整控制項的啟用狀態。如需跨所有標準啟用控制項的指示,請參閱 啟用跨標準的控制。
標準的詳細資訊頁面包含標準適用的控制項清單,以及該標準中目前啟用和停用哪些控制項的相關資訊。
在標準詳細資訊頁面上,您也可以在特定標準中啟用控制項。您必須在每個 AWS 帳戶 和 中分別啟用特定標準的控制項 AWS 區域。當您在特定標準中啟用控制項時,它只會影響目前的帳戶和區域。
若要在標準中啟用控制項,您必須先啟用至少一個控制項適用的標準。如需啟用標準的指示,請參閱 在 Security Hub 中啟用安全標準。當您在一或多個標準中啟用控制項時,Security Hub 會開始產生該控制項的調查結果。Security Hub 會在計算整體安全分數和標準安全分數時包含控制狀態。即使您在多個標準中啟用控制項,如果您開啟合併的控制項問題清單,則每個安全性檢查都會收到單一問題清單。如需了解更多資訊,請參閱合併的控制調查結果。
若要在標準中啟用控制項,該控制項必須在您目前的 區域中可用。如需詳細資訊,請參閱依區域 的控制項可用性。
請依照下列步驟,在特定標準中啟用 Security Hub 控制項。您也可以使用 UpdateStandardsControl
API動作來啟用特定標準的控制項,以取代下列步驟。如需在所有標準中啟用控制項的指示,請參閱 單一帳戶和區域中的跨標準啟用。
- Security Hub console
-
- Security Hub API
-
在特定標準中啟用控制項
-
執行 ListSecurityControlDefinitions
,並提供標準ARN以取得特定標準的可用控制項清單。若要取得標準 ARN,請執行 DescribeStandards
。這會API傳回標準無關的安全控制 IDs,而不是標準特定控制 IDs。
請求範例:
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0
"
}
-
執行 ListStandardsControlAssociations
,並提供特定控制項 ID,以傳回每個標準中控制項的目前啟用狀態。
請求範例:
{
"SecurityControlId": "IAM.1
"
}
-
執行 BatchUpdateStandardsControlAssociations
。提供您要在其中啟用控制項ARN的標準。
-
將 AssociationStatus
參數設定為等於 ENABLED
。
請求範例:
{
"StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1
", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
", "AssociationStatus": "ENABLED"}]
}
- AWS CLI
-
在特定標準中啟用控制項
-
執行 list-security-control-definitions
命令,並提供標準ARN以取得特定標準的可用控制項清單。若要取得標準 ARN,請執行 describe-standards
。此命令會傳回標準無關的安全控制 IDs,而不是標準特定控制 IDs。
aws securityhub --region us-east-1
list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
"
-
執行 list-standards-control-associations
命令,並提供特定控制項 ID,以傳回每個標準中控制項的目前啟用狀態。
aws securityhub --region us-east-1
list-standards-control-associations --security-control-id CloudTrail.1
-
執行 batch-update-standards-control-associations
命令。提供您要在其中啟用控制項ARN的標準。
-
將 AssociationStatus
參數設定為等於 ENABLED
。
aws securityhub --region us-east-1
batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1
", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
", "AssociationStatus": "ENABLED"}]'