了解安全中心中的控制參數

中的一些控件 AWS Security Hub 使用會影響控制項計算方式的參數。一般而言，系統會根據 Security Hub 定義的預設參數值來評估此類控制項。但是，對於這些控制項的子集，您可以修改參數值。當您修改控制項參數值時，Security Hub 會開始根據您指定的值評估控制項。如果控制項基礎的資源滿足自訂值，Security Hub 會產生一個PASSED發現項目。如果資源不符合自訂值，Security Hub 會產生一個FAILED發現項目。

透過自訂控制參數，您可以調整 Security Hub 所建議和監控的安全性最佳作法，以符合您的業務需求和安全性預期。您可以自訂一或多個參數，以取得符合您安全性需求的發現項目，而不是隱藏控制項的發現項目。

以下是修改控制項參數和設定自訂值的一些範例使用案例：

本節涵蓋修改控制參數時要考慮的事項。

修改控制參數值的影響

當您變更參數值時，也會觸發新的安全性檢查，以根據新值評估控制項。然後，Security Hub 會根據新值產生新的控制項發現項目。在定期更新以控制發現項目時，Security Hub 也會使用新的參數值。如果您變更控制項的參數值，但尚未啟用任何包含控制項的標準，Security Hub 不會使用新值執行任何安全性檢查。您必須為 Security Hub 啟用至少一個相關標準，才能根據新的參數值評估控制項。

控制項可以有一個或多個可自訂的參數。每個控制參數的可能資料類型包括：

自訂參數值適用於已啟用的標準。您無法自訂目前區域不支援的控制項參數。如需個別控制項的區域限制清單，請參閱Security Hub 控制項的區域限制。

對於某些控制項，可接受的參數值必須落入指定的範圍內才能有效。在這些情況下，Security Hub 會提供可接受的範圍。

Security Hub 選擇默認參數值，並可能偶爾更新它們。自訂控制參數之後，除非您變更它，否則其值會繼續為您為參數指定的值。也就是說，即使參數的自訂值與 Security Hub 定義的目前預設值相符，參數也會停止追蹤預設 Security Hub 值的更新。以下是控制項的範例 [ACM.1] — 匯入和ACM發行的憑證應在指定的時間段後續約：

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

在上述範例中，daysToExpiration參數的自訂值為30。此參數的目前預設值也是30。如果安全性中心將預設值變更為14，則此範例中的參數將不會追蹤該變更。它將保留的值30。

如果您想要追蹤參數之預設 Security Hub 值的更新，請將ValueType欄位設定為DEFAULT而非CUSTOM。如需詳細資訊，請參閱還原至單一帳戶和區域中的預設控制參數。

支援自訂參數的控制項

如需支援自訂參數的安全控制項清單，請參閱 Security Hub 主控台的 [控制項] 頁面或Security Hub 控制項參考. 若要以程式設計方式擷取此清單，您可以使用 ListSecurityControlDefinitions操作。在回應中，CustomizableProperties物件會指出哪些控制項支援可自訂參數。