Steuerungen in bestimmten Standards aktivieren und deaktivieren

Wenn Sie einen Standard in aktivieren AWS Security Hub, werden alle Steuerelemente, die für ihn gelten, automatisch in diesem Standard aktiviert (die Ausnahme bilden servicemanagierte Standards). Anschließend können Sie bestimmte Steuerelemente im Standard deaktivieren und wieder aktivieren. Wir empfehlen jedoch, den Aktivierungsstatus eines Steuerelements auf alle aktivierten Standards abzustimmen.

Anmerkung

Wenn Sie die zentrale Konfiguration von Security Hub verwenden, kann der delegierte Administrator Kontrollen für Organisationskonten für alle aktivierten Standards aktivieren und deaktivieren. Wir empfehlen diesen Ansatz, damit der Aktivierungsstatus einer Steuerung standardübergreifend einheitlich ist. Der delegierte Administrator kann jedoch Konten als selbstverwaltete Konten kennzeichnen, sodass er Kontrollen in bestimmten Standards aktivieren und deaktivieren kann. Weitere Informationen finden Sie unter So funktioniert die zentrale Konfiguration.

Die Detailseite für einen Standard enthält die Liste der für den Standard geltenden Kontrollen sowie Informationen darüber, welche Kontrollen derzeit in diesem Standard aktiviert und deaktiviert sind.

Auf der Seite mit den Standarddetails können Sie auch Steuerelemente in einem bestimmten Standard aktivieren und deaktivieren. Sie müssen die Steuerelemente in beiden Bereichen separat aktivieren AWS-Konto und deaktivieren AWS-Region. Wenn Sie ein Steuerelement aktivieren oder deaktivieren, wirkt sich dies nur auf das aktuelle Konto und die Region aus.

Sie können Steuerungen in jeder Region mithilfe der Security Hub-Konsole, der Security Hub-API oder aktivieren und deaktivieren AWS CLI. Wenn Sie eine Aggregationsregion festgelegt haben, werden Ihnen Steuerungen aus allen verknüpften Regionen angezeigt. Wenn ein Steuerelement in einer verknüpften Region verfügbar ist, aber nicht in der Aggregationsregion, können Sie dieses Steuerelement nicht in der Aggregationsregion aktivieren oder deaktivieren. Skripts zur Deaktivierung von Steuerungen für mehrere Konten und Regionen finden Sie unter Security Hub-Steuerelemente in einer Umgebung mit mehreren Konten deaktivieren.

Ein Steuerelement in einem bestimmten Standard aktivieren

Um ein Steuerelement in einem Standard zu aktivieren, müssen Sie zunächst mindestens einen Standard aktivieren, für den das Steuerelement gilt. Weitere Hinweise zur Aktivierung eines Standards finden Sie unterSicherheitsstandards aktivieren und deaktivieren. Wenn Sie ein Steuerelement in einem Standard aktivieren, AWS Security Hub beginnt die Generierung von Ergebnissen für dieses Steuerelement. Security Hub bezieht den Kontrollstatus in die Berechnung der Gesamtsicherheitsbewertung und der Standardsicherheitsbewertungen ein. Selbst wenn Sie eine Kontrolle in mehreren Standards aktivieren, erhalten Sie bei jeder standardübergreifenden Sicherheitsüberprüfung nur ein Ergebnis, wenn Sie die konsolidierten Kontrollergebnisse aktivieren. Weitere Informationen finden Sie unter Konsolidierte Erkenntnisse zu Kontrollen.

Um eine Kontrolle in einem Standard zu aktivieren, muss die Kontrolle in Ihrer aktuellen Region verfügbar sein. Weitere Informationen finden Sie unter Verfügbarkeit von Steuerelementen nach Regionen.

Gehen Sie wie folgt vor, um ein Security Hub-Steuerelement in einem bestimmten Standard zu aktivieren. Anstelle der folgenden Schritte können Sie auch die UpdateStandardsControlAPI-Aktion verwenden, um Steuerungen in einem bestimmten Standard zu aktivieren. Anweisungen zur Aktivierung eines Steuerelements in allen Standards finden Sie unterAktivierung einer Steuerung nach allen Standards in einem einzigen Konto und in einer einzigen Region.

Security Hub console

So aktivieren Sie ein Steuerelement in einem bestimmten Standard

1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

2. Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus.

3. Wählen Sie Ergebnisse anzeigen für den entsprechenden Standard aus.

4. Wählen Sie ein Steuerelement aus.

5. Wählen Sie Steuerung aktivieren (diese Option wird nicht für ein Steuerelement angezeigt, das bereits aktiviert ist). Bestätigen Sie, indem Sie „Aktivieren“ wählen.

Security Hub API

Um ein Steuerelement in einem bestimmten Standard zu aktivieren

1. Führen Sie ListSecurityControlDefinitions einen Standard-ARN aus und geben Sie ihn an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten DescribeStandards. Diese API gibt standardunabhängige Sicherheitskontroll-IDs zurück, keine standardspezifischen Kontroll-IDs.

   Beispiel für eine Anfrage:

   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }

2. Führen Sie ListStandardsControlAssociations den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   Beispiel für eine Anfrage:

   {
       "SecurityControlId": "IAM.1"
   }

3. Führen Sie BatchUpdateStandardsControlAssociations. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement aktivieren möchten.

4. Stellen Sie den AssociationStatus Parameter aufENABLED.

   Beispiel für eine Anfrage:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }

AWS CLI

Um ein Steuerelement in einem bestimmten Standard zu aktivieren

1. Führen Sie den list-security-control-definitions Befehl aus und geben Sie einen Standard-ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhaltendescribe-standards. Dieser Befehl gibt standardunabhängige Sicherheitskontroll-IDs zurück, keine standardspezifischen Kontroll-IDs.

   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

2. Führen Sie den list-standards-control-associations Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

3. Führen Sie den Befehl batch-update-standards-control-associations aus. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement aktivieren möchten.

4. Stellen Sie den AssociationStatus Parameter aufENABLED.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
                   

Deaktivierung eines Steuerelements in einem bestimmten Standard

Wenn Sie ein Steuerelement in einem Standard deaktivieren, generiert Security Hub keine Ergebnisse mehr für das Steuerelement. Der Kontrollstatus wird bei der Berechnung der Sicherheitsbewertung für den Standard nicht mehr verwendet.

Eine Möglichkeit, ein Steuerelement zu deaktivieren, besteht darin, alle Standards zu deaktivieren, für die das Steuerelement gilt. Wenn Sie einen Standard deaktivieren, werden alle Steuerelemente, die für den Standard gelten, deaktiviert (diese Steuerelemente können jedoch in anderen Standards weiterhin aktiviert bleiben). Hinweise zur Deaktivierung eines Standards finden Sie unterSicherheitsstandards aktivieren und deaktivieren.

Wenn Sie ein Steuerelement deaktivieren, indem Sie einen Standard deaktivieren, für den es gilt, passiert Folgendes:

• Sicherheitsüberprüfungen für das Steuerelement werden für diesen Standard nicht mehr durchgeführt. Das bedeutet, dass der Kontrollstatus keinen Einfluss auf die Standardsicherheitsbewertung hat (Security Hub führt weiterhin Sicherheitsprüfungen für das Steuerelement durch, wenn es in anderen Standards aktiviert ist).

• Für dieses Steuerelement werden keine zusätzlichen Funde generiert.

• Bestehende Ergebnisse werden automatisch nach 3—5 Tagen archiviert (beachten Sie, dass dies nach bestem Wissen erfolgt und nicht garantiert werden kann).

• Die zugehörigen AWS Config Regeln, die Security Hub erstellt hat, wurden entfernt.

Wenn Sie einen Standard deaktivieren, verfolgt Security Hub nicht, welche Steuerelemente deaktiviert wurden. Wenn Sie den Standard anschließend wieder aktivieren, werden alle Steuerelemente, die für ihn gelten, automatisch aktiviert. Darüber hinaus ist das Deaktivieren eines Steuerelements eine einmalige Aktion. Angenommen, Sie deaktivieren ein Steuerelement und aktivieren dann einen Standard, der zuvor deaktiviert war. Wenn der Standard dieses Steuerelement enthält, wird es in diesem Standard aktiviert. Wenn Sie einen Standard in Security Hub aktivieren, werden alle Kontrollen, die für diesen Standard gelten, automatisch aktiviert.

Anstatt ein Steuerelement zu deaktivieren, indem Sie einen Standard deaktivieren, für den es gilt, können Sie das Steuerelement einfach in einem oder mehreren bestimmten Standards deaktivieren.

Um das Suchgeräusch zu reduzieren, kann es nützlich sein, Steuerungen zu deaktivieren, die für Ihre Umgebung nicht relevant sind. Empfehlungen dazu, welche Steuerelemente Sie deaktivieren sollten, finden Sie unter Security Hub-Steuerelemente, die Sie möglicherweise deaktivieren möchten.

Gehen Sie wie folgt vor, um ein Steuerelement in bestimmten Standards zu deaktivieren. Anstelle der folgenden Schritte können Sie auch die UpdateStandardsControlAPI-Aktion verwenden, um Steuerelemente in einem bestimmten Standard zu deaktivieren. Anweisungen zum Deaktivieren eines Steuerelements in allen Standards finden Sie unterAktivierung und Deaktivierung von Steuerungen in allen Standards.

Security Hub console

So deaktivieren Sie ein Steuerelement in einem bestimmten Standard

1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

2. Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus. Wählen Sie Ergebnisse anzeigen für den entsprechenden Standard aus.

3. Wählen Sie ein Steuerelement aus.

4. Wählen Sie Steuerung deaktivieren (diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist).

5. Geben Sie einen Grund für die Deaktivierung des Steuerelements an und bestätigen Sie, indem Sie „Deaktivieren“ wählen.

Security Hub API

Um ein Steuerelement in einem bestimmten Standard zu deaktivieren

1. Führen Sie ListSecurityControlDefinitions einen Standard-ARN aus und geben Sie ihn an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten DescribeStandards. Diese API gibt standardunabhängige Sicherheitskontroll-IDs zurück, keine standardspezifischen Kontroll-IDs.

   Beispiel für eine Anfrage:

   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }

2. Führen Sie ListStandardsControlAssociations den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   Beispiel für eine Anfrage:

   {
       "SecurityControlId": "IAM.1"
   }

3. Führen Sie BatchUpdateStandardsControlAssociations. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

4. Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.

   Beispiel für eine Anfrage:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }

AWS CLI

Um ein Steuerelement in einem bestimmten Standard zu deaktivieren

1. Führen Sie den list-security-control-definitions Befehl aus und geben Sie einen Standard-ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhaltendescribe-standards. Dieser Befehl gibt standardunabhängige Sicherheitskontroll-IDs zurück, keine standardspezifischen Kontroll-IDs.

   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

2. Führen Sie den list-standards-control-associations Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

3. Führen Sie den Befehl batch-update-standards-control-associations aus. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

4. Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'