Security Hub Hub-Konfigurationsrichtlinien erstellen und zuordnen - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub Hub-Konfigurationsrichtlinien erstellen und zuordnen

Das delegierte Administratorkonto kann AWS Security Hub Konfigurationsrichtlinien erstellen und diese mit Organisationskonten, Organisationseinheiten (OUs) oder dem Stamm verknüpfen. Sie können Konten, Organisationseinheiten oder dem Stammverzeichnis auch eine selbstverwaltete Konfiguration zuordnen.

Wenn Sie zum ersten Mal eine Konfigurationsrichtlinie erstellen, empfehlen wir, diese zuerst zu überprüfenSo funktionieren die Security Hub Hub-Konfigurationsrichtlinien.

Wählen Sie Ihre bevorzugte Zugriffsmethode und folgen Sie den Schritten zum Erstellen und Zuordnen einer Konfigurationsrichtlinie oder einer selbstverwalteten Konfiguration. Wenn Sie die Security Hub Hub-Konsole verwenden, können Sie eine Konfiguration mehreren Konten oder Organisationseinheiten gleichzeitig zuordnen. Wenn Sie die Security Hub Hub-API oder verwenden AWS CLI, können Sie eine Konfiguration in jeder Anfrage nur einem Konto oder einer Organisationseinheit zuordnen.

Anmerkung

Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub automatisch Steuerungen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren. Wenn Sie die zentrale Konfiguration verwenden, fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion und einer der verknüpften Regionen nicht verfügbar ist. Eine Liste der Steuerelemente, die globale Ressourcen betreffen, finden Sie unterKontrollen, die sich mit globalen Ressourcen befassen.

Security Hub console
So erstellen Sie Konfigurationsrichtlinien und ordnen sie zu

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Konfiguration und dann die Registerkarte Richtlinien aus. Wählen Sie dann Richtlinie erstellen aus.

  3. Wenn Sie zum ersten Mal eine Konfigurationsrichtlinie erstellen, werden auf der Seite Organisation konfigurieren unter Konfigurationstyp drei Optionen angezeigt. Wenn Sie bereits mindestens eine Konfigurationsrichtlinie erstellt haben, wird nur die Option Benutzerdefinierte Richtlinie angezeigt.

    • Wählen Sie Die AWS empfohlene Security Hub Hub-Konfiguration in meiner gesamten Organisation verwenden, um unsere empfohlene Richtlinie zu verwenden. Die empfohlene Richtlinie aktiviert Security Hub in allen Unternehmenskonten, aktiviert den Standard AWS Foundational Security Best Practices (FSBP) und aktiviert alle neuen und vorhandenen FSBP-Steuerelemente. Die Steuerelemente verwenden Standardparameterwerte.

    • Wählen Sie Ich bin noch nicht bereit zur Konfiguration, um später eine Konfigurationsrichtlinie zu erstellen.

    • Wählen Sie Benutzerdefinierte Richtlinie, um eine benutzerdefinierte Konfigurationsrichtlinie zu erstellen. Geben Sie an, ob Security Hub aktiviert oder deaktiviert werden soll, welche Standards aktiviert werden sollen und welche Kontrollen für diese Standards aktiviert werden sollen. Geben Sie optional benutzerdefinierte Parameterwerte für ein oder mehrere aktivierte Steuerelemente an, die benutzerdefinierte Parameter unterstützen.

  4. Wählen Sie im Abschnitt Konten aus, für welche Zielkonten, Organisationseinheiten oder das Stammkonto Ihre Konfigurationsrichtlinie gelten soll.

    • Wählen Sie Alle Konten aus, wenn Sie die Konfigurationsrichtlinie auf das Stammkonto anwenden möchten. Dies schließt alle Konten und Organisationseinheiten in der Organisation ein, auf die keine andere Richtlinie angewendet oder vererbt wurde.

    • Wählen Sie Bestimmte Konten aus, wenn Sie die Konfigurationsrichtlinie auf bestimmte Konten oder Organisationseinheiten anwenden möchten. Geben Sie die Konto-IDs ein, oder wählen Sie die Konten und Organisationseinheiten aus der Organisationsstruktur aus. Sie können die Richtlinie auf maximal 15 Konten oder auf eine Organisationseinheit mit maximal 15 Konten anwenden. Wenn Sie eine größere Anzahl angeben möchten, bearbeiten Sie Ihre Richtlinie nach der Erstellung und wenden Sie sie auf weitere Konten an.

    • Wählen Sie Nur der delegierte Administrator, um die Konfigurationsrichtlinie auf das aktuelle delegierte Administratorkonto anzuwenden.

  5. Wählen Sie Weiter aus.

  6. Überprüfen Sie auf der Seite Überprüfen und Anwenden die Details Ihrer Konfigurationsrichtlinie. Wählen Sie dann Richtlinie erstellen und anwenden aus. In Ihrer Heimatregion und den verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten können über eine Anwendung oder durch Vererbung von einem übergeordneten Knoten mit der Konfigurationsrichtlinie verknüpft werden. Untergeordnete Konten und Organisationseinheiten der angewendeten Ziele übernehmen automatisch diese Konfigurationsrichtlinie, sofern sie nicht ausdrücklich ausgeschlossen wurden, sie selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

Security Hub API
Um Konfigurationsrichtlinien zu erstellen und zuzuordnen

  1. Rufen Sie die CreateConfigurationPolicyAPI über das delegierte Security Hub-Administratorkonto in der Heimatregion auf.

  2. Geben Sie für Name einen eindeutigen Namen für die Konfigurationsrichtlinie ein. Geben Sie optional für Description eine Beschreibung der Konfigurationsrichtlinie an.

  3. Geben Sie für das ServiceEnabled Feld an, ob Security Hub in dieser Konfigurationsrichtlinie aktiviert oder deaktiviert werden soll.

  4. Geben Sie für das EnabledStandardIdentifiers Feld an, welche Security Hub Hub-Standards Sie in dieser Konfigurationsrichtlinie aktivieren möchten.

  5. Geben Sie für das SecurityControlsConfiguration Objekt an, welche Steuerelemente Sie in dieser Konfigurationsrichtlinie aktivieren oder deaktivieren möchten. Wählen Sie EnabledSecurityControlIdentifiers aus, dass die angegebenen Steuerelemente aktiviert sind. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind deaktiviert. Wenn Sie DisabledSecurityControlIdentifiers diese Option wählen, sind die angegebenen Steuerelemente deaktiviert. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind aktiviert.

  6. Geben Sie optional für das SecurityControlCustomParameters Feld aktivierte Steuerelemente an, für die Sie Parameter anpassen möchten. Geben Sie CUSTOM das ValueType Feld und den benutzerdefinierten Parameterwert für das Value Feld an. Der Wert muss dem richtigen Datentyp entsprechen und innerhalb der von Security Hub angegebenen gültigen Bereiche liegen. Nur ausgewählte Steuerelemente unterstützen benutzerdefinierte Parameterwerte. Weitere Informationen finden Sie unter Benutzerdefinierte Steuerungsparameter.

  7. Um Ihre Konfigurationsrichtlinie auf Konten oder Organisationseinheiten anzuwenden, rufen Sie die StartConfigurationPolicyAssociationAPI über das delegierte Security Hub-Administratorkonto in der Heimatregion auf.

  8. Geben Sie für das ConfigurationPolicyIdentifier Feld den Amazon-Ressourcennamen (ARN) oder die Universally Unique Identifier (UUID) der Richtlinie ein. Der ARN und die UUID werden von der CreateConfigurationPolicy API zurückgegeben. Bei einer selbstverwalteten Konfiguration entspricht das ConfigurationPolicyIdentifier Feld. SELF_MANAGED_SECURITY_HUB

  9. Geben Sie für das Target Feld die Organisationseinheit, das Konto oder die Root-ID an, für die diese Konfigurationsrichtlinie gelten soll. Sie können in jeder API-Anfrage nur ein Ziel angeben. Untergeordnete Konten und Organisationseinheiten des ausgewählten Ziels erben diese Konfigurationsrichtlinie automatisch, sofern sie nicht selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

Beispiel für eine API-Anfrage zur Erstellung einer Konfigurationsrichtlinie:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Beispiel für eine API-Anfrage zum Zuordnen einer Konfigurationsrichtlinie:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Um Konfigurationsrichtlinien zu erstellen und zuzuordnen

  1. Führen Sie den create-configuration-policyBefehl über das delegierte Security Hub-Administratorkonto in der Heimatregion aus.

  2. Geben Sie für name einen eindeutigen Namen für die Konfigurationsrichtlinie ein. Geben Sie optional für description eine Beschreibung der Konfigurationsrichtlinie an.

  3. Geben Sie für das ServiceEnabled Feld an, ob Security Hub in dieser Konfigurationsrichtlinie aktiviert oder deaktiviert werden soll.

  4. Geben Sie für das EnabledStandardIdentifiers Feld an, welche Security Hub Hub-Standards Sie in dieser Konfigurationsrichtlinie aktivieren möchten.

  5. Geben Sie für das SecurityControlsConfiguration Feld an, welche Steuerelemente Sie in dieser Konfigurationsrichtlinie aktivieren oder deaktivieren möchten. Wählen Sie EnabledSecurityControlIdentifiers aus, dass die angegebenen Steuerelemente aktiviert sind. Andere Steuerelemente, die Teil Ihrer aktivierten Standards sind (einschließlich neu veröffentlichter Steuerelemente), sind deaktiviert. Wenn Sie DisabledSecurityControlIdentifiers diese Option wählen, sind die angegebenen Steuerelemente deaktiviert. Andere Steuerelemente, die Ihren aktivierten Standards entsprechen (einschließlich neu veröffentlichter Steuerelemente), sind aktiviert.

  6. Geben Sie optional für das SecurityControlCustomParameters Feld aktivierte Steuerelemente an, für die Sie Parameter anpassen möchten. Geben Sie CUSTOM das ValueType Feld und den benutzerdefinierten Parameterwert für das Value Feld an. Der Wert muss dem richtigen Datentyp entsprechen und innerhalb der von Security Hub angegebenen gültigen Bereiche liegen. Nur ausgewählte Steuerelemente unterstützen benutzerdefinierte Parameterwerte. Weitere Informationen finden Sie unter Benutzerdefinierte Steuerungsparameter.

  7. Um Ihre Konfigurationsrichtlinie auf Konten oder Organisationseinheiten anzuwenden, führen Sie den start-configuration-policy-associationBefehl über das delegierte Security Hub-Administratorkonto in der Heimatregion aus.

  8. Geben Sie für das configuration-policy-identifier Feld den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein. Dieser ARN und diese ID werden vom create-configuration-policy Befehl zurückgegeben.

  9. Geben Sie für das target Feld die Organisationseinheit, das Konto oder die Root-ID an, für die diese Konfigurationsrichtlinie gelten soll. Sie können jedes Mal, wenn Sie den Befehl ausführen, nur ein Ziel angeben. Untergeordnete Objekte des ausgewählten Ziels erben diese Konfigurationsrichtlinie automatisch, sofern sie nicht selbst verwaltet werden oder eine andere Konfigurationsrichtlinie verwenden.

Beispielbefehl zum Erstellen einer Konfigurationsrichtlinie:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Beispielbefehl zum Zuordnen einer Konfigurationsrichtlinie:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

Die StartConfigurationPolicyAssociation API gibt ein Feld namens zurückAssociationStatus. In diesem Feld erfahren Sie, ob eine Richtlinienverknüpfung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von PENDING zu SUCCESS oder ändertFAILURE. Weitere Informationen zum Zuordnungsstatus finden Sie unterZuordnungsstatus einer Konfiguration.