Grundlegendes zu den Steuerungsparametern in Security Hub - AWS Security Hub
Auswirkung der Änderung von SteuerparameterwertenSteuerelemente, die benutzerdefinierte Parameter unterstützen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu den Steuerungsparametern in Security Hub

Einige Steuerelemente AWS Security Hub verwenden Parameter, die beeinflussen, wie das Steuerelement ausgewertet wird. In der Regel werden solche Kontrollen anhand der von Security Hub definierten Standardparameterwerte bewertet. Für eine Teilmenge dieser Steuerelemente können Sie die Parameterwerte jedoch ändern. Wenn Sie einen Steuerparameterwert ändern, beginnt Security Hub, das Steuerelement anhand des von Ihnen angegebenen Werts auszuwerten. Wenn die dem Steuerelement zugrunde liegende Ressource den benutzerdefinierten Wert erfüllt, generiert Security Hub einen PASSED Befund. Wenn die Ressource den benutzerdefinierten Wert nicht erfüllt, generiert Security Hub einen FAILED Befund.

Durch die Anpassung der Kontrollparameter können Sie die von Security Hub empfohlenen und überwachten bewährten Sicherheitsmethoden verfeinern, um sie an Ihre Geschäftsanforderungen und Sicherheitserwartungen anzupassen. Anstatt die Ergebnisse einer Kontrolle zu unterdrücken, können Sie einen oder mehrere ihrer Parameter anpassen, um Ergebnisse zu erhalten, die Ihren Sicherheitsanforderungen entsprechen.

Im Folgenden finden Sie einige Anwendungsbeispiele für das Ändern von Steuerparametern und das Festlegen benutzerdefinierter Werte:

  • [CloudWatch.16] — CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

    Sie können den Aufbewahrungszeitraum angeben.

  • [IAM.7] — Passwortrichtlinien für IAM-Benutzer sollten starke Konfigurationen haben

    Sie können Parameter für die Passwortstärke angeben.

  • [EC2.18] — Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen

    Sie können angeben, welche Ports uneingeschränkten eingehenden Verkehr zulassen dürfen.

  • [Lambda.5] — VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

    Sie können die Mindestanzahl von Availability Zones angeben, die zu einem erfolgreichen Ergebnis führen.

In diesem Abschnitt werden Dinge behandelt, die Sie bei der Änderung von Steuerungsparametern beachten sollten.

Auswirkung der Änderung von Steuerparameterwerten

Wenn Sie einen Parameterwert ändern, lösen Sie auch eine neue Sicherheitsüberprüfung aus, bei der das Steuerelement anhand des neuen Werts bewertet wird. Security Hub generiert dann neue Kontrollergebnisse auf der Grundlage des neuen Werts. Bei regelmäßigen Updates zur Kontrolle der Ergebnisse verwendet Security Hub auch den neuen Parameterwert. Wenn Sie die Parameterwerte für ein Steuerelement ändern, aber keine Standards aktiviert haben, die das Steuerelement enthalten, führt Security Hub keine Sicherheitsprüfungen mit den neuen Werten durch. Sie müssen mindestens einen relevanten Standard für Security Hub aktivieren, um die Steuerung anhand des neuen Parameterwerts auszuwerten.

Ein Steuerelement kann einen oder mehrere anpassbare Parameter haben. Zu den möglichen Datentypen für jeden Steuerparameter gehören die folgenden:

  • Boolesch

  • Double

  • Enum

  • EnumList

  • Ganzzahl

  • IntegerList

  • String

  • StringList

Benutzerdefinierte Parameterwerte gelten für alle Ihre aktivierten Standards. Sie können die Parameter für ein Steuerelement, das in Ihrer aktuellen Region nicht unterstützt wird, nicht anpassen. Eine Liste der regionalen Grenzwerte für einzelne Steuerelemente finden Sie unterRegionale Grenzwerte für Kontrollen.

Bei einigen Kontrollen müssen akzeptable Parameterwerte in einen bestimmten Bereich fallen, um gültig zu sein. In diesen Fällen bietet Security Hub den akzeptablen Bereich.

Security Hub wählt Standardparameterwerte und aktualisiert sie möglicherweise gelegentlich. Nachdem Sie einen Steuerparameter angepasst haben, entspricht sein Wert weiterhin dem Wert, den Sie für den Parameter angegeben haben, sofern Sie ihn nicht ändern. Das heißt, der Parameter stoppt die Verfolgung von Aktualisierungen des Security Hub-Standardwerts, auch wenn der benutzerdefinierte Wert des Parameters mit dem aktuellen, von Security Hub definierten Standardwert übereinstimmt. Hier ist ein Beispiel für die Steuerung [ACM.1] — Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Im vorherigen Beispiel hat der daysToExpiration Parameter den benutzerdefinierten Wert. 30 Der aktuelle Standardwert für diesen Parameter ist ebenfalls30. Wenn Security Hub den Standardwert auf ändert14, verfolgt der Parameter in diesem Beispiel diese Änderung nicht. Der Wert wird beibehalten30.

Wenn Sie Aktualisierungen des Security Hub Hub-Standardwerts für einen Parameter verfolgen möchten, setzen Sie das ValueType Feld auf DEFAULT statt aufCUSTOM. Weitere Informationen finden Sie unter Zurücksetzen auf die Standardsteuerungsparameter in einem einzigen Konto und einer Region.

Steuerelemente, die benutzerdefinierte Parameter unterstützen

Eine Liste der Sicherheitskontrollen, die benutzerdefinierte Parameter unterstützen, finden Sie auf der Seite Kontrollen der Security Hub Hub-Konsole oder unterReferenz zu Security Hub-Steuerungen. Um diese Liste programmgesteuert abzurufen, können Sie ListSecurityControlDefinitionsOperation. In der Antwort gibt das CustomizableProperties Objekt an, welche Steuerelemente anpassbare Parameter unterstützen.