Deaktivierung eines Steuerelements in einem bestimmten Standard - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Deaktivierung eines Steuerelements in einem bestimmten Standard

Sie können ein Steuerelement in einem oder mehreren bestimmten AWS Security Hub Standards deaktivieren. Wenn die Kontrolle für andere aktivierte Standards gilt, führt Security Hub dennoch Sicherheitsprüfungen für die Kontrolle durch und generiert Kontrollergebnisse.

Wir empfehlen, den Aktivierungsstatus einer Kontrolle für alle aktivierten Standards, für die die Kontrolle gilt, aufeinander abzustimmen. Anweisungen zur Deaktivierung einer Steuerung für alle Standards, für die sie gilt, finden Sie unter. Standardübergreifendes Deaktivieren einer Steuerung

Auf der Seite mit den Standarddetails können Sie auch Steuerungen in bestimmten Standards deaktivieren. Sie müssen die Steuerelemente in bestimmten Standards in jedem AWS-Konto und separat deaktivieren AWS-Region. Wenn Sie ein Steuerelement in bestimmten Standards deaktivieren, wirkt sich dies nur auf das Girokonto und die Region aus.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten auf dieser Seite, um eine Steuerung in einem oder mehreren bestimmten Standards zu deaktivieren.

Security Hub console
Um ein Steuerelement in einem bestimmten Standard zu deaktivieren

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im Navigationsbereich die Option Sicherheitsstandards aus. Wählen Sie Ergebnisse anzeigen für den entsprechenden Standard aus.

  3. Wählen Sie ein Steuerelement aus.

  4. Wählen Sie Steuerung deaktivieren (diese Option wird nicht für ein Steuerelement angezeigt, das bereits deaktiviert ist).

  5. Geben Sie einen Grund für die Deaktivierung des Steuerelements an und bestätigen Sie, indem Sie „Deaktivieren“ wählen.

Security Hub API
Um ein Steuerelement in einem bestimmten Standard zu deaktivieren

  1. Führen Sie ListSecurityControlDefinitions einen Standard-ARN aus und geben Sie ihn an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhalten DescribeStandards. Diese API gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

    Beispiel für eine Anfrage:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. Führen Sie ListStandardsControlAssociations den Vorgang aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

    Beispiel für eine Anfrage:

    {
    "SecurityControlId": "IAM.1"
}

  3. Führen Sie BatchUpdateStandardsControlAssociations. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

  4. Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits deaktiviert ist, gibt die API eine Antwort mit dem HTTP-Statuscode 200 zurück.

    Beispiel für eine Anfrage:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
}
AWS CLI
Um ein Steuerelement in einem bestimmten Standard zu deaktivieren

  1. Führen Sie den list-security-control-definitions Befehl aus und geben Sie einen Standard-ARN an, um eine Liste der verfügbaren Steuerelemente für einen bestimmten Standard abzurufen. Führen Sie den Befehl aus, um einen Standard-ARN zu erhaltendescribe-standards. Dieser Befehl gibt eine standardunabhängige Sicherheitskontrolle zurück IDs, keine standardspezifische Steuerung. IDs

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. Führen Sie den list-standards-control-associations Befehl aus und geben Sie eine spezifische Kontroll-ID an, um den aktuellen Aktivierungsstatus eines Steuerelements in jedem Standard zurückzugeben.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. Führen Sie den Befehl batch-update-standards-control-associations aus. Geben Sie den ARN des Standards an, in dem Sie das Steuerelement deaktivieren möchten.

  4. Stellen Sie den AssociationStatus Parameter aufDISABLED. Wenn Sie diese Schritte für ein Steuerelement ausführen, das bereits aktiviert ist, gibt der Befehl eine Antwort mit dem HTTP-Statuscode 200 zurück.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'