Security Hub aktivieren

Es gibt zwei Möglichkeiten, AWS Security Hub zu aktivieren: durch Integration mit AWS Organizations oder manuell.

Wir empfehlen dringend die Integration mit Organizations für Umgebungen mit mehreren Konten und mehreren Regionen. Wenn Sie ein eigenständiges Konto haben, müssen Sie Security Hub manuell einrichten.

Überprüfung der erforderlichen Berechtigungen

Nachdem Sie sich für Amazon Web Services (AWS) angemeldet haben, müssen Sie Security Hub aktivieren, um seine Funktionen und Funktionen nutzen zu können. Um Security Hub zu aktivieren, müssen Sie zunächst Berechtigungen einrichten, die Ihnen den Zugriff auf die Security Hub Hub-Konsole und API-Operationen ermöglichen. Sie oder Ihr AWS Administrator können dies tun, indem Sie AWS Identity and Access Management (IAM) verwenden, um die AWS verwaltete Richtlinie, die aufgerufen wirdAWSSecurityHubFullAccess, an Ihre IAM-Identität anzuhängen.

Um Security Hub über die Organizationsintegration zu aktivieren und zu verwalten, sollten Sie auch die angegebene AWS verwaltete Richtlinie anhängenAWSSecurityHubOrganizationsAccess.

Weitere Informationen finden Sie unter AWS verwaltete Richtlinien für AWS Security Hub.

Aktivierung von Security Hub mit Unternehmensintegration

Um Security Hub mit zu verwenden AWS Organizations, legt das AWS Organizations Verwaltungskonto für die Organisation ein Konto als delegiertes Security Hub-Administratorkonto für die Organisation fest. Security Hub wird automatisch im delegierten Administratorkonto in der aktuellen Region aktiviert.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Administrators.

Security Hub console

So bestimmen Sie den delegierten Security Hub-Administrator beim Onboarding

1. Öffnen Sie die AWS Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/.

2. Wählen Sie Gehe zu Security Hub. Sie werden aufgefordert, sich beim Verwaltungskonto der Organizations anzumelden.

3. Geben Sie auf der Seite Delegierten Administrator benennen im Abschnitt Delegiertes Administratorkonto das delegierte Administratorkonto an. Wir empfehlen, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben.

4. Wählen Sie Als delegierten Administrator festlegen aus.

Security Hub API

Rufen Sie die EnableOrganizationAdminAccountAPI über das Verwaltungskonto der Organizations auf. Geben Sie die AWS-Konto ID des delegierten Security Hub-Administratorkontos an.

AWS CLI

Führen Sie den enable-organization-admin-accountBefehl über das Verwaltungskonto der Organizations. Geben Sie die AWS-Konto ID des delegierten Security Hub-Administratorkontos an.

Beispielbefehl:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Weitere Informationen zur Integration mit Organizations finden Sie unterIntegration von Security Hub mit AWS Organizations.

Zentrale Konfiguration

Wenn Sie Security Hub and Organizations integrieren, haben Sie die Möglichkeit, eine Funktion namens zentrale Konfiguration zu verwenden, um Security Hub für Ihr Unternehmen einzurichten und zu verwalten. Wir empfehlen dringend, die zentrale Konfiguration zu verwenden, da der Administrator so den Sicherheitsschutz für das Unternehmen anpassen kann. Gegebenenfalls kann der delegierte Administrator einem Mitgliedskonto gestatten, seine eigenen Sicherheitseinstellungen zu konfigurieren.

Die zentrale Konfiguration ermöglicht es dem delegierten Administrator, Security Hub kontenübergreifend OUs, und AWS-Regionen zu konfigurieren. Der delegierte Administrator konfiguriert Security Hub, indem er Konfigurationsrichtlinien erstellt. In einer Konfigurationsrichtlinie können Sie die folgenden Einstellungen angeben:

• Ob Security Hub aktiviert oder deaktiviert ist

• Welche Sicherheitsstandards sind aktiviert und deaktiviert

• Welche Sicherheitskontrollen sind aktiviert und deaktiviert

• Ob Parameter für ausgewählte Steuerelemente angepasst werden sollen

Als delegierter Administrator können Sie eine einzige Konfigurationsrichtlinie für Ihre gesamte Organisation oder verschiedene Konfigurationsrichtlinien für Ihre verschiedenen Konten und OUs erstellen. Beispielsweise können Testkonten und Produktionskonten unterschiedliche Konfigurationsrichtlinien verwenden.

Mitgliedskonten OUs , die eine Konfigurationsrichtlinie verwenden, werden zentral verwaltet und können nur vom delegierten Administrator konfiguriert werden. Der delegierte Administrator kann bestimmte Mitgliedskonten OUs als selbstverwaltete Konten festlegen, sodass das Mitglied seine eigenen Einstellungen auf dieser Grundlage konfigurieren kann. Region-by-Region

Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub für jedes Konto und jede Region weitgehend separat konfigurieren. Dies wird als lokale Konfiguration bezeichnet. Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub und eine begrenzte Anzahl von Sicherheitsstandards in neuen Unternehmenskonten in der aktuellen Region automatisch aktivieren. Die lokale Konfiguration gilt nicht für bestehende Organisationskonten oder für andere Regionen als die aktuelle Region. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.

Manuelles Aktivieren von Security Hub

Sie müssen Security Hub manuell aktivieren, wenn Sie ein eigenständiges Konto haben oder wenn Sie es nicht integrieren AWS Organizations. Eigenständige Konten können nicht integriert werden AWS Organizations und müssen manuell aktiviert werden.

Wenn Sie Security Hub manuell aktivieren, legen Sie ein Security Hub-Administratorkonto fest und laden andere Konten ein, Mitgliedskonten zu werden. Die Beziehung zwischen Administrator und Mitglied wird hergestellt, wenn ein potenzielles Mitgliedskonto die Einladung annimmt.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Security Hub zu aktivieren. Wenn Sie Security Hub von der Konsole aus aktivieren, haben Sie auch die Möglichkeit, die unterstützten Sicherheitsstandards zu aktivieren.

Security Hub console

1. Öffnen Sie die AWS Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/.

2. Wenn Sie die Security Hub-Konsole zum ersten Mal öffnen, wählen Sie Gehe zu Security Hub.

3. Auf der Willkommensseite werden im Abschnitt Sicherheitsstandards die Sicherheitsstandards aufgeführt, die Security Hub unterstützt.

   Aktivieren Sie das Kontrollkästchen für einen Standard, um ihn zu aktivieren, und deaktivieren Sie das Kontrollkästchen, um ihn zu deaktivieren.

   Sie können einen Standard oder seine einzelnen Steuerelemente jederzeit aktivieren oder deaktivieren. Informationen zur Verwaltung von Sicherheitsstandards finden Sie unterSicherheitsstandards in Security Hub verstehen.

4. Wählen Sie Enable Security Hub (Security Hub aktivieren).

Security Hub API

Rufen Sie die EnableSecurityHubAPI auf. Wenn Sie Security Hub über die API aktivieren, werden automatisch die folgenden Standardsicherheitsstandards aktiviert:

• AWS Bewährte grundlegende Sicherheitsmethoden

• Benchmark v1.2.0 für die AWS Grundlagen des Zentrums für Internetsicherheit (CIS)

Wenn Sie diese Standards nicht aktivieren möchten, setzen Sie EnableDefaultStandards auf false.

Sie können den Tags Parameter auch verwenden, um der Hub-Ressource Tag-Werte zuzuweisen.

AWS CLI

Führen Sie den Befehl enable-security-hub aus. Um die Standardstandards zu aktivieren, schließen Sie ein--enable-default-standards. Um die Standardstandards nicht zu aktivieren, fügen Sie hinzu--no-enable-default-standards. Die Standardsicherheitsstandards lauten wie folgt:

• AWS Bewährte grundlegende Sicherheitsmethoden

• Benchmark v1.2.0 für die AWS Grundlagen des Zentrums für Internetsicherheit (CIS)

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Beispiel

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Skript zur Aktivierung mehrerer Konten

Anmerkung

Anstelle dieses Skripts empfehlen wir, die zentrale Konfiguration zu verwenden, um Security Hub für mehrere Konten und Regionen zu aktivieren und zu konfigurieren.

Das Security Hub-Skript zur Aktivierung mehrerer Konten in GitHub ermöglicht es Ihnen, Security Hub konto- und regionsübergreifend zu aktivieren. Das Skript automatisiert auch den Prozess des Versendens von Einladungen an Mitgliedskonten und der Aktivierung. AWS Config

Das Skript aktiviert automatisch die AWS Config Ressourcenaufzeichnung für alle Ressourcen, einschließlich globaler Ressourcen, in allen Regionen. Es beschränkt die Aufzeichnung globaler Ressourcen nicht auf eine einzelne Region. Um Kosten zu sparen, empfehlen wir, globale Ressourcen nur in einer einzigen Region zu erfassen. Wenn Sie eine zentrale Konfiguration oder regionsübergreifende Aggregation verwenden, sollte dies Ihre Heimatregion sein. Weitere Informationen finden Sie unter Ressourcen aufzeichnen in AWS Config.

Es gibt ein entsprechendes Skript, um Security Hub konto- und regionsübergreifend zu deaktivieren.

Nächste Schritte: Posture-Management und Integrationen

Nach der Aktivierung von Security Hub empfehlen wir, Sicherheitsstandards und -kontrollen zu aktivieren, um Ihren Sicherheitsstatus zu überwachen. Nachdem Sie die Kontrollen aktiviert haben, beginnt Security Hub mit der Durchführung von Sicherheitsprüfungen und generiert Kontrollergebnisse, anhand derer Sie Fehlkonfigurationen in Ihrer AWS Umgebung erkennen können. Um Kontrollergebnisse zu erhalten, müssen Sie Security Hub aktivieren und konfigurieren AWS Config . Weitere Informationen finden Sie unter Aktivierung und Konfiguration AWS Config für Security Hub.

Nachdem Sie Security Hub aktiviert haben, können Sie auch Integrationen zwischen Security Hub und anderen AWS-Services Lösungen und Lösungen von Drittanbietern nutzen, um deren Ergebnisse in Security Hub zu sehen. Security Hub aggregiert Ergebnisse aus verschiedenen Quellen und nimmt sie in einem konsistenten Format auf. Weitere Informationen finden Sie unter Integrationen in Security Hub verstehen.