Aktualisierung der Security Hub Hub-Konfigurationsrichtlinien

Das delegierte Administratorkonto kann die AWS Security Hub Konfigurationsrichtlinien nach Bedarf aktualisieren. Der delegierte Administrator kann die Richtlinieneinstellungen, die Konten oder Organisationseinheiten, denen eine Richtlinie zugeordnet ist, oder beides aktualisieren. Wenn die Richtlinieneinstellungen aktualisiert werden, verwenden Konten, die der Konfigurationsrichtlinie zugeordnet sind, automatisch die aktualisierte Richtlinie.

Ähnlich wie bei der Erstellung der Konfigurationsrichtlinie können Sie die folgenden Richtlinieneinstellungen aktualisieren:

• Aktivieren oder deaktivieren Sie Security Hub.

• Aktivieren Sie einen oder mehrere Sicherheitsstandards.

• Geben Sie an, welche Sicherheitskontrollen für alle aktivierten Standards aktiviert sind. Sie können dies tun, indem Sie eine Liste bestimmter Steuerelemente bereitstellen, die aktiviert werden sollten, und Security Hub deaktiviert alle anderen Steuerelemente, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden. Alternativ können Sie eine Liste mit bestimmten Steuerelementen bereitstellen, die deaktiviert werden sollten, und Security Hub aktiviert alle anderen Kontrollen, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden.

• Passen Sie optional die Parameter für ausgewählte aktivierte Steuerelemente für alle aktivierten Standards an.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Aktualisieren einer Konfigurationsrichtlinie.

Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub automatisch Steuerungen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren. Wenn Sie die zentrale Konfiguration verwenden, fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion und einer der verknüpften Regionen nicht verfügbar ist. Eine Liste der Steuerelemente, die globale Ressourcen betreffen, finden Sie unterKontrollen, die sich mit globalen Ressourcen befassen.

Console

So aktualisieren Sie die Konfigurationsrichtlinien

1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

3. Wählen Sie die Registerkarte Policies.

4. Wählen Sie die Konfigurationsrichtlinie aus, die Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Falls gewünscht, bearbeiten Sie die Richtlinieneinstellungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinieneinstellungen unverändert lassen möchten.

5. Wählen Sie Weiter. Falls gewünscht, bearbeiten Sie die Richtlinienverknüpfungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinienverknüpfungen unverändert lassen möchten. Sie können die Richtlinie bei der Aktualisierung maximal 15 Zielen (Konten, Organisationseinheiten oder Root) zuordnen oder deren Zuordnung aufheben.

6. Wählen Sie Weiter aus.

7. Überprüfen Sie Ihre Änderungen und wählen Sie Speichern und anwenden. In Ihrer Heimatregion und den verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten können über eine Anwendung oder durch Vererbung von einem übergeordneten Knoten mit einer Konfigurationsrichtlinie verknüpft werden.

API

Um die Konfigurationsrichtlinien zu aktualisieren

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, rufen Sie die UpdateConfigurationPolicyAPI über das delegierte Security Hub-Administratorkonto in der Heimatregion auf.

2. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten.

3. Geben Sie aktualisierte Werte für die Felder unter einConfigurationPolicy. Optional können Sie auch einen Grund für die Aktualisierung angeben.

4. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, rufen Sie die StartConfigurationPolicyAssociationAPI über das delegierte Security Hub-Administratorkonto in der Heimatregion auf. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, rufen Sie die StartConfigurationPolicyDisassociationAPI über das delegierte Security Hub-Administratorkonto in der Heimatregion auf.

5. Geben Sie für das ConfigurationPolicyIdentifier Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

6. Geben Sie für das Target Feld die Konten, Organisationseinheiten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen Organisationseinheiten oder Konten außer Kraft.

Anmerkung

Wenn Sie die UpdateConfigurationPolicy API aufrufen, führt Security Hub eine vollständige Listenersetzung für die SecurityControlCustomParameters FelderEnabledStandardIdentifiers, EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers, und durch. Geben Sie bei jedem Aufruf dieser API die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren und deren Parameter anpassen möchten.

Beispiel für eine API-Anfrage zur Aktualisierung einer Konfigurationsrichtlinie:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
                

AWS CLI

Um die Konfigurationsrichtlinien zu aktualisieren

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, führen Sie den update-configuration-policyBefehl über das delegierte Security Hub-Administratorkonto in der Heimatregion aus.

2. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten.

3. Geben Sie aktualisierte Werte für die Felder unter einconfiguration-policy. Optional können Sie auch einen Grund für die Aktualisierung angeben.

4. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, führen Sie den start-configuration-policy-associationBefehl über das delegierte Security Hub-Administratorkonto in der Heimatregion aus. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, führen Sie den start-configuration-policy-disassociationBefehl über das delegierte Security Hub-Administratorkonto in der Heimatregion aus.

5. Geben Sie für das configuration-policy-identifier Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

6. Geben Sie für das target Feld die Konten, Organisationseinheiten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen Organisationseinheiten oder Konten außer Kraft.

Anmerkung

Wenn Sie den update-configuration-policy Befehl ausführen, führt Security Hub eine vollständige Listenersetzung für die SecurityControlCustomParameters Felder EnabledStandardIdentifiersEnabledSecurityControlIdentifiers,DisabledSecurityControlIdentifiers, und durch. Geben Sie bei jeder Ausführung dieses Befehls die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren und deren Parameter anpassen möchten.

Beispielbefehl zum Aktualisieren einer Konfigurationsrichtlinie:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
                

Die StartConfigurationPolicyAssociation API gibt ein Feld namens zurückAssociationStatus. In diesem Feld erfahren Sie, ob eine Richtlinienverknüpfung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von PENDING zu SUCCESS oder ändertFAILURE. Weitere Informationen zum Zuordnungsstatus finden Sie unterZuordnungsstatus einer Konfiguration.