Aktualisierung der Konfigurationsrichtlinien

Nach der Erstellung einer Konfigurationsrichtlinie kann das delegierte AWS Security Hub Administratorkonto die Richtliniendetails und Richtlinienverknüpfungen aktualisieren. Wenn die Richtliniendetails aktualisiert werden, verwenden Konten, die der Konfigurationsrichtlinie zugeordnet sind, automatisch die aktualisierte Richtlinie.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub.

Der delegierte Administrator kann die folgenden Richtlinieneinstellungen aktualisieren:

• Aktivieren oder deaktivieren Sie Security Hub.

• Aktivieren Sie einen oder mehrere Sicherheitsstandards.

• Geben Sie an, welche Sicherheitskontrollen für alle aktivierten Standards aktiviert sind. Sie können dies tun, indem Sie eine Liste bestimmter Steuerelemente bereitstellen, die aktiviert werden sollten, und Security Hub deaktiviert alle anderen Steuerelemente, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden. Alternativ können Sie eine Liste mit bestimmten Steuerelementen bereitstellen, die deaktiviert werden sollten, und Security Hub aktiviert alle anderen Kontrollen, einschließlich neuer Steuerelemente, wenn sie veröffentlicht werden.

• Passen Sie optional die Parameter für ausgewählte aktivierte Steuerelemente für alle aktivierten Standards an.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Aktualisieren einer Konfigurationsrichtlinie.

Anmerkung

Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub automatisch Steuerungen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Andere Steuerelemente, die Sie über eine Konfigurationsrichtlinie aktivieren, sind in allen Regionen aktiviert, in denen sie verfügbar sind. Um die Ergebnisse für diese Steuerelemente auf nur eine Region zu beschränken, können Sie Ihre AWS Config Rekordereinstellungen aktualisieren und die globale Ressourcenaufzeichnung in allen Regionen außer der Heimatregion deaktivieren.

Wenn ein aktiviertes Steuerelement, das globale Ressourcen umfasst, in der Heimatregion nicht unterstützt wird, versucht Security Hub, das Steuerelement in einer verknüpften Region zu aktivieren, in der das Steuerelement unterstützt wird. Bei zentraler Konfiguration fehlt Ihnen die Abdeckung für ein Steuerelement, das in der Heimatregion oder einer der verknüpften Regionen nicht verfügbar ist.

Eine Liste der Steuerelemente, die globale Ressourcen betreffen, finden Sie unterSteuerungen, die globale Ressourcen verwenden.

Steuerungen, die globale Ressourcen verwenden.

.

Console

So aktualisieren Sie die Konfigurationsrichtlinien

1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

3. Wählen Sie die Registerkarte Policies.

4. Wählen Sie die Konfigurationsrichtlinie aus, die Sie bearbeiten möchten, und wählen Sie Bearbeiten aus. Falls gewünscht, bearbeiten Sie die Richtlinieneinstellungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinieneinstellungen unverändert lassen möchten.

5. Wählen Sie Weiter. Falls gewünscht, bearbeiten Sie die Richtlinienverknüpfungen. Lassen Sie diesen Abschnitt unverändert, wenn Sie die Richtlinienverknüpfungen unverändert lassen möchten. Sie können die Richtlinie bei der Aktualisierung maximal 15 Zielen (Konten oder Root) zuordnen oder deren Zuordnung aufheben. OUs

6. Wählen Sie Weiter.

7. Überprüfen Sie Ihre Änderungen und wählen Sie Speichern und anwenden. In Ihrer Heimatregion und den verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft, die dieser Konfigurationsrichtlinie zugeordnet sind. Konten können über eine Anwendung oder durch Vererbung von einem übergeordneten Knoten mit einer Konfigurationsrichtlinie verknüpft werden.

API

Um die Konfigurationsrichtlinien zu aktualisieren

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, rufen Sie den UpdateConfigurationPolicyAPI aus dem delegierten Security Hub-Administratorkonto in der Heimatregion.

2. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten.

3. Geben Sie aktualisierte Werte für die Felder unter einConfigurationPolicy. Optional können Sie auch einen Grund für die Aktualisierung angeben.

4. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, rufen Sie den StartConfigurationPolicyAssociationAPI aus dem delegierten Security Hub-Administratorkonto in der Heimatregion. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, rufen Sie den StartConfigurationPolicyDisassociationAPI aus dem delegierten Security Hub-Administratorkonto in der Heimatregion.

5. Geben Sie für das ConfigurationPolicyIdentifier Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

6. Geben Sie für das Target Feld die Konten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. OUs Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen OUs Konten außer Kraft.

Anmerkung

Wenn Sie die UpdateConfigurationPolicy API aufrufen, führt Security Hub eine vollständige Listenersetzung für die SecurityControlCustomParameters FelderEnabledStandardIdentifiers, EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers, und durch. Geben Sie bei jedem Aufruf dieser API die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren und für die Sie die Parameter anpassen möchten.

Beispiel für eine API-Anfrage zur Aktualisierung einer Konfigurationsrichtlinie:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
                

AWS CLI

Um die Konfigurationsrichtlinien zu aktualisieren

1. Um die Einstellungen in einer Konfigurationsrichtlinie zu aktualisieren, führen Sie den update-configuration-policyBefehl vom delegierten Security Hub-Administratorkonto in der Heimatregion.

2. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie an, die Sie aktualisieren möchten.

3. Geben Sie aktualisierte Werte für die Felder unter einconfiguration-policy. Optional können Sie auch einen Grund für die Aktualisierung angeben.

4. Um neue Verknüpfungen für diese Konfigurationsrichtlinie hinzuzufügen, führen Sie den start-configuration-policy-associationBefehl vom delegierten Security Hub-Administratorkonto in der Heimatregion. Um eine oder mehrere aktuelle Verknüpfungen zu entfernen, führen Sie den start-configuration-policy-disassociationBefehl vom delegierten Security Hub-Administratorkonto in der Heimatregion.

5. Geben Sie für das configuration-policy-identifier Feld den ARN oder die ID der Konfigurationsrichtlinie ein, deren Verknüpfungen Sie aktualisieren möchten.

6. Geben Sie für das target Feld die Konten oder die Root-ID ein, die Sie zuordnen oder trennen möchten. OUs Diese Aktion setzt vorherige Richtlinienzuordnungen für die angegebenen OUs Konten außer Kraft.

Anmerkung

Wenn Sie den update-configuration-policy Befehl ausführen, führt Security Hub eine vollständige Listenersetzung für die SecurityControlCustomParameters Felder EnabledStandardIdentifiersEnabledSecurityControlIdentifiers,DisabledSecurityControlIdentifiers, und durch. Geben Sie bei jeder Ausführung dieses Befehls die vollständige Liste der Standards an, die Sie aktivieren möchten, sowie die vollständige Liste der Steuerelemente, die Sie aktivieren oder deaktivieren und deren Parameter anpassen möchten.

Beispielbefehl zum Aktualisieren einer Konfigurationsrichtlinie:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
                

Die StartConfigurationPolicyAssociation API gibt ein Feld namens zurückAssociationStatus. In diesem Feld erfahren Sie, ob eine Richtlinienverknüpfung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von PENDING zu SUCCESS oder ändertFAILURE. Weitere Informationen zum Assoziationsstatus finden Sie unterÜberprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie.