Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de Security Hub CSPM utilisant AWS CLI
Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide du CSPM AWS Command Line Interface with Security Hub.
Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous indiquent comment appeler des fonctions de service individuelles, vous pouvez les voir en contexte dans leurs scénarios associés.
Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la configuration et l’exécution du code en contexte.
Rubriques
Actions
L'exemple de code suivant montre comment utiliseraccept-administrator-invitation.
- AWS CLI
-
Pour accepter une invitation d’un compte administrateur
L’exemple
accept-administrator-invitationsuivant accepte l’invitation spécifiée du compte administrateur spécifié.aws securityhub accept-invitation \ --administrator-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebCette commande ne produit aucune sortie.
Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous AcceptAdministratorInvitation
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseraccept-invitation.
- AWS CLI
-
Pour accepter une invitation d’un compte administrateur
L’exemple
accept-invitationsuivant accepte l’invitation spécifiée du compte administrateur spécifié.aws securityhub accept-invitation \ --master-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebCette commande ne produit aucune sortie.
Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous AcceptInvitation
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-delete-automation-rules.
- AWS CLI
-
Pour supprimer des règles d’automatisation
L’exemple
batch-delete-automation-rulessuivant supprime la règle d’automatisation spécifiée. Vous pouvez supprimer une ou plusieurs règles à l’aide d’une seule commande. Seul le compte administrateur Security Hub peut exécuter cette commande.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Sortie :
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Pour plus d’informations, consultez Suppression des règles d’automatisation dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchDeleteAutomationRules
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-disable-standards.
- AWS CLI
-
Pour désactiver une norme
L’exemple
batch-disable-standardssuivant désactive la norme associée à l’ARN d’abonnement spécifié.aws securityhub batch-disable-standards \ --standards-subscription-arns"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Sortie :
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Pour plus d’informations, consultez Désactivation ou activation d’une norme de sécurité dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchDisableStandards
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-enable-standards.
- AWS CLI
-
Pour activer une norme
L’exemple
batch-enable-standardssuivant active la norme PCI DSS pour le compte demandeur.aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'Sortie :
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Pour plus d’informations, consultez Désactivation ou activation d’une norme de sécurité dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchEnableStandards
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-automation-rules.
- AWS CLI
-
Pour obtenir les détails d’une règle d’automatisation
L’exemple
batch-get-automation-rulessuivant affiche les détails de la règle d’automatisation spécifiée. Vous pouvez obtenir les détails d’une ou de plusieurs règles d’automatisation à l’aide d’une seule commande.aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Sortie :
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }Pour plus d’informations, consultez Affichage des règles d’automatisation dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchGetAutomationRules
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-configuration-policy-associations.
- AWS CLI
-
Pour obtenir les détails de l’association de configuration d’un lot de cibles
L’exemple
batch-get-configuration-policy-associationssuivant extrait les détails de l’association des cibles spécifiées. Vous pouvez fournir le compte IDs IDs, l'unité organisationnelle ou l'ID racine de la cible.aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Sortie :
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Pour plus d’informations, consultez Affichage des politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchGetConfigurationPolicyAssociations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-security-controls.
- AWS CLI
-
Pour obtenir les détails des contrôles de sécurité
L'
batch-get-security-controlsexemple suivant fournit des détails sur les contrôles de sécurité ACM.1 et IAM.1 dans le compte courant AWS et la région. AWSaws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'Sortie :
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }Pour plus d’informations, consultez Viewing details for a control dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchGetSecurityControls
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-get-standards-control-associations.
- AWS CLI
-
Pour obtenir le statut d’activation d’un contrôle
L’exemple
batch-get-standards-control-associationssuivant indique si les contrôles spécifiés sont activés dans les normes spécifiées.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'Sortie :
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }Pour plus d’informations, consultez Enabling and disabling controls in specific standards dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchGetStandardsControlAssociations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-import-findings.
- AWS CLI
-
Pour mettre à jour un résultat
L’exemple
batch-import-findingssuivant met à jour un résultat.aws securityhub batch-import-findings \ --findings '[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'Sortie :
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }Pour plus d'informations, consultez la section Utiliser BatchImportFindings pour créer et mettre à jour des résultats dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchImportFindings
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-update-automation-rules.
- AWS CLI
-
Pour mettre à jour des règles d’automatisation
L’exemple
batch-update-automation-rulessuivant met à jour la règle d’automatisation spécifiée. Vous pouvez mettre à jour une ou plusieurs règles à l’aide d’une seule commande. Seul le compte administrateur Security Hub peut exécuter cette commande.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'Sortie :
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Pour plus d’informations, consultez Editing automation rules dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchUpdateAutomationRules
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-update-findings.
- AWS CLI
-
Exemple 1 : pour mettre à jour un résultat
L’exemple
batch-update-findingssuivant met à jour deux résultats pour ajouter une note, modifier l’étiquette de sévérité et résoudre le cas.aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'Sortie :
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Pour plus d'informations, consultez la section Utiliser BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l'utilisateur du AWS Security Hub.
Exemple 2 : pour mettre à jour un résultat à l’aide d’une syntaxe abrégée
L’exemple
batch-update-findingssuivant met à jour deux résultats pour ajouter une note, modifier l’étiquette de sévérité et résoudre le cas à l’aide d’une syntaxe abrégée.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"Sortie :
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Pour plus d'informations, consultez la section Utiliser BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchUpdateFindings
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserbatch-update-standards-control-associations.
- AWS CLI
-
Pour obtenir le statut d’activation d’un contrôle dans des normes activées
L'
batch-update-standards-control-associationsexemple suivant désactive la version CloudTrail .1 dans les normes spécifiées.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'Cette commande ne produit aucune sortie lorsqu’elle réussit.
Pour plus d’informations, consultez Enabling and disabling controls in specific standards et Enabling and disabling controls in all standards dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous BatchUpdateStandardsControlAssociations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-action-target.
- AWS CLI
-
Pour créer une action personnalisée
L’exemple
create-action-targetsuivant crée une action personnalisée. Il fournit le nom, la description et l’identifiant de l’action.aws securityhub create-action-target \ --name"Send to remediation"\ --description"Action to send the finding for remediation tracking"\ --id"Remediation"Sortie :
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous CreateActionTarget
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-automation-rule.
- AWS CLI
-
Pour créer une règle d’automatisation
L'
create-automation-ruleexemple suivant crée une règle d'automatisation dans le AWS compte courant et dans AWS la région. Security Hub filtre vos résultats en fonction des critères spécifiés et applique les actions aux résultats correspondants. Seul le compte administrateur Security Hub peut exécuter cette commande.aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description"A sample rule"\ --no-is-terminal \ --rule-name"sample rule"\ --rule-order1\ --rule-status"ENABLED"Sortie :
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Pour plus d’informations, consultez Creating automation rules dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous CreateAutomationRule
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-configuration-policy.
- AWS CLI
-
Pour créer une politique de configuration
L’exemple
create-configuration-policysuivant crée une politique de configuration avec les paramètres spécifiés.aws securityhub create-configuration-policy \ --name"SampleConfigurationPolicy"\ --description"SampleDescription"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'Sortie :
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Pour plus d’informations, consultez Création et association de politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous CreateConfigurationPolicy
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-finding-aggregator.
- AWS CLI
-
Pour activer l’agrégation des résultats
L’exemple
create-finding-aggregatorsuivant configure l’agrégation des résultats. Il est exécuté depuis la région USA Est (Virginie), qui est la région d’agrégation. Il indique de ne lier que les régions spécifiées et de ne pas lier automatiquement de nouvelles régions. Il sélectionne USA Ouest (Californie du Nord) et USA Ouest (Oregon) comme régions liées.aws securityhub create-finding-aggregator \ --regionus-east-1\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Sortie :
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Pour plus d’informations, consultez Activation de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous CreateFindingAggregator
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-insight.
- AWS CLI
-
Pour créer une analyse personnalisée
L'
create-insightexemple suivant crée un aperçu personnalisé nommé Critical Role findings qui renvoie des résultats critiques liés aux AWS rôles.aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute"ResourceId"\ --name"Critical role findings"Sortie :
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Pour plus d’informations, consultez Gestion des aperçus personnalisés dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous CreateInsight
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisercreate-members.
- AWS CLI
-
Pour ajouter des comptes en tant que comptes membres
L’exemple
create-memberssuivant ajoute deux comptes en tant que comptes membres au compte administrateur demandeur.aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'Sortie :
{ "UnprocessedAccounts": [] }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous CreateMembers
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdecline-invitations.
- AWS CLI
-
Pour refuser une invitation à devenir compte membre
L’exemple
decline-invitationssuivant refuse une invitation à devenir compte membre du compte administrateur spécifié. Le compte membre est le compte demandeur.aws securityhub decline-invitations \ --account-ids"123456789012"Sortie :
{ "UnprocessedAccounts": [] }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DeclineInvitations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-action-target.
- AWS CLI
-
Pour supprimer une action personnalisée
L’exemple
delete-action-targetsuivant supprime l’action personnalisée identifiée par l’ARN spécifié.aws securityhub delete-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Sortie :
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DeleteActionTarget
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-configuration-policy.
- AWS CLI
-
Pour supprimer une politique de configuration
L’exemple
delete-configuration-policysuivant supprime la politique de configuration spécifiée.aws securityhub delete-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Deleting and disassociating Security Hub configuration policies dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DeleteConfigurationPolicy
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-finding-aggregator.
- AWS CLI
-
Pour arrêter l’agrégation des résultats
L’exemple
delete-finding-aggregatorsuivant arrête l’agrégation des résultats. Il est exécuté depuis la région USA Est (Virginie), qui est la région d’agrégation.aws securityhub delete-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Arrêt de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DeleteFindingAggregator
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-insight.
- AWS CLI
-
Pour supprimer une analyse personnalisée
L’exemple
delete-insightsuivant supprime l’analyse personnalisée possédant l’ARN spécifié.aws securityhub delete-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Sortie :
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Pour plus d’informations, consultez Gestion des aperçus personnalisés dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DeleteInsight
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-invitations.
- AWS CLI
-
Pour supprimer une invitation à devenir un compte membre
L’exemple
delete-invitationssuivant supprime une invitation à devenir un compte membre du compte administrateur spécifié. Le compte membre est le compte demandeur.aws securityhub delete-invitations \ --account-ids"123456789012"Sortie :
{ "UnprocessedAccounts": [] }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DeleteInvitations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdelete-members.
- AWS CLI
-
Pour supprimer des comptes membres
L’exemple
delete-memberssuivant supprime les comptes membres spécifiés du compte administrateur demandeur.aws securityhub delete-members \ --account-ids"123456789111""123456789222"Sortie :
{ "UnprocessedAccounts": [] }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DeleteMembers
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-action-targets.
- AWS CLI
-
Pour extraire les détails d’actions personnalisées
L’exemple
describe-action-targetssuivant extrait les détails de l’action personnalisée identifiée par l’ARN spécifié.aws securityhub describe-action-targets \ --action-target-arns"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Sortie :
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DescribeActionTargets
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-hub.
- AWS CLI
-
Pour obtenir les informations sur une ressource Hub
L'
describe-hubexemple suivant renvoie la date d'abonnement et d'autres paramètres de configuration pour la ressource de hub spécifiée. La ressource Hub est identifiée par son ARN.aws securityhub describe-hub \ --hub-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Sortie :
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z", "AutoEnableControls": true, "ControlFindingGenerator": "SECURITY_CONTROL" }Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour plus de détails sur l'API, reportez-vous DescribeHub
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-organization-configuration.
- AWS CLI
-
Pour afficher la configuration Security Hub d’une organisation
L’exemple
describe-organization-configurationsuivant renvoie les informations sur la manière dont une organisation est configurée dans Security Hub. Dans cet exemple, l’organisation utilise la configuration centrale. Seul le compte administrateur Security Hub peut exécuter cette commande.aws securityhub describe-organization-configurationSortie :
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }Pour plus d'informations, consultez la section Gestion des comptes auprès d' AWS Organizations dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DescribeOrganizationConfiguration
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-products.
- AWS CLI
-
Pour renvoyer les informations sur les intégrations de produits disponibles
L’exemple
describe-productssuivant renvoie les intégrations de produits disponibles une par une.aws securityhub describe-products \ --max-results1Sortie :
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DescribeProducts
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-standards-controls.
- AWS CLI
-
Pour afficher la liste des contrôles d’une norme activée
L’exemple
describe-standards-controlssuivant demande la liste des contrôles figurant dans l’abonnement du compte demandeur à la norme PCI DSS. La demande renvoie deux contrôles à la fois.aws securityhub describe-standards-controls \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"\ --max-results2Sortie :
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }Pour plus d’informations, consultez Affichage des détails des contrôles dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DescribeStandardsControls
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdescribe-standards.
- AWS CLI
-
Pour renvoyer la liste des normes disponibles
L’exemple
describe-standardssuivant renvoie la liste des normes disponibles.aws securityhub describe-standardsSortie :
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }Pour plus d'informations, consultez la section Normes de sécurité AWS de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DescribeStandards
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisable-import-findings-for-product.
- AWS CLI
-
Pour ne plus recevoir les résultats d’une intégration de produits
L’exemple
disable-import-findings-for-productsuivant désactive le flux de résultats de l’abonnement spécifié à une intégration de produits.aws securityhub disable-import-findings-for-product \ --product-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DisableImportFindingsForProduct
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisable-organization-admin-account.
- AWS CLI
-
Pour supprimer un compte administrateur Security Hub
L'
disable-organization-admin-accountexemple suivant révoque l'attribution du compte spécifié en tant que compte administrateur Security Hub pour AWS Organizations.aws securityhub disable-organization-admin-account \ --admin-account-id777788889999Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Désignation d’un compte administrateur Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DisableOrganizationAdminAccount
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisable-security-hub.
- AWS CLI
-
Pour désactiver AWS Security Hub
L'
disable-security-hubexemple suivant désactive AWS Security Hub pour le compte demandeur.aws securityhub disable-security-hubCette commande ne produit aucune sortie.
Pour plus d'informations, consultez la section Désactivation AWS de Security Hub dans le Guide de l'utilisateur AWS de Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DisableSecurityHub
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisassociate-from-administrator-account.
- AWS CLI
-
Pour se dissocier d’un compte administrateur
L’exemple
disassociate-from-administrator-accountsuivant dissocie le compte demandeur de son compte administrateur actuel.aws securityhub disassociate-from-administrator-accountCette commande ne produit aucune sortie.
Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DisassociateFromAdministratorAccount
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisassociate-from-master-account.
- AWS CLI
-
Pour se dissocier d’un compte administrateur
L’exemple
disassociate-from-master-accountsuivant dissocie le compte demandeur de son compte administrateur actuel.aws securityhub disassociate-from-master-accountCette commande ne produit aucune sortie.
Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DisassociateFromMasterAccount
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserdisassociate-members.
- AWS CLI
-
Pour dissocier des comptes membres
L’exemple
disassociate-memberssuivant dissocie les comptes membres spécifiés du compte administrateur demandeur.aws securityhub disassociate-members \ --account-ids"123456789111""123456789222"Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous DisassociateMembers
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserenable-import-findings-for-product.
- AWS CLI
-
Pour commencer à recevoir les résultats d’une intégration de produits
L’exemple
enable-import-findings-for-productsuivant active le flux de résultats de l’intégration de produits spécifiée.aws securityhub enable-import-findings-for-product \ --product-arn"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"Sortie :
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous EnableImportFindingsForProduct
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserenable-organization-admin-account.
- AWS CLI
-
Pour désigner un compte de l’organisation en tant que compte administrateur Security Hub
L’exemple
enable-organization-admin-accountsuivant désigne le compte spécifié en tant que compte administrateur Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id777788889999Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Désignation d’un compte administrateur Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous EnableOrganizationAdminAccount
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserenable-security-hub.
- AWS CLI
-
Pour activer AWS Security Hub
L'
enable-security-hubexemple suivant active AWS Security Hub pour le compte demandeur. Il configure Security Hub afin qu’il active les normes par défaut. Pour la ressource Hub, il attribue la valeurSecurityà la baliseDepartment.aws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Activation de Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous EnableSecurityHub
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-administrator-account.
- AWS CLI
-
Pour extraire des informations sur un compte administrateur
L’exemple
get-administrator-accountsuivant extrait des informations sur le compte administrateur du compte demandeur.aws securityhub get-administrator-accountSortie :
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetAdministratorAccount
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-configuration-policy-association.
- AWS CLI
-
Pour obtenir les détails de l’association de configuration d’une cible
L’exemple
get-configuration-policy-associationsuivant extrait les détails de l’association de la cible spécifiée. Vous pouvez fournir un ID de compte, un ID d’unité d’organisation ou l’ID racine de la cible.aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Sortie :
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Pour plus d’informations, consultez Affichage des politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetConfigurationPolicyAssociation
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-configuration-policy.
- AWS CLI
-
Pour afficher les détails d’une politique de configuration
L’exemple
get-configuration-policysuivant extrait les détails de la politique de configuration spécifiée.aws securityhub get-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Sortie :
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Pour plus d’informations, consultez Affichage des politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetConfigurationPolicy
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-enabled-standards.
- AWS CLI
-
Pour extraire des informations sur une norme activée
L’exemple
get-enabled-standardssuivant extrait des informations sur la norme PCI DSS.aws securityhub get-enabled-standards \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Sortie :
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Pour plus d'informations, consultez la section Normes de sécurité AWS de Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetEnabledStandards
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-finding-aggregator.
- AWS CLI
-
Pour extraire la configuration actuelle de l’agrégation des résultats
L’exemple
get-finding-aggregatorsuivant extrait la configuration actuelle de l’agrégation des résultats.aws securityhub get-finding-aggregator \ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Sortie :
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Pour plus d’informations, consultez Affichage de la configuration actuelle de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetFindingAggregator
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-finding-history.
- AWS CLI
-
Pour accéder à l’historique d’un résultat
L’exemple
get-finding-historysuivant obtient l’historique du résultat spécifié sur les 90 derniers jours. Dans cet exemple, les résultats sont limités à deux enregistrements de l’historique du résultat.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"Sortie :
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }Pour plus d’informations, consultez Historique du résultat dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetFindingHistory
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-findings.
- AWS CLI
-
Exemple 1 : pour renvoyer les résultats générés pour une norme spécifique
L’exemple
get-findingssuivant renvoie les résultats de la norme PCI DSS.aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items1Sortie :
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }Exemple 2 : pour renvoyer les résultats de gravité critique dont le statut du flux de travail est NOTIFIED
L’exemple
get-findingssuivant renvoie les résultats dont la valeur de l’étiquette de sévérité est CRITICAL et le statut du flux de travail est NOTIFIED. Les résultats sont triés par ordre décroissant en fonction de la valeur de confiance.aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items1Sortie :
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }Pour plus d’informations, consultez Filtrage et regroupement des résultats dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetFindings
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-insight-results.
- AWS CLI
-
Pour extraire les résultats d’une analyse
L’exemple
get-insight-resultssuivant renvoie la liste des résultats de l’analyse possédant l’ARN spécifié.aws securityhub get-insight-results \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Sortie :
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }Pour plus d’informations, consultez Affichage des résultats et actions à effectuer dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetInsightResults
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-insights.
- AWS CLI
-
Pour extraire les détails d’une analyse
L’exemple
get-insightsextrait les détails de la configuration de l’analyse possédant l’ARN spécifié.aws securityhub get-insights \ --insight-arns"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Sortie :
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }Pour plus d'informations, consultez Insights in AWS Security Hub dans le Guide de l'utilisateur de AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetInsights
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-invitations-count.
- AWS CLI
-
Pour extraire le nombre d’invitations qui n’ont pas été acceptées
L’exemple
get-invitations-countsuivant extraire le nombre d’invitations que le compte demandeur a refusées ou auxquelles il n’a pas répondu.aws securityhub get-invitations-countSortie :
{ "InvitationsCount": 3 }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetInvitationsCount
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-master-account.
- AWS CLI
-
Pour extraire des informations sur un compte administrateur
L’exemple
get-master-accountsuivant extrait des informations sur le compte administrateur du compte demandeur.aws securityhub get-master-accountSortie :
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetMasterAccount
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-members.
- AWS CLI
-
Pour extraire des informations sur les comptes membres sélectionnés
L’exemple
get-memberssuivant extrait des informations sur les comptes membres spécifiés.aws securityhub get-members \ --account-ids"444455556666""777788889999"Sortie :
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetMembers
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserget-security-control-definition.
- AWS CLI
-
Pour obtenir les détails de la définition d’un contrôle de sécurité
L’exemple
get-security-control-definitionsuivant extrait les détails de la définition d’un contrôle de sécurité Security Hub. Ces détails incluent le titre, la description, la région et les paramètres du contrôle, ainsi que d’autres informations.aws securityhub get-security-control-definition \ --security-control-idACM.1Sortie :
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }Pour plus d’informations, consultez Paramètres de contrôle personnalisés dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous GetSecurityControlDefinition
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserinvite-members.
- AWS CLI
-
Pour envoyer des invitations à des comptes membres
L’exemple
invite-memberssuivant envoie des invitations aux comptes membres spécifiés.aws securityhub invite-members \ --account-ids"123456789111""123456789222"Sortie :
{ "UnprocessedAccounts": [] }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous InviteMembers
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-automation-rules.
- AWS CLI
-
Pour afficher une liste des règles d’automatisation
L'
list-automation-rulesexemple suivant répertorie les règles d'automatisation d'un AWS compte. Seul le compte administrateur Security Hub peut exécuter cette commande.aws securityhub list-automation-rules \ --max-results3\ --next-tokenNULLSortie :
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }Pour plus d’informations, consultez Affichage des règles d’automatisation dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListAutomationRules
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-configuration-policies.
- AWS CLI
-
Pour obtenir un résumé des politiques de configuration
L’exemple
list-configuration-policiessuivant affiche un résumé des politiques de configuration de l’organisation.aws securityhub list-configuration-policies \ --max-items3Sortie :
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }Pour plus d’informations, consultez Affichage des politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListConfigurationPolicies
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-configuration-policy-associations.
- AWS CLI
-
Pour répertorier les associations de configuration
L’exemple
list-configuration-policy-associationssuivant résume les associations de configuration de l’organisation. La réponse inclut des associations avec des politiques de configuration et des comportements autogérés.aws securityhub list-configuration-policy-associations \ --filters '{"AssociationType": "APPLIED"}' \ --max-items4Sortie :
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }Pour plus d’informations, consultez Viewing configuration policy status and details dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListConfigurationPolicyAssociations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-enabled-products-for-import.
- AWS CLI
-
Pour renvoyer la liste des intégrations de produits activées
L’exemple
list-enabled-products-for-importsuivant renvoie la liste des ARN d’abonnement des intégrations de produits actuellement activées.aws securityhub list-enabled-products-for-importSortie :
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListEnabledProductsForImport
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-finding-aggregators.
- AWS CLI
-
Pour répertorier les widgets disponibles
L’exemple
list-finding-aggregatorssuivant renvoie l’ARN de la configuration de l’agrégation des résultats.aws securityhub list-finding-aggregatorsSortie :
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }Pour plus d’informations, consultez Affichage de la configuration actuelle de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListFindingAggregators
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-invitations.
- AWS CLI
-
Pour afficher une liste d’invitations
L’exemple
list-invitationssuivant extrait la liste des invitations envoyées au compte demandeur.aws securityhub list-invitationsSortie :
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListInvitations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-members.
- AWS CLI
-
Pour extraire une liste des comptes membres
L’exemple
list-memberssuivant renvoie la liste des comptes membres du compte administrateur demandeur.aws securityhub list-membersSortie :
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListMembers
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-organization-admin-accounts.
- AWS CLI
-
Pour répertorier les comptes administrateur Security Hub désignés
L’exemple
list-organization-admin-accountssuivant répertorie les comptes administrateur Security Hub d’une organisation.aws securityhub list-organization-admin-accountsSortie :
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }Pour plus d’informations, consultez Désignation d’un compte administrateur Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListOrganizationAdminAccounts
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-security-control-definitions.
- AWS CLI
-
Exemple 1 : pour répertorier tous les contrôles de sécurité disponibles
L’exemple
list-security-control-definitionssuivant répertorie les contrôles de sécurité disponibles de toutes les normes Security Hub. Cet exemple limite les résultats à trois contrôles.aws securityhub list-security-control-definitions \ --max-items3Sortie :
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }Pour plus d’informations, consultez Viewing details for a standard dans le Guide de l’utilisateur AWS Security Hub.
Exemple 2 : pour répertorier les contrôles de sécurité disponibles d’une norme spécifique
L'
list-security-control-definitionsexemple suivant répertorie les contrôles de sécurité disponibles pour le CIS AWS Foundations Benchmark v1.4.0. Cet exemple limite les résultats à trois contrôles.aws securityhub list-security-control-definitions \ --standards-arn"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"\ --max-items3Sortie :
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }Pour plus d’informations, consultez Viewing details for a standard dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListSecurityControlDefinitions
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-standards-control-associations.
- AWS CLI
-
Pour obtenir le statut d’activation d’un contrôle dans chaque norme activée
L'
list-standards-control-associationsexemple suivant répertorie le statut d'activation de CloudTrail .1 dans chaque norme activée.aws securityhub list-standards-control-associations \ --security-control-idCloudTrail.1Sortie :
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }Pour plus d’informations, consultez Enabling and disabling controls in specific standards dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous ListStandardsControlAssociations
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserlist-tags-for-resource.
- AWS CLI
-
Pour extraire les balises attribuées à une ressource
L’exemple
list-tags-for-resourcesuivant renvoie toutes les balises attribuées à la ressource Hub spécifiée.aws securityhub list-tags-for-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Sortie :
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour plus de détails sur l'API, reportez-vous ListTagsForResource
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserstart-configuration-policy-association.
- AWS CLI
-
Exemple 1 : pour associer une politique de configuration
L’exemple
start-configuration-policy-associationsuivant associe la politique de configuration spécifiée à l’unité organisationnelle spécifiée. Une configuration peut être associée à un compte cible, à une unité organisationnelle ou à la racine.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Sortie :
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Pour plus d’informations, consultez Création et association de politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.
Exemple 2 : pour associer une configuration autogérée
L’exemple
start-configuration-policy-associationsuivant associe une configuration autogérée au compte spécifié.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"OrganizationalUnitId": "123456789012"}'Sortie :
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Pour plus d’informations, consultez Création et association de politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous StartConfigurationPolicyAssociation
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserstart-configuration-policy-disassociation.
- AWS CLI
-
Exemple 1 : pour dissocier une politique de configuration
L’exemple
start-configuration-policy-disassociationsuivant dissocie la politique de configuration spécifiée de l’unité organisationnelle spécifiée. Une configuration peut être dissociée d’un compte cible, d’une unité d’organisation ou de la racine.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Cette commande ne produit aucune sortie.
Pour plus d'informations, consultez Dissocier une configuration des comptes et OUs dans le Guide de l'utilisateur du AWS Security Hub.
Exemple 2 : pour dissocier une configuration autogérée
L’exemple
start-configuration-policy-disassociationsuivant dissocie une configuration autogérée du compte spécifié.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"AccountId": "123456789012"}'Cette commande ne produit aucune sortie.
Pour plus d'informations, consultez Dissocier une configuration des comptes et OUs dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous StartConfigurationPolicyDisassociation
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utilisertag-resource.
- AWS CLI
-
Pour attribuer une balise à une ressource
L’exemple
tag-resourcesuivant attribue les valeurs des balises Department et Area à la ressource Hub spécifiée.aws securityhub tag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tags '{"Department":"Operations", "Area":"USMidwest"}'Cette commande ne produit aucune sortie.
Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour plus de détails sur l'API, reportez-vous TagResource
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliseruntag-resource.
- AWS CLI
-
Pour supprimer une valeur de balise d’une ressource
L’exemple
untag-resourcesuivant supprime la balise Department de la ressource Hub spécifiée.aws securityhub untag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tag-keys"Department"Cette commande ne produit aucune sortie.
Pour plus d'informations, consultez AWS: : SecurityHub : :Hub dans le guide de l'AWS CloudFormation utilisateur.
-
Pour plus de détails sur l'API, reportez-vous UntagResource
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-action-target.
- AWS CLI
-
Pour mettre à jour une action personnalisée
L’exemple
update-action-targetsuivant met à jour le nom de l’action personnalisée identifiée par l’ARN spécifié.aws securityhub update-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"\ --name"Send to remediation"Cette commande ne produit aucune sortie.
Pour plus d'informations, consultez la section Création d'une action personnalisée et association de celle-ci à une règle d' CloudWatch événements dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateActionTarget
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-configuration-policy.
- AWS CLI
-
Pour mettre à jour une politique de configuration
L’exemple
update-configuration-policysuivant met à jour une politique de configuration existante afin qu’elle utilise les paramètres spécifiés.aws securityhub update-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"\ --name"SampleConfigurationPolicyUpdated"\ --description"SampleDescriptionUpdated"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"Sortie :
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }Pour plus d’informations, consultez Mise à jour des politiques de configuration de Security Hub dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateConfigurationPolicy
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-finding-aggregator.
- AWS CLI
-
Pour mettre à jour la configuration actuelle de l’agrégation des résultats
L’exemple
update-finding-aggregatorsuivant modifie la configuration de l’agrégation des résultats pour associer cette dernière aux régions sélectionnées. Il est exécuté depuis la région USA Est (Virginie), qui est la région d’agrégation. Il sélectionne USA Ouest (Californie du Nord) et USA Ouest (Oregon) comme régions liées.aws securityhub update-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Mise à jour de la configuration de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateFindingAggregator
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-insight.
- AWS CLI
-
Exemple 1 : pour modifier le filtre d’une analyse personnalisée
L’exemple
update-insightsuivant modifie le filtre d’une analyse personnalisée. Les informations mises à jour recherchent les résultats très graves liés aux AWS rôles.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name"High severity role findings"Exemple 2 : pour modifier l’attribut de regroupement d’une analyse personnalisée
L’exemple
update-insightsuivant modifie l’attribut de regroupement de l’analyse personnalisée possédant l’ARN spécifié. Le nouvel attribut de regroupement est l’ID de la ressource.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --group-by-attribute"ResourceId"\ --name"Critical role findings"Sortie :
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }Pour plus d’informations, consultez Gestion des aperçus personnalisés dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateInsight
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-organization-configuration.
- AWS CLI
-
Pour mettre à jour la configuration Security Hub d’une organisation
L’exemple
update-organization-configurationsuivant indique que Security Hub doit utiliser la configuration centrale pour configurer une organisation. Après avoir exécuté cette commande, l’administrateur délégué Security Hub peut créer et gérer des politiques de configuration pour configurer l’organisation. L’administrateur délégué peut également utiliser cette commande pour passer de la configuration centrale à la configuration locale. Si la configuration est locale, l’administrateur délégué peut choisir d’activer automatiquement Security Hub et les normes de sécurité par défaut dans les nouveaux comptes de l’organisation.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'Cette commande ne produit aucune sortie.
Pour plus d'informations, consultez la section Gestion des comptes auprès d' AWS Organizations dans le Guide de l'utilisateur du AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateOrganizationConfiguration
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-security-control.
- AWS CLI
-
Pour mettre à jour les propriétés d’un contrôle de sécurité
L’exemple
update-security-controlsuivant spécifie les valeurs personnalisées d’un paramètre de contrôle de sécurité Security Hub.aws securityhub update-security-control \ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Paramètres de contrôle personnalisés dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateSecurityControl
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-security-hub-configuration.
- AWS CLI
-
Pour mettre à jour la configuration de Security Hub
L’exemple
update-security-hub-configurationsuivant configure Security Hub afin qu’il active automatiquement de nouveaux contrôles pour les normes activées.aws securityhub update-security-hub-configuration \ --auto-enable-controlsCette commande ne produit aucune sortie.
Pour plus d’informations, consultez Enabling new controls automatically dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateSecurityHubConfiguration
à la section Référence des AWS CLI commandes.
-
L'exemple de code suivant montre comment utiliserupdate-standards-control.
- AWS CLI
-
Exemple 1 : pour désactiver un contrôle
L'
update-standards-controlexemple suivant désactive le PCI. AutoScaling1. Contrôle.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"DISABLED"\ --disabled-reason"Not applicable for my service"Cette commande ne produit aucune sortie.
Exemple 2 : pour activer un contrôle
L'
update-standards-controlexemple suivant active le PCI. AutoScaling1. Contrôle.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"ENABLED"Cette commande ne produit aucune sortie.
Pour plus d’informations, consultez Désactivation et activation des contrôles individuels dans le Guide de l’utilisateur AWS Security Hub.
-
Pour plus de détails sur l'API, reportez-vous UpdateStandardsControl
à la section Référence des AWS CLI commandes.
-
