Modification des paramètres de contrôle dans Security Hub - AWS Security Hub
Effet de la modification des valeurs des paramètres de contrôleContrôles prenant en charge les paramètres personnalisésRévision des valeurs des paramètres de contrôle actuelsVérification de l'état des modifications de paramètres

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modification des paramètres de contrôle dans Security Hub

Certains contrôles AWS Security Hub utilisent des paramètres qui affectent la manière dont le contrôle est évalué. Généralement, ces contrôles sont évalués par rapport aux valeurs de paramètres par défaut définies par Security Hub. Toutefois, pour un sous-ensemble de ces contrôles, vous pouvez modifier les valeurs des paramètres. Lorsque vous modifiez la valeur d'un paramètre de contrôle, Security Hub commence à évaluer le contrôle par rapport à la valeur que vous spécifiez. Si la ressource sous-jacente au contrôle répond à la valeur personnalisée, Security Hub génère un PASSED résultat. Si la ressource ne correspond pas à la valeur personnalisée, Security Hub génère un FAILED résultat.

En personnalisant les paramètres de contrôle, vous pouvez affiner les meilleures pratiques de sécurité recommandées et surveillées par Security Hub afin de les aligner sur les exigences de votre entreprise et vos attentes en matière de sécurité. Au lieu de supprimer les résultats d'un contrôle, vous pouvez personnaliser un ou plusieurs de ses paramètres pour obtenir des résultats adaptés à vos besoins de sécurité.

Voici quelques exemples de cas d'utilisation pour modifier les paramètres de contrôle et définir des valeurs personnalisées :

  • [CloudWatch.16] — les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

    Vous pouvez définir la durée de conservation.

  • [IAM.7] — Les politiques de mot de passe pour IAM les utilisateurs doivent avoir des configurations solides

    Vous pouvez définir des paramètres liés à la solidité du mot de passe.

  • [EC2.18] — Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

    Vous pouvez spécifier les ports autorisés à autoriser le trafic entrant sans restriction.

  • [Lambda.5] — Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité

    Vous pouvez spécifier le nombre minimum de zones de disponibilité qui produisent un résultat réussi.

Cette section décrit les éléments à prendre en compte lorsque vous modifiez les paramètres de contrôle.

Effet de la modification des valeurs des paramètres de contrôle

Lorsque vous modifiez la valeur d'un paramètre, vous déclenchez également un nouveau contrôle de sécurité qui évalue le contrôle en fonction de la nouvelle valeur. Security Hub génère ensuite de nouveaux résultats de contrôle en fonction de la nouvelle valeur. Lors des mises à jour périodiques visant à contrôler les résultats, Security Hub utilise également la nouvelle valeur du paramètre. Si vous modifiez les valeurs des paramètres d'un contrôle, mais que vous n'avez activé aucune norme incluant le contrôle, Security Hub n'effectue aucun contrôle de sécurité à l'aide des nouvelles valeurs. Vous devez activer au moins une norme pertinente pour que Security Hub évalue le contrôle en fonction de la nouvelle valeur du paramètre.

Un contrôle peut comporter un ou plusieurs paramètres personnalisables. Les types de données possibles pour chaque paramètre de contrôle sont les suivants :

  • Booléen

  • Double

  • Enum

  • EnumList

  • Entier

  • IntegerList

  • Chaîne

  • StringList

Les valeurs de paramètres personnalisées s'appliquent à toutes vos normes activées. Vous ne pouvez pas personnaliser les paramètres d'un contrôle qui n'est pas pris en charge dans votre région actuelle. Pour une liste des limites régionales pour les contrôles individuels, voirLimites régionales en matière de contrôles.

Pour certaines commandes, les valeurs de paramètres acceptables doivent se situer dans une plage spécifiée pour être valides. Dans ces cas, Security Hub fournit la plage acceptable.

Security Hub choisit les valeurs des paramètres par défaut et peut parfois les mettre à jour. Une fois que vous avez personnalisé un paramètre de contrôle, sa valeur reste celle que vous avez spécifiée pour le paramètre, sauf si vous la modifiez. En d'autres termes, le paramètre arrête de suivre les mises à jour de la valeur par défaut de Security Hub, même si la valeur personnalisée du paramètre correspond à la valeur par défaut actuelle définie par Security Hub. Voici un exemple pour le contrôle [ACM.1] : les certificats importés et ACM émis doivent être renouvelés après une période spécifiée :

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Dans l'exemple précédent, le daysToExpiration paramètre possède une valeur personnalisée de30. La valeur par défaut actuelle pour ce paramètre est également30. Si Security Hub remplace la valeur par défaut par14, le paramètre de cet exemple ne suivra pas cette modification. Il conservera une valeur de30.

Si vous souhaitez suivre les mises à jour de la valeur par défaut du Security Hub pour un paramètre, définissez le ValueType champ sur au DEFAULT lieu deCUSTOM. Pour de plus amples informations, veuillez consulter Revenir aux paramètres de contrôle par défaut dans un seul compte et une seule région.

Contrôles prenant en charge les paramètres personnalisés

Pour obtenir la liste des contrôles de sécurité prenant en charge les paramètres personnalisés, consultez la page Contrôles de la console Security Hub ou leRéférence des contrôles Security Hub. Pour récupérer cette liste par programmation, vous pouvez utiliser l'ListSecurityControlDefinitionsopération. Dans la réponse, l'CustomizablePropertiesobjet indique quelles commandes prennent en charge les paramètres personnalisables.

Révision des valeurs des paramètres de contrôle actuels

Vous pouvez consulter les valeurs actuelles des différents paramètres de contrôle de votre compte. Si vous utilisez la configuration centralisée, l'administrateur délégué du Security Hub peut également consulter les valeurs des paramètres spécifiées dans une politique de configuration.

Choisissez votre méthode préférée et suivez les étapes pour vérifier les valeurs actuelles des paramètres de contrôle.

Security Hub console
Pour consulter les valeurs actuelles des paramètres de contrôle (console)

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le volet de navigation, choisissez Controls. Choisissez un contrôle.

  3. Sélectionnez l’onglet Paramètres. Cet onglet affiche les valeurs des paramètres actuels du contrôle.

Security Hub API

Pour consulter les valeurs actuelles des paramètres de contrôle (API)

Invoquez le BatchGetSecurityControlsAPI, et fournissez un ou plusieurs contrôles de sécurité IDs ouARNs. L'Parametersobjet de la réponse indique les valeurs de paramètres actuelles pour les contrôles spécifiés.

Par exemple, la AWS CLI commande suivante indique les valeurs des paramètres actuels pour APIGatway.1CloudWatch.15, etIAM.7. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'

Choisissez votre méthode préférée pour afficher les valeurs des paramètres actuels dans une politique de configuration centrale.

Security Hub console
Pour consulter les valeurs actuelles des paramètres de contrôle dans une politique de configuration (console)

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.

  2. Dans le volet de navigation, sélectionnez Paramètres et configuration.

  3. Dans l'onglet Stratégies, sélectionnez la politique de configuration, puis choisissez Afficher les détails. Les détails de la politique apparaissent alors, y compris les valeurs des paramètres actuels.

Security Hub API
Pour consulter les valeurs actuelles des paramètres de contrôle dans une politique de configuration (API)

  1. Invoquez le compte GetConfigurationPolicyAPId'administrateur délégué de la région d'origine.

  2. Indiquez le ARN ou l'ID de la politique de configuration dont vous souhaitez consulter les détails. La réponse inclut les valeurs des paramètres actuels.

Par exemple, la AWS CLI commande suivante récupère les valeurs actuelles des paramètres de contrôle dans la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Les résultats de vos contrôles indiquent également les valeurs des paramètres actuels. Dans leAWS Format de recherche de sécurité (ASFF), ces valeurs apparaissent dans le Parameters champ de l'Complianceobjet. Pour consulter les résultats sur la console Security Hub, choisissez Findings dans le volet de navigation. Pour examiner les résultats par programmation, utilisez l'GetFindingsopération.

Note

Après la publication de la fonctionnalité de paramètres de contrôle personnalisés, Security Hub mettra à jour les résultats de contrôle existants pour inclure le Parameters ASFF champ. Cela peut prendre jusqu'à 24 heures.

Vérification de l'état des modifications de paramètres

Il est important de valider et de vérifier l'état des modifications apportées aux paramètres de contrôle. Cela permet de garantir qu'un contrôle fonctionne comme prévu et fournit la valeur de sécurité escomptée. Pour vérifier qu'une mise à jour des paramètres a réussi, vous pouvez consulter les détails du contrôle sur la console Security Hub. Sur la console, choisissez le contrôle pour en afficher les détails. L'onglet Paramètres indique l'état de la modification des paramètres.

Par programmation, si votre demande de mise à jour d'un paramètre est valide, la valeur du UpdateStatus champ se trouve UPDATING dans une réponse à l'BatchGetSecurityControlsopération. Cela signifie que la mise à jour était valide, mais il se peut que vos résultats n'incluent pas encore les valeurs de paramètres mises à jour. Lorsque la valeur de UpdateState change deREADY, vos résultats commencent à inclure les valeurs de paramètres mises à jour.

L'UpdateSecurityControlopération renvoie une InvalidInputException réponse pour les valeurs de paramètres non valides. La réponse fournit des détails supplémentaires sur la raison de l'échec. Par exemple, vous avez peut-être spécifié une valeur située en dehors de la plage valide pour un paramètre. Ou bien, vous avez spécifié une valeur qui n'utilise pas le type de données correct. Soumettez à nouveau votre demande avec des données valides. Si la mise à jour d'un paramètre échoue, Security Hub conserve la valeur actuelle du paramètre.

En cas de défaillance interne lorsque vous essayez de mettre à jour la valeur d'un paramètre, Security Hub réessaie automatiquement si vous l'avez AWS Config activé. Pour de plus amples informations, veuillez consulter Configuration AWS Config pour Security Hub.