Personnalisation des valeurs des paramètres de contrôle

Les instructions de personnalisation des paramètres de contrôle varient selon que vous utilisez ou non la configuration centralisée dans AWS Security Hub. La configuration centrale est une fonctionnalité que l'administrateur délégué du Security Hub peut utiliser pour configurer les fonctionnalités du Security Hub entre Régions AWS les comptes et les unités organisationnelles (OUs).

Si votre organisation utilise une configuration centralisée, l'administrateur délégué peut créer des politiques de configuration qui incluent des paramètres de contrôle personnalisés. Ces politiques peuvent être associées à des comptes membres gérés de manière centralisée et OUs elles entrent en vigueur dans votre région d'origine et dans toutes les régions associées. L'administrateur délégué peut également désigner un ou plusieurs comptes comme étant autogérés, ce qui permet au propriétaire du compte de configurer ses propres paramètres séparément dans chaque région. Si votre organisation n'utilise pas de configuration centralisée, vous devez personnaliser les paramètres de contrôle séparément dans chaque compte et région.

Nous vous recommandons d'utiliser une configuration centralisée, car elle vous permet d'aligner les valeurs des paramètres de contrôle entre les différentes parties de votre organisation. Par exemple, tous vos comptes de test peuvent utiliser certaines valeurs de paramètres, et tous les comptes de production peuvent utiliser des valeurs différentes.

Personnalisation des paramètres de contrôle dans plusieurs comptes et régions

Si vous êtes l'administrateur délégué du Security Hub pour une organisation utilisant une configuration centralisée, choisissez votre méthode préférée et suivez les étapes pour personnaliser les paramètres de contrôle sur plusieurs comptes et régions.

Security Hub console

Pour personnaliser les valeurs des paramètres de contrôle dans plusieurs comptes et régions (console)

1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

   Assurez-vous d'être connecté à votre région d'origine.

2. Dans le volet de navigation, sélectionnez Paramètres et configuration.

3. Choisissez l'onglet Policies.

4. Pour créer une nouvelle politique de configuration incluant des paramètres personnalisés, choisissez Create policy. Pour spécifier des paramètres personnalisés dans une politique de configuration existante, sélectionnez la stratégie, puis choisissez Modifier.

   Pour créer une nouvelle politique de configuration avec des valeurs de paramètres de contrôle personnalisées

   1. Dans la section Politique personnalisée, choisissez les normes et contrôles de sécurité que vous souhaitez activer.

   2. Sélectionnez Personnaliser les paramètres de contrôle.

   3. Sélectionnez un contrôle, puis spécifiez des valeurs personnalisées pour un ou plusieurs paramètres.

   4. Pour personnaliser les paramètres d'autres contrôles, choisissez Personnaliser le contrôle supplémentaire.

   5. Dans la section Comptes, sélectionnez les comptes OUs auxquels vous souhaitez appliquer la politique.

   6. Choisissez Suivant.

   7. Choisissez Créer une politique et appliquez. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.

   Pour personnaliser les valeurs des paramètres de contrôle dans une politique de configuration existante

   1. Dans la section Contrôles, sous Politique personnalisée, spécifiez les nouvelles valeurs de paramètres personnalisés que vous souhaitez.

   2. Si c'est la première fois que vous personnalisez les paramètres de contrôle dans cette politique, sélectionnez Personnaliser les paramètres de contrôle, puis sélectionnez un contrôle à personnaliser. Pour personnaliser les paramètres d'autres contrôles, choisissez Personnaliser le contrôle supplémentaire.

   3. Dans la section Comptes, vérifiez les comptes OUs auxquels vous souhaitez appliquer la politique.

   4. Choisissez Suivant.

   5. Vérifiez vos modifications et vérifiez qu'elles sont correctes. Lorsque vous avez terminé, choisissez Enregistrer la politique et appliquez. Dans votre région d'origine et dans toutes les régions associées, cette action remplace les paramètres de configuration existants des OUs comptes associés à cette politique de configuration. Les comptes OUs peuvent être associés à une politique de configuration par le biais d'une application directe ou d'un héritage d'un parent.

Security Hub API

Pour personnaliser les valeurs des paramètres de contrôle dans plusieurs comptes et régions (API)

Pour créer une nouvelle politique de configuration avec des valeurs de paramètres de contrôle personnalisées

1. Invoquez le CreateConfigurationPolicyAPIdepuis le compte d'administrateur délégué de la région d'origine.

2. Pour l'SecurityControlCustomParametersobjet, indiquez l'identifiant de chaque contrôle que vous souhaitez personnaliser.

3. Pour l'Parametersobjet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, CUSTOM prévoyezValueType. PourValue, indiquez le type de données du paramètre et la valeur personnalisée. Le Value champ ne peut pas être vide alors qu'il l'ValueTypeestCUSTOM. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en invoquant le GetSecurityControlDefinition API.

Pour personnaliser les valeurs des paramètres de contrôle dans une politique de configuration existante

1. Invoquez le UpdateConfigurationPolicyAPIdepuis le compte d'administrateur délégué de la région d'origine.

2. Pour le Identifier champ, indiquez le nom de la ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.

3. Pour l'SecurityControlCustomParametersobjet, indiquez l'identifiant de chaque contrôle que vous souhaitez personnaliser.

4. Pour l'Parametersobjet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, CUSTOM prévoyezValueType. PourValue, indiquez le type de données du paramètre et la valeur personnalisée. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en invoquant le GetSecurityControlDefinition API.

Par exemple, la AWS CLI commande suivante crée une nouvelle politique de configuration avec une valeur personnalisée pour le daysToExpiration paramètre deACM.1. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'

Personnalisation des paramètres de contrôle dans un seul compte et une seule région

Si vous n'utilisez pas la configuration centralisée ou si vous ne possédez pas de compte autogéré, vous ne pouvez personnaliser les paramètres de contrôle de votre compte que dans une seule région à la fois.

Choisissez votre méthode préférée et suivez les étapes pour personnaliser les paramètres de contrôle. Vos modifications s'appliquent uniquement à votre compte dans la région actuelle. Pour personnaliser les paramètres de contrôle dans des régions supplémentaires, répétez les étapes suivantes pour chaque compte et région supplémentaires dans lesquels vous souhaitez personnaliser les paramètres. Le même contrôle peut utiliser différentes valeurs de paramètres dans différentes régions.

Security Hub console

Pour personnaliser les valeurs des paramètres de contrôle dans un compte et une région (console)

1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

2. Dans le volet de navigation, choisissez Controls. Dans le tableau, choisissez un contrôle qui prend en charge les paramètres personnalisés dont vous souhaitez modifier les paramètres. La colonne Paramètres personnalisés indique quels contrôles prennent en charge les paramètres personnalisés.

3. Sur la page de détails du contrôle, cliquez sur l'onglet Paramètres, puis sur Modifier.

4. Spécifiez les valeurs de paramètres souhaitées.

5. Dans la section Motif du changement, sélectionnez éventuellement un motif pour personnaliser les paramètres.

6. Choisissez Save (Enregistrer).

Security Hub API

Pour personnaliser les valeurs des paramètres de contrôle dans un compte et une région (API)

1. Invoquez le UpdateSecurityControl API.

2. PourSecurityControlId, indiquez l'ID du contrôle que vous souhaitez personnaliser.

3. Pour l'Parametersobjet, indiquez le nom de chaque paramètre que vous souhaitez personnaliser. Pour chaque paramètre que vous personnalisez, CUSTOM prévoyezValueType. PourValue, indiquez le type de données du paramètre et la valeur personnalisée. Si votre demande omet un paramètre pris en charge par le contrôle, ce paramètre conserve sa valeur actuelle. Vous pouvez trouver les paramètres pris en charge, les types de données et les valeurs valides pour un contrôle en invoquant le GetSecurityControlDefinition API.

4. Facultativement, pourLastUpdateReason, indiquez le motif de la personnalisation des paramètres de contrôle.

Par exemple, la AWS CLI commande suivante définit une valeur personnalisée pour le daysToExpiration paramètre deACM.1. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"