Activation de Security Hub

Vous pouvez activer AWS Security Hub de deux manières : en l'intégrant AWS Organizations ou manuellement.

Nous recommandons vivement l'intégration avec Organizations pour les environnements multicomptes et multirégionaux. Si vous possédez un compte autonome, il est nécessaire de configurer Security Hub manuellement.

Vérification des autorisations nécessaires

Une fois inscrit à Amazon Web Services (AWS), vous devez activer Security Hub pour utiliser ses fonctionnalités. Pour activer Security Hub, vous devez d'abord configurer des autorisations vous permettant d'accéder à la console Security Hub et aux opérations de l'API. Vous ou votre AWS administrateur pouvez le faire en utilisant AWS Identity and Access Management (IAM) pour associer la politique AWS gérée appelée AWSSecurityHubFullAccess à votre identité IAM.

Pour activer et gérer Security Hub via l'intégration Organizations, vous devez également joindre la politique AWS gérée appeléeAWSSecurityHubOrganizationsAccess.

Pour plus d'informations, consultez AWS politiques gérées pour AWS Security Hub.

Activation de l'intégration entre Security Hub et Organizations

Pour commencer à utiliser Security Hub avecAWS Organizations, le compte AWS Organizations de gestion de l'organisation désigne un compte en tant que compte d'administrateur délégué du Security Hub pour l'organisation. Security Hub est automatiquement activé dans le compte d'administrateur délégué de la région actuelle.

Choisissez votre méthode préférée et suivez les étapes pour désigner l'administrateur délégué.

Security Hub console

Pour désigner l'administrateur délégué de Security Hub lors de l'intégration

1. Ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.

2. Choisissez Go to Security Hub. Vous êtes invité à vous connecter au compte de gestion des Organizations.

3. Sur la page Désigner un administrateur délégué, dans la section Compte d'administrateur délégué, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

4. Choisissez Définir un administrateur délégué.

Security Hub API

Appelez l'EnableOrganizationAdminAccountAPI depuis le compte de gestion des Organizations. Indiquez l'Compte AWSID du compte d'administrateur délégué du Security Hub.

AWS CLI

Exécutez la enable-organization-admin-accountcommande depuis le compte de gestion des Organizations. Indiquez l'Compte AWSID du compte d'administrateur délégué du Security Hub.

Exemple de commande :

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Pour plus d'informations sur l'intégration avec Organizations, consultezIntégration de Security Hub à AWS Organizations.

Après avoir désigné l'administrateur délégué, nous vous recommandons de continuer à configurer Security Hub avec une configuration centralisée. La console vous invite à le faire. En utilisant la configuration centralisée, vous pouvez simplifier le processus d'activation et de configuration de Security Hub pour votre organisation et vous assurer que votre organisation dispose d'une couverture de sécurité adéquate.

La configuration centralisée permet à l'administrateur délégué de personnaliser Security Hub sur plusieurs comptes d'entreprise et régions plutôt que de le configurer région par région. Vous pouvez créer une politique de configuration pour l'ensemble de votre organisation ou créer différentes politiques de configuration pour différents comptes et unités d'organisation. Les politiques précisent si Security Hub est activé ou désactivé dans les comptes associés et quelles normes et contrôles de sécurité sont activés.

L'administrateur délégué peut désigner des comptes comme étant gérés de manière centralisée ou autogérés. Les comptes gérés de manière centralisée sont configurables uniquement par l'administrateur délégué. Les comptes autogérés peuvent définir leurs propres paramètres.

Si vous n'utilisez pas la configuration centralisée, la capacité de l'administrateur délégué à configurer Security Hub est plus limitée. Pour plus d'informations, consultez Gérer des comptes avec AWS Organizations.

Activation manuelle de Security Hub

Vous devez activer Security Hub manuellement si vous possédez un compte autonome ou si vous ne l'intégrez pas àAWS Organizations. Les comptes autonomes ne peuvent pas s'intégrer à l'AWS Organizationsactivation manuelle et doivent l'utiliser.

Lorsque vous activez Security Hub manuellement, vous désignez un compte administrateur Security Hub et vous invitez d'autres comptes à devenir des comptes membres. La relation administrateur-membre est établie lorsqu'un compte de membre potentiel accepte l'invitation.

Choisissez votre méthode préférée et suivez les étapes pour activer Security Hub. Lorsque vous activez Security Hub depuis la console, vous avez également la possibilité d'activer les normes de sécurité prises en charge.

Security Hub console

1. Ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.

2. Lorsque vous ouvrez la console Security Hub pour la première fois, choisissez Go to Security Hub.

3. Sur la page d'accueil, la section Normes de sécurité répertorie les normes de sécurité prises en charge par Security Hub.

   Cochez la case correspondant à une norme pour l'activer, puis décochez-la pour la désactiver.

   Vous pouvez activer ou désactiver une norme ou ses contrôles individuels à tout moment. Pour plus d'informations sur la gestion des normes et des contrôles de sécurité, consultez la section Contrôles et normes AWS de sécurité dans Security Hub.

4. Choisissez Enable Security Hub (Activer le hub de sécurité).

Security Hub API

Appelez l'EnableSecurityHubAPI. Lorsque vous activez Security Hub depuis l'API, les normes de sécurité par défaut suivantes sont automatiquement activées :

• AWSBonnes pratiques de sécurité de base

• Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)

Si vous ne souhaitez pas activer ces normes, définissez EnableDefaultStandards sur false.

Vous pouvez également utiliser le Tags paramètre pour attribuer des valeurs de balise à la ressource du hub.

AWS CLI

Exécutez la commande enable-security-hub. Pour activer les normes par défaut, incluez--enable-default-standards. Pour ne pas activer les normes par défaut, incluez--no-enable-default-standards. Les normes de sécurité par défaut sont les suivantes :

• AWSBonnes pratiques de sécurité de base

• Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Exemple

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script d'activation multi-comptes

Note

Au lieu de ce script, nous vous recommandons d'utiliser une configuration centralisée pour activer et configurer Security Hub sur plusieurs comptes et régions.

Le script d'activation multi-comptes Security Hub vous GitHub permet d'activer Security Hub sur plusieurs comptes et régions. Le script automatise également le processus d'envoi d'invitations aux comptes des membres et d'activationAWS Config.

Le script active automatiquement l'enregistrement des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région.

Il existe un script correspondant pour désactiver Security Hub entre les comptes et les régions.

Prochaines étapes après l'activation de Security Hub

Après avoir activé Security Hub, nous vous recommandons d'activer les normes de sécurité et les contrôles de sécurité importants pour vos besoins en matière de sécurité. Une fois les contrôles activés, Security Hub commence à exécuter des contrôles de sécurité et à générer des résultats de contrôle. Vous pouvez également tirer parti des intégrations entre Security Hub Services AWS et d'autres solutions tierces pour consulter leurs conclusions dans Security Hub.