Activation et désactivation des contrôles dans toutes les normes - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation et désactivation des contrôles dans toutes les normes

AWS Security Hub génère des résultats pour les contrôles activés et prend en compte tous les contrôles activés lors du calcul des scores de sécurité. Vous pouvez choisir d'activer et de désactiver les contrôles pour toutes les normes de sécurité ou de configurer le statut d'activation différemment selon les normes. Nous recommandons la première option, dans laquelle le statut d'activation d'un contrôle est aligné sur toutes vos normes activées. Cette section explique comment activer et désactiver les contrôles selon les normes. Pour activer ou désactiver un contrôle dans une ou plusieurs normes spécifiques, voirActivation et désactivation des contrôles dans des normes spécifiques.

Si vous avez défini une région d'agrégation, la console Security Hub affiche les commandes de toutes les régions liées. Si un contrôle est disponible dans une région liée mais pas dans la région d'agrégation, vous ne pouvez pas activer ou désactiver ce contrôle depuis la région d'agrégation.

Note

Les instructions d'activation et de désactivation des commandes varient selon que vous utilisez ou non la configuration centralisée. Cette section décrit les différences. La configuration centralisée est disponible pour les utilisateurs qui intègrent Security Hub et AWS Organizations. Nous recommandons d'utiliser une configuration centralisée pour simplifier le processus d'activation et de désactivation des contrôles dans les environnements multicomptes et multirégionaux.

Contrôles habilitants

Lorsque vous activez un contrôle dans un standard, Security Hub commence à exécuter des contrôles de sécurité pour le contrôle et à générer des résultats de contrôle.

Security Hub inclut l'état du contrôle dans le calcul du score de sécurité global et des scores de sécurité standard. Si vous activez les résultats de contrôle consolidés, vous recevez un résultat unique pour un contrôle de sécurité, même si vous avez activé un contrôle selon plusieurs normes. Pour plus d'informations, consultez la section Résultats de contrôle consolidés (français non garanti).

Permettre un contrôle de toutes les normes sur plusieurs comptes et régions

Pour activer un contrôle de sécurité sur plusieurs comptes Régions AWS, vous devez utiliser une configuration centralisée.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration du Security Hub qui permettent des contrôles spécifiques dans le cadre des normes activées. Vous pouvez ensuite associer la politique de configuration à des comptes et unités organisationnelles (UO) spécifiques ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir d'activer tous les contrôles dans une unité d'organisation, et vous pouvez choisir d'activer uniquement les contrôles Amazon Elastic Compute Cloud (EC2) dans une autre unité d'organisation. Le niveau de granularité dépend des objectifs que vous vous êtes fixés en matière de couverture de sécurité au sein de votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui active des contrôles spécifiques entre les normes, voirCréation et association de politiques de configuration de Security Hub.

Note

L'administrateur délégué peut créer des politiques de configuration pour gérer les contrôles dans toutes les normes, à l'exception de la norme de gestion des services :. AWS Control Tower Les contrôles de cette norme doivent être configurés dans le AWS Control Tower service.

Si vous souhaitez que certains comptes configurent leurs propres contrôles plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les contrôles séparément dans chaque région.

Permettre le contrôle de toutes les normes dans un seul compte et une seule région

Si vous n'utilisez pas de configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour activer les contrôles de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez suivre les étapes suivantes pour activer un contrôle dans un seul compte et une seule région.

Security Hub console
Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Choisissez Controls dans le volet de navigation.

  3. Choisissez l'onglet Désactivé.

  4. Choisissez l'option située à côté d'un contrôle.

  5. Choisissez Activer le contrôle (cette option n'apparaît pas pour un contrôle déjà activé).

  6. Répétez cette opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

Security Hub API
Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région
  1. Appelez l'ListStandardsControlAssociationsAPI. Fournissez un identifiant de contrôle de sécurité.

    Exemple de demande :

    { "SecurityControlId": "IAM.1" }
  2. Appelez l'BatchUpdateStandardsControlAssociationsAPI. Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir des ARN standard, exécutez DescribeStandards.

  3. Définissez le AssociationStatus paramètre comme étant égal àENABLED. Si vous suivez ces étapes pour un contrôle déjà activé, l'API renvoie une réponse au code d'état HTTP 200.

    Exemple de demande :

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}] }
  4. Répétez cette opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

AWS CLI
Pour permettre le contrôle des normes au sein d'un seul compte et d'une seule région
  1. Exécutez la commande list-standards-control-associations. Fournissez un identifiant de contrôle de sécurité.

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. Exécutez la commande batch-update-standards-control-associations. Indiquez le nom de ressource Amazon (ARN) de toutes les normes dans lesquelles le contrôle n'est pas activé. Pour obtenir des ARN standard, exécutez la describe-standards commande.

  3. Définissez le AssociationStatus paramètre comme étant égal àENABLED. Si vous suivez ces étapes pour un contrôle déjà activé, la commande renvoie une réponse de code d'état HTTP 200.

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
  4. Répétez cette opération dans chaque région dans laquelle vous souhaitez activer le contrôle.

Activation automatique de nouvelles commandes dans les normes activées

Security Hub publie régulièrement de nouveaux contrôles de sécurité et les ajoute à une ou plusieurs normes. Vous pouvez choisir d'activer automatiquement les nouveaux contrôles dans vos normes activées.

Note

Nous vous recommandons d'utiliser la configuration centrale pour activer automatiquement les nouvelles commandes. Si votre politique de configuration inclut une liste de contrôles à désactiver (par programmation, cela reflète le DisabledSecurityControlIdentifiers paramètre), Security Hub active automatiquement tous les autres contrôles selon les normes, y compris les contrôles récemment publiés. Si votre politique inclut une liste de contrôles à activer (cela reflète le EnabledSecurityControlIdentifiers paramètre), Security Hub désactive automatiquement tous les autres contrôles selon les normes, y compris les contrôles récemment publiés. Pour plus d’informations, consultez Comment fonctionnent les politiques de configuration de Security Hub.

Choisissez votre méthode d'accès préférée et suivez les étapes pour activer automatiquement les nouveaux contrôles dans les normes activées. Les instructions suivantes s'appliquent uniquement si vous n'utilisez pas la configuration centralisée.

Security Hub console
Pour activer automatiquement les nouvelles commandes
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le volet de navigation, choisissez Paramètres, puis cliquez sur l'onglet Général.

  3. Sous Contrôles, choisissez Modifier.

  4. Activez l'activation automatique des nouvelles commandes dans les normes activées.

  5. Choisissez Enregistrer.

Security Hub API
Pour activer automatiquement les nouvelles commandes
  1. Appelez l'UpdateSecurityHubConfigurationAPI.

  2. Pour activer automatiquement de nouvelles commandes pour les normes activées, définissez AutoEnableControls surtrue. Si vous ne souhaitez pas activer automatiquement les nouvelles commandes, définissez le paramètre AutoEnableControls sur false.

AWS CLI
Pour activer automatiquement les nouvelles commandes
  1. Exécutez la commande update-security-hub-configuration.

  2. Pour activer automatiquement de nouvelles commandes pour les normes activées, spécifiez--auto-enable-controls. Si vous ne souhaitez pas activer automatiquement les nouvelles commandes, spécifiez--no-auto-enable-controls.

    aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

    Exemple de commande

    aws securityhub update-security-hub-configuration --auto-enable-controls

Désactivation des commandes

Lorsque vous désactivez un contrôle dans toutes les normes, les événements suivants se produisent :

  • Les contrôles de sécurité ne sont plus effectués pour le contrôle.

  • Aucun autre résultat n'est généré pour ce contrôle.

  • Les résultats existants sont archivés automatiquement après 3 à 5 jours (notez que c'est le meilleur effort possible).

  • Toutes AWS Config les règles associées créées par Security Hub sont supprimées.

Au lieu de désactiver un contrôle dans toutes les normes, vous pouvez simplement le désactiver dans une ou plusieurs normes spécifiques. Dans ce cas, Security Hub n'effectue pas de vérifications de sécurité pour contrôler les normes dans lesquelles vous l'avez désactivé. Cela n'affecte donc pas le score de sécurité de ces normes. Security Hub conserve toutefois la AWS Config règle et continue à effectuer des contrôles de sécurité pour le contrôle s'il est activé dans d'autres normes. Cela peut affecter votre score de sécurité récapitulatif. Pour obtenir des instructions sur la configuration des commandes dans des normes spécifiques, voirActivation et désactivation des contrôles dans des normes spécifiques.

Pour réduire le bruit de détection, il peut être utile de désactiver les commandes qui ne sont pas adaptées à votre environnement. Pour obtenir des recommandations concernant les contrôles à désactiver, consultez la section Contrôles Security Hub que vous souhaiteriez peut-être désactiver.

Lorsque vous désactivez une norme, toutes les commandes qui s'y appliquent sont désactivées (ces commandes peuvent toutefois rester activées dans d'autres normes). Pour plus d'informations sur la désactivation d'une norme, consultezActivation et désactivation des normes de sécurité.

Lorsque vous désactivez une norme, Security Hub ne fait pas le suivi des contrôles applicables qui ont été désactivés. Si vous réactivez ensuite la même norme, toutes les commandes qui s'y appliquent sont automatiquement activées. De plus, la désactivation d'un contrôle n'est pas une action permanente. Supposons que vous désactiviez un contrôle, puis que vous activiez une norme précédemment désactivée. Si la norme inclut ce contrôle, il sera activé dans cette norme. Lorsque vous activez une norme dans Security Hub, toutes les commandes qui s'appliquent à cette norme sont automatiquement activées. Vous pouvez choisir de désactiver des contrôles spécifiques.

Désactivation d'un contrôle dans toutes les normes sur plusieurs comptes et régions

Pour désactiver un contrôle de sécurité sur plusieurs comptes Régions AWS, vous devez utiliser la configuration centralisée.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut créer des politiques de configuration du Security Hub qui désactivent des contrôles spécifiques dans le cadre des normes activées. Vous pouvez ensuite associer la politique de configuration à des comptes spécifiques, à des unités d'organisation ou à la racine. Une politique de configuration prend effet dans votre région d'origine (également appelée région d'agrégation) et dans toutes les régions liées.

Les politiques de configuration offrent une personnalisation. Par exemple, vous pouvez choisir de désactiver tous les AWS CloudTrail contrôles dans une unité d'organisation, et vous pouvez choisir de désactiver tous les contrôles IAM dans une autre unité d'organisation. Le niveau de granularité dépend des objectifs que vous vous êtes fixés en matière de couverture de sécurité au sein de votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration qui désactive les contrôles spécifiques selon les normes, consultezCréation et association de politiques de configuration de Security Hub.

Note

L'administrateur délégué peut créer des politiques de configuration pour gérer les contrôles dans toutes les normes, à l'exception de la norme de gestion des services :. AWS Control Tower Les contrôles de cette norme doivent être configurés dans le AWS Control Tower service.

Si vous souhaitez que certains comptes configurent leurs propres contrôles plutôt que l'administrateur délégué, celui-ci peut désigner ces comptes comme étant autogérés. Les comptes autogérés doivent configurer les contrôles séparément dans chaque région.

Désactiver un contrôle de toutes les normes dans un seul compte et une seule région

Si vous n'utilisez pas la configuration centralisée ou si vous êtes un compte autogéré, vous ne pouvez pas utiliser les politiques de configuration pour désactiver les contrôles de manière centralisée dans plusieurs comptes et régions. Cependant, vous pouvez utiliser les étapes suivantes pour désactiver un contrôle dans un seul compte et dans une seule région.

Security Hub console
Pour désactiver le contrôle des normes dans un compte et une région
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Choisissez Controls dans le volet de navigation.

  3. Choisissez l'option située à côté d'un contrôle.

  4. Choisissez Désactiver le contrôle (cette option n'apparaît pas pour un contrôle déjà désactivé).

  5. Sélectionnez le motif de désactivation du contrôle, puis confirmez en choisissant Désactiver.

  6. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.

Security Hub API
Pour désactiver le contrôle des normes dans un compte et une région
  1. Appelez l'ListStandardsControlAssociationsAPI. Fournissez un identifiant de contrôle de sécurité.

    Exemple de demande :

    { "SecurityControlId": "IAM.1" }
  2. Appelez l'BatchUpdateStandardsControlAssociationsAPI. Indiquez l'ARN de toutes les normes dans lesquelles le contrôle est activé. Pour obtenir des ARN standard, exécutez DescribeStandards.

  3. Définissez le AssociationStatus paramètre comme étant égal àDISABLED. Si vous suivez ces étapes pour un contrôle déjà désactivé, l'API renvoie une réponse au code d'état HTTP 200.

    Exemple de demande :

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}] }
  4. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.

AWS CLI
Pour désactiver le contrôle des normes dans un compte et une région
  1. Exécutez la commande list-standards-control-associations. Fournissez un identifiant de contrôle de sécurité.

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. Exécutez la commande batch-update-standards-control-associations. Indiquez l'ARN de toutes les normes dans lesquelles le contrôle est activé. Pour obtenir des ARN standard, exécutez la describe-standards commande.

  3. Définissez le AssociationStatus paramètre comme étant égal àDISABLED. Si vous suivez ces étapes pour un contrôle déjà désactivé, la commande renvoie une réponse au code d'état HTTP 200.

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
  4. Répétez l'opération dans chaque région dans laquelle vous souhaitez désactiver le contrôle.