Mengaktifkan dan menonaktifkan kontrol dalam standar tertentu

Saat Anda mengaktifkan standar AWS Security Hub, semua kontrol yang berlaku padanya akan diaktifkan secara otomatis dalam standar tersebut (pengecualian untuk ini adalah standar yang dikelola layanan). Anda kemudian dapat menonaktifkan dan mengaktifkan kembali kontrol tertentu dalam standar. Namun, kami menyarankan untuk menyelaraskan status pemberdayaan kontrol di semua standar yang Anda aktifkan.

catatan

Jika Anda menggunakan konfigurasi pusat Security Hub, administrator yang didelegasikan dapat mengaktifkan dan dan menonaktifkan kontrol untuk akun organisasi di semua standar yang diaktifkan. Kami merekomendasikan pendekatan ini sehingga status pemberdayaan kontrol selaras di seluruh standar. Namun, administrator yang didelegasikan dapat menunjuk akun sebagai dikelola sendiri, yang memberi mereka kemampuan untuk mengaktifkan dan menonaktifkan kontrol dalam standar tertentu. Untuk informasi selengkapnya, lihat Cara kerja konfigurasi pusat.

Halaman detail untuk standar berisi daftar kontrol yang berlaku untuk standar, dan informasi tentang kontrol mana yang saat ini diaktifkan dan dinonaktifkan dalam standar tersebut.

Pada halaman detail standar, Anda juga dapat mengaktifkan dan menonaktifkan kontrol dalam standar tertentu. Anda harus mengaktifkan dan menonaktifkan kontrol secara terpisah di masing-masing Akun AWS dan Wilayah AWS. Saat Anda mengaktifkan atau menonaktifkan kontrol, itu hanya memengaruhi akun saat ini dan Wilayah.

Anda dapat mengaktifkan dan menonaktifkan kontrol di setiap Wilayah menggunakan konsol Security Hub, Security Hub API, atau AWS CLI. Jika Anda telah menetapkan Wilayah agregasi, Anda akan melihat kontrol dari semua Wilayah tertaut. Jika kontrol tersedia di Wilayah tertaut tetapi tidak di Wilayah agregasi, Anda tidak dapat mengaktifkan atau menonaktifkan kontrol tersebut dari Wilayah agregasi. Untuk skrip penonaktifan kontrol multi-akun dan Multi-wilayah, lihat Menonaktifkan kontrol Security Hub di lingkungan multi-akun.

Mengaktifkan kontrol dalam standar tertentu

Untuk mengaktifkan kontrol dalam standar, Anda harus terlebih dahulu mengaktifkan setidaknya satu standar yang berlaku kontrol. Untuk informasi selengkapnya tentang mengaktifkan standar, lihatMengaktifkan dan menonaktifkan standar keamanan. Ketika Anda mengaktifkan kontrol dalam standar, AWS Security Hub mulailah menghasilkan temuan untuk kontrol itu. Security Hub mencakup status kontrol dalam perhitungan skor keamanan keseluruhan dan skor keamanan standar. Bahkan jika Anda mengaktifkan kontrol dalam beberapa standar, Anda akan menerima satu temuan per pemeriksaan keamanan di seluruh standar jika Anda mengaktifkan temuan kontrol konsolidasi. Untuk informasi lebih lanjut, lihat Temuan kontrol konsolidasi.

Untuk mengaktifkan kontrol dalam standar, kontrol harus tersedia di Wilayah Anda saat ini. Untuk informasi selengkapnya, lihat Ketersediaan kontrol menurut Wilayah.

Ikuti langkah-langkah ini untuk mengaktifkan kontrol Security Hub dalam standar tertentu. Sebagai pengganti langkah-langkah berikut, Anda juga dapat menggunakan tindakan UpdateStandardsControlAPI untuk mengaktifkan kontrol dalam standar tertentu. Untuk petunjuk tentang mengaktifkan kontrol di semua standar, lihatMengaktifkan kontrol di semua standar dalam satu akun dan Wilayah.

Security Hub console

Untuk mengaktifkan kontrol dalam standar tertentu

1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

2. Pilih Standar keamanan dari panel navigasi.

3. Pilih Lihat hasil untuk standar yang relevan.

4. Pilih kontrol.

5. Pilih Aktifkan Kontrol (opsi ini tidak muncul untuk kontrol yang sudah diaktifkan). Konfirmasikan dengan memilih Aktifkan.

Security Hub API

Untuk mengaktifkan kontrol dalam standar tertentu

1. JalankanListSecurityControlDefinitions, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. DescribeStandards API ini mengembalikan ID kontrol keamanan agnostik standar, bukan ID kontrol khusus standar.

   Permintaan contoh:

   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }

2. JalankanListStandardsControlAssociations, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   Permintaan contoh:

   {
       "SecurityControlId": "IAM.1"
   }

3. Jalankan BatchUpdateStandardsControlAssociations. Berikan ARN standar yang ingin Anda aktifkan kontrolnya.

4. Atur AssociationStatus parameter sama denganENABLED.

   Permintaan contoh:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }

AWS CLI

Untuk mengaktifkan kontrol dalam standar tertentu

1. Jalankan list-security-control-definitions perintah, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. describe-standards Perintah ini mengembalikan ID kontrol keamanan agnostik standar, bukan ID kontrol khusus standar.

   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

2. Jalankan list-standards-control-associations perintah, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

3. Jalankan perintah batch-update-standards-control-associations. Berikan ARN standar yang ingin Anda aktifkan kontrolnya.

4. Atur AssociationStatus parameter sama denganENABLED.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
                   

Menonaktifkan kontrol dalam standar tertentu

Saat Anda menonaktifkan kontrol dalam standar, Security Hub berhenti menghasilkan temuan untuk kontrol. Status kontrol tidak lagi digunakan dalam menghitung skor keamanan untuk standar.

Salah satu cara untuk menonaktifkan kontrol adalah dengan menonaktifkan semua standar yang berlaku untuk kontrol. Ketika Anda menonaktifkan standar, semua kontrol yang berlaku untuk standar dinonaktifkan (namun, kontrol tersebut mungkin masih tetap diaktifkan dalam standar lain). Untuk informasi tentang menonaktifkan standar, lihat. Mengaktifkan dan menonaktifkan standar keamanan

Saat Anda menonaktifkan kontrol dengan menonaktifkan standar yang berlaku, hal berikut terjadi:

• Pemeriksaan keamanan untuk kontrol tidak lagi dilakukan untuk standar itu. Ini berarti status kontrol tidak akan memengaruhi skor keamanan standar (Security Hub akan terus menjalankan pemeriksaan keamanan untuk kontrol jika diaktifkan dalam standar lain).

• Tidak ada temuan tambahan yang dihasilkan untuk kontrol itu.

• Temuan yang ada diarsipkan secara otomatis setelah 3-5 hari (perhatikan bahwa ini adalah upaya terbaik dan tidak dijamin).

• AWS Config Aturan terkait yang dibuat Security Hub akan dihapus.

Saat Anda menonaktifkan standar, Security Hub tidak melacak kontrol mana yang dinonaktifkan. Jika Anda kemudian mengaktifkan standar lagi, semua kontrol yang berlaku untuk itu diaktifkan secara otomatis. Selain itu, menonaktifkan kontrol adalah tindakan satu kali. Misalkan Anda menonaktifkan kontrol, dan kemudian Anda mengaktifkan standar yang sebelumnya dinonaktifkan. Jika standar mencakup kontrol itu, itu akan diaktifkan dalam standar itu. Saat Anda mengaktifkan standar di Security Hub, semua kontrol yang berlaku untuk standar tersebut akan diaktifkan secara otomatis.

Alih-alih menonaktifkan kontrol dengan menonaktifkan standar yang berlaku, Anda bisa menonaktifkan kontrol dalam satu atau lebih standar spesifik.

Untuk mengurangi kebisingan temuan, akan berguna untuk menonaktifkan kontrol yang tidak relevan dengan lingkungan Anda. Untuk rekomendasi tentang kontrol mana yang harus dinonaktifkan, lihat Kontrol Security Hub yang mungkin ingin Anda nonaktifkan.

Ikuti langkah-langkah ini untuk menonaktifkan kontrol dalam standar tertentu. Sebagai pengganti langkah-langkah berikut, Anda juga dapat menggunakan tindakan UpdateStandardsControlAPI untuk menonaktifkan kontrol dalam standar tertentu. Untuk petunjuk tentang menonaktifkan kontrol di semua standar, lihat. Mengaktifkan dan menonaktifkan kontrol di semua standar

Security Hub console

Untuk menonaktifkan kontrol dalam standar tertentu

1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

2. Pilih Standar keamanan dari panel navigasi. Pilih Lihat hasil untuk standar yang relevan.

3. Pilih kontrol.

4. Pilih Nonaktifkan Kontrol (opsi ini tidak muncul untuk kontrol yang sudah dinonaktifkan).

5. Berikan alasan untuk menonaktifkan kontrol, dan konfirmasikan dengan memilih Nonaktifkan.

Security Hub API

Untuk menonaktifkan kontrol dalam standar tertentu

1. JalankanListSecurityControlDefinitions, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. DescribeStandards API ini mengembalikan ID kontrol keamanan agnostik standar, bukan ID kontrol khusus standar.

   Permintaan contoh:

   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }

2. JalankanListStandardsControlAssociations, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   Permintaan contoh:

   {
       "SecurityControlId": "IAM.1"
   }

3. Jalankan BatchUpdateStandardsControlAssociations. Berikan ARN standar di mana Anda ingin menonaktifkan kontrol.

4. Atur AssociationStatus parameter sama denganDISABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah dinonaktifkan, API akan mengembalikan respons kode status HTTP 200.

   Permintaan contoh:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }

AWS CLI

Untuk menonaktifkan kontrol dalam standar tertentu

1. Jalankan list-security-control-definitions perintah, dan berikan ARN standar untuk mendapatkan daftar kontrol yang tersedia untuk standar tertentu. Untuk mendapatkan ARN standar, jalankan. describe-standards Perintah ini mengembalikan ID kontrol keamanan agnostik standar, bukan ID kontrol khusus standar.

   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

2. Jalankan list-standards-control-associations perintah, dan berikan ID kontrol khusus untuk mengembalikan status pengaktifan kontrol saat ini di setiap standar.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

3. Jalankan perintah batch-update-standards-control-associations. Berikan ARN standar di mana Anda ingin menonaktifkan kontrol.

4. Atur AssociationStatus parameter sama denganDISABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, perintah akan mengembalikan respons kode status HTTP 200.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'