Membuat dan mengaitkan kebijakan konfigurasi Security Hub - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat dan mengaitkan kebijakan konfigurasi Security Hub

Akun administrator yang didelegasikan dapat membuat kebijakan AWS Security Hub konfigurasi dan mengaitkannya dengan akun organisasi, unit organisasi (OU), atau root. Anda juga dapat mengaitkan konfigurasi yang dikelola sendiri dengan akun, OU, atau root.

Jika ini adalah pertama kalinya Anda membuat kebijakan konfigurasi, sebaiknya Cara kerja kebijakan konfigurasi Security Hub tinjau terlebih dahulu.

Pilih metode akses pilihan Anda, dan ikuti langkah-langkah untuk membuat dan mengaitkan kebijakan konfigurasi atau konfigurasi yang dikelola sendiri. Saat menggunakan konsol Security Hub, Anda dapat mengaitkan konfigurasi dengan beberapa akun atau OU secara bersamaan. Saat menggunakan Security Hub API atau AWS CLI, Anda dapat mengaitkan konfigurasi hanya dengan satu akun atau OU di setiap permintaan.

catatan

Jika Anda menggunakan konfigurasi pusat, Security Hub secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal. Saat Anda menggunakan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal dan Wilayah yang ditautkan. Untuk daftar kontrol yang melibatkan sumber daya global, lihatKontrol yang berhubungan dengan sumber daya global.

Security Hub console
Untuk membuat dan mengaitkan kebijakan konfigurasi

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

    Masuk menggunakan kredensional akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  2. Di panel navigasi, pilih Konfigurasi dan tab Kebijakan. Kemudian, pilih Buat kebijakan.

  3. Pada halaman Konfigurasi organisasi, jika ini adalah pertama kalinya Anda membuat kebijakan konfigurasi, Anda akan melihat tiga opsi di bawah Jenis konfigurasi. Jika Anda telah membuat setidaknya satu kebijakan konfigurasi, Anda hanya melihat opsi Kebijakan kustom.

    • Pilih Gunakan konfigurasi Security Hub yang AWS direkomendasikan di seluruh organisasi saya untuk menggunakan kebijakan yang kami rekomendasikan. Kebijakan yang direkomendasikan memungkinkan Security Hub di semua akun organisasi, mengaktifkan standar Praktik Terbaik Keamanan AWS Dasar (FSBP), dan memungkinkan semua kontrol FSBP baru dan yang sudah ada. Kontrol menggunakan nilai parameter default.

    • Pilih Saya belum siap untuk mengonfigurasi untuk membuat kebijakan konfigurasi nanti.

    • Pilih Kebijakan khusus untuk membuat kebijakan konfigurasi kustom. Tentukan apakah akan mengaktifkan atau menonaktifkan Security Hub, standar mana yang akan diaktifkan, dan kontrol mana yang akan diaktifkan di seluruh standar tersebut. Secara opsional, tentukan nilai parameter khusus untuk satu atau beberapa kontrol yang diaktifkan yang mendukung parameter kustom.

  4. Di bagian Akun, pilih akun target, OU, atau root yang Anda inginkan untuk diterapkan oleh kebijakan konfigurasi Anda.

    • Pilih Semua akun jika Anda ingin menerapkan kebijakan konfigurasi ke root. Ini termasuk semua akun dan OU di organisasi yang tidak memiliki kebijakan lain yang diterapkan atau diwariskan.

    • Pilih Akun khusus jika Anda ingin menerapkan kebijakan konfigurasi ke akun atau OU tertentu. Masukkan ID akun, atau pilih akun dan OU dari struktur organisasi. Anda dapat menerapkan kebijakan ke maksimal 15 target (akun, OU, atau root) saat Anda membuatnya. Untuk menentukan angka yang lebih besar, edit kebijakan Anda setelah dibuat, dan terapkan ke target tambahan.

    • Pilih Administrator yang didelegasikan hanya untuk menerapkan kebijakan konfigurasi ke akun administrator yang didelegasikan saat ini.

  5. Pilih Selanjutnya.

  6. Pada halaman Tinjau dan terapkan, tinjau detail kebijakan konfigurasi Anda. Kemudian, pilih Buat kebijakan dan terapkan. Di Wilayah beranda dan Wilayah tertaut, tindakan ini mengesampingkan setelan konfigurasi akun yang ada yang terkait dengan kebijakan konfigurasi ini. Akun dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi, atau warisan dari node induk. Akun turunan dan OU dari target yang diterapkan akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali secara khusus dikecualikan, dikelola sendiri, atau menggunakan kebijakan konfigurasi yang berbeda.

Security Hub API
Untuk membuat dan mengaitkan kebijakan konfigurasi

  1. Memanggil CreateConfigurationPolicyAPI dari akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  2. UntukName, berikan nama unik untuk kebijakan konfigurasi. Secara opsional, untukDescription, berikan deskripsi untuk kebijakan konfigurasi.

  3. Untuk ServiceEnabled bidang, tentukan apakah Anda ingin Security Hub diaktifkan atau dinonaktifkan dalam kebijakan konfigurasi ini.

  4. Untuk EnabledStandardIdentifiers bidang, tentukan standar Security Hub mana yang ingin Anda aktifkan dalam kebijakan konfigurasi ini.

  5. Untuk SecurityControlsConfiguration objek, tentukan kontrol mana yang ingin Anda aktifkan atau nonaktifkan dalam kebijakan konfigurasi ini. Memilih EnabledSecurityControlIdentifiers berarti bahwa kontrol yang ditentukan diaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) dinonaktifkan. Memilih DisabledSecurityControlIdentifiers berarti bahwa kontrol yang ditentukan dinonaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) diaktifkan.

  6. Secara opsional, untuk SecurityControlCustomParameters bidang, tentukan kontrol yang diaktifkan yang ingin Anda sesuaikan parameternya. Berikan CUSTOM ValueType bidang dan nilai parameter khusus untuk Value bidang tersebut. Nilai harus tipe data yang benar dan dalam rentang valid yang ditentukan oleh Security Hub. Hanya kontrol pilih yang mendukung nilai parameter khusus. Untuk informasi selengkapnya, lihat Parameter kontrol khusus.

  7. Untuk menerapkan kebijakan konfigurasi Anda ke akun atau OU, panggil StartConfigurationPolicyAssociationAPI dari akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  8. Untuk ConfigurationPolicyIdentifier bidang ini, berikan Nama Sumber Daya Amazon (ARN) atau pengenal unik universal (UUID) kebijakan. ARN dan UUID dikembalikan oleh API. CreateConfigurationPolicy Untuk konfigurasi yang dikelola sendiri, ConfigurationPolicyIdentifier bidangnya sama denganSELF_MANAGED_SECURITY_HUB.

  9. Untuk Target bidang, berikan OU, akun, atau ID root yang Anda inginkan untuk menerapkan kebijakan konfigurasi ini. Anda hanya dapat memberikan satu target di setiap permintaan API. Akun turunan dan OU dari target yang dipilih akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali mereka dikelola sendiri atau menggunakan kebijakan konfigurasi yang berbeda.

Contoh permintaan API untuk membuat kebijakan konfigurasi:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Contoh permintaan API untuk mengaitkan kebijakan konfigurasi:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Untuk membuat dan mengaitkan kebijakan konfigurasi

  1. Jalankan create-configuration-policyperintah dari akun administrator yang didelegasikan Security Hub di wilayah rumah.

  2. Untukname, berikan nama unik untuk kebijakan konfigurasi. Secara opsional, untukdescription, berikan deskripsi untuk kebijakan konfigurasi.

  3. Untuk ServiceEnabled bidang, tentukan apakah Anda ingin Security Hub diaktifkan atau dinonaktifkan dalam kebijakan konfigurasi ini.

  4. Untuk EnabledStandardIdentifiers bidang, tentukan standar Security Hub mana yang ingin Anda aktifkan dalam kebijakan konfigurasi ini.

  5. Untuk SecurityControlsConfiguration bidang, tentukan kontrol mana yang ingin Anda aktifkan atau nonaktifkan dalam kebijakan konfigurasi ini. Memilih EnabledSecurityControlIdentifiers berarti bahwa kontrol yang ditentukan diaktifkan. Kontrol lain yang merupakan bagian dari standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) dinonaktifkan. Memilih DisabledSecurityControlIdentifiers berarti bahwa kontrol yang ditentukan dinonaktifkan. Kontrol lain yang berlaku untuk standar Anda yang diaktifkan (termasuk kontrol yang baru dirilis) diaktifkan.

  6. Secara opsional, untuk SecurityControlCustomParameters bidang, tentukan kontrol yang diaktifkan yang ingin Anda sesuaikan parameternya. Berikan CUSTOM ValueType bidang dan nilai parameter khusus untuk Value bidang tersebut. Nilai harus tipe data yang benar dan dalam rentang valid yang ditentukan oleh Security Hub. Hanya kontrol pilih yang mendukung nilai parameter khusus. Untuk informasi selengkapnya, lihat Parameter kontrol khusus.

  7. Untuk menerapkan kebijakan konfigurasi ke akun atau OU, jalankan start-configuration-policy-associationperintah dari akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  8. Untuk configuration-policy-identifier bidang, berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi. ARN dan ID ini dikembalikan oleh perintah. create-configuration-policy

  9. Untuk target bidang, berikan OU, akun, atau ID root yang Anda inginkan untuk menerapkan kebijakan konfigurasi ini. Anda hanya dapat memberikan satu target setiap kali Anda menjalankan perintah. Anak-anak dari target yang dipilih akan secara otomatis mewarisi kebijakan konfigurasi ini kecuali mereka dikelola sendiri atau menggunakan kebijakan konfigurasi yang berbeda.

Contoh perintah untuk membuat kebijakan konfigurasi:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Contoh perintah untuk mengaitkan kebijakan konfigurasi:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociationAPI mengembalikan bidang yang disebutAssociationStatus. Bidang ini memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan berhasil atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari PENDING ke SUCCESS atauFAILURE. Untuk informasi selengkapnya tentang status asosiasi, lihatStatus asosiasi konfigurasi.