Mengaktifkan kontrol lintas standar - AWS Security Hub
Pemberdayaan lintas standar di lingkungan multi-akun, Multi-wilayahPemberdayaan lintas standar dalam satu akun dan Wilayah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan kontrol lintas standar

Kami merekomendasikan untuk mengaktifkan AWS Security Hub kontrol di semua standar yang berlaku untuk kontrol. Jika Anda mengaktifkan temuan kontrol konsolidasi, Anda menerima satu temuan per pemeriksaan kontrol bahkan jika kontrol milik lebih dari satu standar.

Pemberdayaan lintas standar di lingkungan multi-akun, Multi-wilayah

Untuk mengaktifkan kontrol keamanan di beberapa Akun AWS dan Wilayah AWS, Anda harus masuk ke akun administrator Security Hub yang didelegasikan dan menggunakan konfigurasi pusat.

Di bawah konfigurasi pusat, administrator yang didelegasikan dapat membuat kebijakan konfigurasi Security Hub yang mengaktifkan kontrol tertentu di seluruh standar yang diaktifkan. Anda kemudian dapat mengaitkan kebijakan konfigurasi dengan akun tertentu dan unit organisasi (OUs) atau root. Kebijakan konfigurasi berlaku di Wilayah asal Anda (juga disebut Wilayah agregasi) dan semua Wilayah yang ditautkan.

Kebijakan konfigurasi menawarkan kustomisasi. Misalnya, Anda dapat memilih untuk mengaktifkan semua kontrol dalam satu OU, dan Anda dapat memilih untuk mengaktifkan hanya kontrol Amazon Elastic Compute Cloud (EC2) di OU lain. Tingkat perincian tergantung pada tujuan yang Anda maksudkan untuk cakupan keamanan di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi yang memungkinkan kontrol tertentu di seluruh standar, lihatMembuat dan mengaitkan kebijakan konfigurasi.

catatan

Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengelola kontrol di semua standar kecuali Standar yang Dikelola Layanan:. AWS Control Tower Kontrol untuk standar ini harus dikonfigurasi dalam AWS Control Tower layanan.

Jika Anda ingin beberapa akun mengonfigurasi kontrolnya sendiri daripada administrator yang didelegasikan, administrator yang didelegasikan dapat menetapkan akun tersebut sebagai dikelola sendiri. Akun yang dikelola sendiri harus mengonfigurasi kontrol secara terpisah di setiap Wilayah.

Pemberdayaan lintas standar dalam satu akun dan Wilayah

Jika Anda tidak menggunakan konfigurasi pusat atau akun yang dikelola sendiri, Anda tidak dapat menggunakan kebijakan konfigurasi untuk mengaktifkan kontrol secara terpusat di beberapa akun dan Wilayah. Namun, Anda dapat menggunakan langkah-langkah berikut untuk mengaktifkan kontrol dalam satu akun dan Wilayah.

Security Hub console
Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Pilih Kontrol dari panel navigasi.

  3. Pilih tab Dinonaktifkan.

  4. Pilih opsi di sebelah kontrol.

  5. Pilih Aktifkan Kontrol (opsi ini tidak muncul untuk kontrol yang sudah diaktifkan).

  6. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

Security Hub API
Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah

  1. Memohon ListStandardsControlAssociationsAPI. Berikan ID kontrol keamanan.

    Contoh permintaan:

    {
    "SecurityControlId": "IAM.1"
}

  2. Memohon BatchUpdateStandardsControlAssociationsAPI. Berikan Amazon Resource Name (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standarARNs, jalankan DescribeStandards.

  3. Atur AssociationStatus parameter sama denganENABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, maka akan API mengembalikan respons kode HTTP status 200.

    Contoh permintaan:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.

AWS CLI
Untuk mengaktifkan kontrol lintas standar dalam satu akun dan Wilayah

  1. Jalankan list-standards-control-associationsperintah. Berikan ID kontrol keamanan.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Jalankan batch-update-standards-control-associationsperintah. Berikan Amazon Resource Name (ARN) dari standar apa pun yang kontrol tidak diaktifkan. Untuk mendapatkan standarARNs, jalankan describe-standards perintah.

  3. Atur AssociationStatus parameter sama denganENABLED. Jika Anda mengikuti langkah-langkah ini untuk kontrol yang sudah diaktifkan, perintah akan mengembalikan respons kode HTTP status 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. Ulangi di setiap Wilayah di mana Anda ingin mengaktifkan kontrol.