Memperbarui kebijakan konfigurasi Security Hub - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui kebijakan konfigurasi Security Hub

Akun administrator yang didelegasikan dapat memperbarui kebijakan AWS Security Hub konfigurasi sesuai kebutuhan. Administrator yang didelegasikan dapat memperbarui setelan kebijakan, akun atau OU yang terkait dengan kebijakan, atau keduanya. Ketika setelan kebijakan diperbarui, akun yang terkait dengan kebijakan konfigurasi secara otomatis mulai menggunakan kebijakan yang diperbarui.

Mirip dengan saat Anda membuat kebijakan konfigurasi, Anda dapat memperbarui setelan kebijakan berikut:

  • Aktifkan atau nonaktifkan Security Hub.

  • Aktifkan satu atau lebih standar keamanan.

  • Tunjukkan kontrol keamanan mana yang diaktifkan di seluruh standar yang diaktifkan. Anda dapat melakukannya dengan memberikan daftar kontrol khusus yang harus diaktifkan, dan Security Hub menonaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis. Atau, Anda dapat memberikan daftar kontrol khusus yang harus dinonaktifkan, dan Security Hub mengaktifkan semua kontrol lainnya, termasuk kontrol baru saat dirilis.

  • Secara opsional, sesuaikan parameter untuk memilih kontrol yang diaktifkan di seluruh standar yang diaktifkan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk memperbarui kebijakan konfigurasi.

Jika Anda menggunakan konfigurasi pusat, Security Hub secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Kontrol lain yang Anda pilih untuk diaktifkan meskipun kebijakan konfigurasi diaktifkan di semua Wilayah yang tersedia. Untuk membatasi temuan untuk kontrol ini hanya pada satu Wilayah, Anda dapat memperbarui pengaturan AWS Config perekam dan menonaktifkan perekaman sumber daya global di semua Wilayah kecuali Wilayah asal. Saat Anda menggunakan konfigurasi pusat, Anda tidak memiliki cakupan untuk kontrol yang tidak tersedia di Wilayah asal atau Wilayah yang ditautkan. Untuk daftar kontrol yang melibatkan sumber daya global, lihatKontrol yang menggunakan sumber daya global.

Console
Untuk memperbarui kebijakan konfigurasi

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

    Masuk menggunakan kredensional akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  2. Di panel navigasi, pilih Pengaturan dan Konfigurasi.

  3. Pilih tab Kebijakan.

  4. Pilih kebijakan konfigurasi yang ingin Anda edit, lalu pilih Edit. Jika diinginkan, edit pengaturan kebijakan. Biarkan bagian ini seolah-olah Anda ingin menjaga pengaturan kebijakan tidak berubah.

  5. Pilih Berikutnya. Jika diinginkan, edit asosiasi kebijakan. Biarkan bagian ini seolah-olah Anda ingin menjaga agar asosiasi kebijakan tidak berubah. Anda dapat mengaitkan atau memisahkan kebijakan dengan maksimal 15 target (akun, OU, atau root) saat Anda memperbaruinya.

  6. Pilih Selanjutnya.

  7. Tinjau perubahan Anda, lalu pilih Simpan dan terapkan. Di Wilayah beranda dan Wilayah tertaut, tindakan ini mengesampingkan setelan konfigurasi akun yang ada yang terkait dengan kebijakan konfigurasi ini. Akun dapat dikaitkan dengan kebijakan konfigurasi melalui aplikasi, atau warisan dari node induk.

API
Untuk memperbarui kebijakan konfigurasi

  1. Untuk memperbarui setelan dalam kebijakan konfigurasi, panggil UpdateConfigurationPolicyAPI dari akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  2. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui.

  3. Berikan nilai yang diperbarui untuk bidang di bawahConfigurationPolicy. Secara opsional, Anda juga dapat memberikan alasan untuk pembaruan.

  4. Untuk menambahkan asosiasi baru untuk kebijakan konfigurasi ini, panggil StartConfigurationPolicyAssociationAPI dari akun administrator yang didelegasikan Security Hub di Wilayah beranda. Untuk menghapus satu atau beberapa asosiasi saat ini, panggil StartConfigurationPolicyDisassociationAPI dari akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  5. Untuk ConfigurationPolicyIdentifier bidang, berikan ARN atau ID kebijakan konfigurasi yang asosiasinya ingin Anda perbarui.

  6. Untuk Target bidang, berikan akun, OU, atau ID root yang ingin Anda kaitkan atau lepaskan. Tindakan ini mengesampingkan asosiasi kebijakan sebelumnya untuk OU atau akun tertentu.

catatan

Saat Anda menjalankan UpdateConfigurationPolicy API, Security Hub melakukan penggantian daftar lengkap untukEnabledStandardIdentifiers,, EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers, dan SecurityControlCustomParameters bidang. Setiap kali Anda menjalankan API ini, berikan daftar lengkap standar yang ingin Anda aktifkan dan daftar lengkap kontrol yang ingin Anda aktifkan atau nonaktifkan dan sesuaikan parameternya.

Contoh permintaan API untuk memperbarui kebijakan konfigurasi:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
Untuk memperbarui kebijakan konfigurasi

  1. Untuk memperbarui pengaturan dalam kebijakan konfigurasi, jalankan update-configuration-policyperintah dari akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  2. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang ingin Anda perbarui.

  3. Berikan nilai yang diperbarui untuk bidang di bawahconfiguration-policy. Secara opsional, Anda juga dapat memberikan alasan untuk pembaruan.

  4. Untuk menambahkan asosiasi baru untuk kebijakan konfigurasi ini, jalankan start-configuration-policy-associationperintah dari akun administrator yang didelegasikan Security Hub di Wilayah beranda. Untuk menghapus satu atau beberapa asosiasi saat ini, jalankan start-configuration-policy-disassociationperintah dari akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  5. Untuk configuration-policy-identifier bidang, berikan ARN atau ID kebijakan konfigurasi yang asosiasinya ingin Anda perbarui.

  6. Untuk target bidang, berikan akun, OU, atau ID root yang ingin Anda kaitkan atau lepaskan. Tindakan ini mengesampingkan asosiasi kebijakan sebelumnya untuk OU atau akun tertentu.

catatan

Saat Anda menjalankan update-configuration-policy perintah, Security Hub melakukan penggantian daftar lengkap untukEnabledStandardIdentifiers,EnabledSecurityControlIdentifiers,DisabledSecurityControlIdentifiers, dan SecurityControlCustomParameters bidang. Setiap kali Anda menjalankan perintah ini, berikan daftar lengkap standar yang ingin Anda aktifkan dan daftar lengkap kontrol yang ingin Anda aktifkan atau nonaktifkan dan sesuaikan parameternya.

Contoh perintah untuk memperbarui kebijakan konfigurasi:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

StartConfigurationPolicyAssociationAPI mengembalikan bidang yang disebutAssociationStatus. Bidang ini memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan berhasil atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari PENDING ke SUCCESS atauFAILURE. Untuk informasi selengkapnya tentang status asosiasi, lihatStatus asosiasi konfigurasi.