Questa documentazione è valida AWS CLI solo per la versione 1. Per la documentazione relativa alla versione 2 di AWS CLI, consulta la Guida per l'utente della versione 2.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di CSPM di Security Hub utilizzando AWS CLI
I seguenti esempi di codice mostrano come eseguire azioni e implementare scenari comuni utilizzando il CSPM AWS Command Line Interface with Security Hub.
Le azioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Sebbene le azioni mostrino come richiamare le singole funzioni del servizio, è possibile visualizzarle contestualizzate negli scenari correlati.
Ogni esempio include un link al codice sorgente completo, in cui vengono fornite le istruzioni su come configurare ed eseguire il codice nel contesto.
Argomenti
Azioni
Il seguente esempio di codice mostra come utilizzare. accept-administrator-invitation
- AWS CLI
-
Come accettare un invito da un account amministratore
L’esempio
accept-administrator-invitationseguente accetta l’invito dall’account amministratore specificato.aws securityhub accept-invitation \ --administrator-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta AcceptAdministratorInvitation AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareaccept-invitation.
- AWS CLI
-
Come accettare un invito da un account amministratore
L’esempio
accept-invitationseguente accetta l’invito dall’account amministratore specificato.aws securityhub accept-invitation \ --master-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta AcceptInvitation AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-delete-automation-rules.
- AWS CLI
-
Come eliminare le regole di automazione
L’esempio
batch-delete-automation-rulesseguente elimina la regola di automazione specificata. È possibile eliminare una o più regole con un solo comando. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, consulta Eliminare le regole di automazione nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta BatchDeleteAutomationRules AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-disable-standards.
- AWS CLI
-
Come disabilitare uno standard
L’esempio
batch-disable-standardsseguente disabilita lo standard associato all’ARN della sottoscrizione specificata.aws securityhub batch-disable-standards \ --standards-subscription-arns"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, consulta Disabilitazione o abilitazione di uno standard di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta BatchDisableStandards AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-enable-standards.
- AWS CLI
-
Come abilitare uno standard
L’esempio
batch-enable-standardsseguente abilita lo standard PCI DSS per l’account richiedente.aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, consulta Disabilitazione o abilitazione di uno standard di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta BatchEnableStandards AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-get-automation-rules.
- AWS CLI
-
Come ottenere i dettagli sulle regole di automazione
L’esempio
batch-get-automation-rulesseguente ottiene i dettagli per la regola di automazione specificata. È possibile ottenere dettagli per una o più regole con un solo comando.aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Output:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, consulta Visualizzazione delle regole di automazione nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta BatchGetAutomationRules AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-get-configuration-policy-associations.
- AWS CLI
-
Come ottenere i dettagli dell’associazione di configurazione per un batch di destinazioni
L’esempio
batch-get-configuration-policy-associationsseguente recupera i dettagli dell’associazione per le destinazioni specificate. È possibile fornire l'account IDs IDs, l'unità organizzativa o l'ID root per l'obiettivo.aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Per ulteriori informazioni, consulta Visualizzazione delle policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta BatchGetConfigurationPolicyAssociations AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-get-security-controls.
- AWS CLI
-
Come ottenere i dettagli del controllo di sicurezza
L'
batch-get-security-controlsesempio seguente ottiene i dettagli per i controlli di sicurezza ACM.1 e IAM.1 nell'account e nella regione correnti AWS . AWSaws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'Output:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }Per ulteriori informazioni, consulta Visualizzazione dei dettagli per un controllo nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, vedere BatchGetSecurityControls
in Command Reference.AWS CLI
-
Il seguente esempio di codice mostra come utilizzarebatch-get-standards-control-associations.
- AWS CLI
-
Come ottenere lo stato di abilitazione di un controllo
L’esempio
batch-get-standards-control-associationsseguente identifica se i controlli specificati sono abilitati negli standard indicati.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'Output:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }Per ulteriori informazioni, consulta Abilitazione e disabilitazione dei controlli con standard specifici nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta BatchGetStandardsControlAssociations AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-import-findings.
- AWS CLI
-
Come aggiornare un esito
L’esempio
batch-import-findingsseguente aggiorna un esito.aws securityhub batch-import-findings \ --findings '[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'Output:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }Per ulteriori informazioni, consulta Utilizzare BatchImportFindings per creare e aggiornare i risultati nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, vedere BatchImportFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-update-automation-rules.
- AWS CLI
-
Come aggiornare le regole di automazione
L’esempio
batch-update-automation-rulesseguente aggiornala regola di automazione specificata. È possibile aggiornare una o più regole con un solo comando. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, consulta Modifica delle regole di automazione nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta BatchUpdateAutomationRules AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-update-findings.
- AWS CLI
-
Esempio 1: come aggiornare un esito
L’esempio
batch-update-findingsseguente aggiorna due esiti per aggiungere una nota, modificare l’etichetta di gravità e risolvere il flusso di lavoro.aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Per ulteriori informazioni, consulta Utilizzare BatchUpdateFindings per aggiornare un risultato nella Guida per l'utente AWS di Security Hub.
Esempio 2: come aggiornare un esito utilizzando la sintassi abbreviata
L’esempio
batch-update-findingsseguente aggiorna due esiti per aggiungere una nota, modificare l’etichetta di gravità e risolvere il flusso di lavoro utilizzando la sintassi abbreviata.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Per ulteriori informazioni, consulta Utilizzare BatchUpdateFindings per aggiornare un risultato nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, vedere BatchUpdateFindings
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarebatch-update-standards-control-associations.
- AWS CLI
-
Come aggiornare lo stato di abilitazione di un controllo negli standard abilitati
L'
batch-update-standards-control-associationsesempio seguente disabilita CloudTrail .1 negli standard specificati.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'Questo comando non produce alcun output se ha esito positivo.
Per ulteriori informazioni, consulta Abilitazione e disabilitazione dei controlli con standard specifici e Abilitazione e disabilitazione dei controlli con tutti gli standard nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, vedere BatchUpdateStandardsControlAssociations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-action-target.
- AWS CLI
-
Come creare un’azione personalizzata
L’esempio
create-action-targetseguente crea un vocabolario personalizzato. Fornisce il nome, la descrizione e l’identificatore dell’operazione.aws securityhub create-action-target \ --name"Send to remediation"\ --description"Action to send the finding for remediation tracking"\ --id"Remediation"Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, consulta CreateActionTarget AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-automation-rule.
- AWS CLI
-
Come creare una regola di automazione
L'
create-automation-ruleesempio seguente crea una regola di automazione nell' AWS account corrente e AWS nella regione. Centrale di sicurezza filtra gli esiti in base ai criteri specificati e applica le operazioni agli esiti corrispondenti. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description"A sample rule"\ --no-is-terminal \ --rule-name"sample rule"\ --rule-order1\ --rule-status"ENABLED"Output:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Creazione di regole di automazione nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta CreateAutomationRule AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-configuration-policy.
- AWS CLI
-
Come creare una policy di configurazione
L’esempio
create-configuration-policyseguente crea una policy di configurazione con le impostazioni specificate.aws securityhub create-configuration-policy \ --name"SampleConfigurationPolicy"\ --description"SampleDescription"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Per ulteriori informazioni, consulta Creazione e associazione di policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta CreateConfigurationPolicy AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-finding-aggregator.
- AWS CLI
-
Come abilitare l’aggregazione degli esiti
L’esempio
create-finding-aggregatorseguente configura l’aggregazione degli esiti. Il comando viene eseguito dalla Regione Stati Uniti orientali (Virginia) e designa la Regione Stati Uniti orientali (Virginia) come Regione di aggregazione. Indica di collegare solo Regioni specifiche e di non collegare automaticamente nuove Regioni. Seleziona Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon) come Regioni collegate.aws securityhub create-finding-aggregator \ --regionus-east-1\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Per ulteriori informazioni, consulta Abilitazione dell’aggregazione degli esiti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta CreateFindingAggregator AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-insight.
- AWS CLI
-
Come creare un approfondimento personalizzato
L'
create-insightesempio seguente crea un'analisi personalizzata denominata Critical role finding che restituisce risultati critici correlati ai AWS ruoli.aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute"ResourceId"\ --name"Critical role findings"Output:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Gestione di informazioni dettagliate personalizzate nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta CreateInsight AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarecreate-members.
- AWS CLI
-
Come aggiungere account come account membri
L’esempio
create-membersseguente aggiunge due account come account membri all’account amministratore richiedente.aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta CreateMembers AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredecline-invitations.
- AWS CLI
-
Come rifiutare un invito a diventare un account membro
L’esempio
decline-invitationsseguente rifiuta un invito a diventare un account membro dell’account amministratore specificato. L’account membro è l’account richiedente.aws securityhub decline-invitations \ --account-ids"123456789012"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DeclineInvitations AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-action-target.
- AWS CLI
-
Come eliminare un’azione personalizzata
L’esempio
delete-action-targetseguente elimina l’operazione identificata dall’ARN specificato.aws securityhub delete-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, consulta DeleteActionTarget AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-configuration-policy.
- AWS CLI
-
Come eliminare una policy di configurazione
L’esempio
delete-configuration-policyseguente elimina la policy di configurazione specificata.aws securityhub delete-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Eliminazione e dissociazione di policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DeleteConfigurationPolicy AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-finding-aggregator.
- AWS CLI
-
Come arrestare l’aggregazione di esiti
L’esempio
delete-finding-aggregatorseguente arresta l’aggregazione degli esiti. Il comando viene eseguito dalla Regione Stati Uniti orientali (Virginia), ovvero la Regione di aggregazione.aws securityhub delete-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Arresto dell’aggregazione degli esiti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DeleteFindingAggregator AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-insight.
- AWS CLI
-
Come eliminare un approfondimento personalizzato
L’esempio
delete-insightseguente elimina l’approfondimento personalizzato con l’ARN specificato.aws securityhub delete-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Gestione di informazioni dettagliate personalizzate nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DeleteInsight AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-invitations.
- AWS CLI
-
Come eliminare un invito a diventare un account membro
L’esempio
delete-invitationsseguente elimina un invito a diventare un account membro per l’account amministratore specificato. L’account membro è l’account richiedente.aws securityhub delete-invitations \ --account-ids"123456789012"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DeleteInvitations AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredelete-members.
- AWS CLI
-
Come eliminare account membri
L’esempio
delete-membersseguente elimina gli account membri specificati dall’account amministratore richiedente.aws securityhub delete-members \ --account-ids"123456789111""123456789222"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DeleteMembers AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-action-targets.
- AWS CLI
-
Come recuperare dettagli sulle operazioni personalizzate
L’esempio
describe-action-targetsseguente recupera informazioni sull’operazione personalizzata identificata dall’ARN specificato.aws securityhub describe-action-targets \ --action-target-arns"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Output:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, consulta DescribeActionTargets AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-hub.
- AWS CLI
-
Come ottenere informazioni su una risorsa hub
L'
describe-hubesempio seguente restituisce la data di sottoscrizione e altre impostazioni di configurazione per la risorsa hub specificata. La risorsa hub viene identificata mediante il rispettivo ARN.aws securityhub describe-hub \ --hub-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Output:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z", "AutoEnableControls": true, "ControlFindingGenerator": "SECURITY_CONTROL" }Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per i dettagli sull'API, consulta DescribeHub AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-organization-configuration.
- AWS CLI
-
Come visualizzare la configurazione di Centrale di sicurezza per un’organizzazione
L’esempio
describe-organization-configurationseguente restituisce informazioni sul modo in cui un’organizzazione è configurata in Centrale di sicurezza. In questo esempio, l’organizzazione utilizza una configurazione centrale. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub describe-organization-configurationOutput:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }Per ulteriori informazioni, consulta Managing accounts with AWS Organizations nella AWS Security Hub User Guide.
-
Per i dettagli sull'API, vedere DescribeOrganizationConfiguration
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-products.
- AWS CLI
-
Come restituire informazioni sulle integrazioni di prodotti disponibili
L’esempio
describe-productsseguente restituisce singolarmente le integrazioni di prodotti disponibili.aws securityhub describe-products \ --max-results1Output:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DescribeProducts AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-standards-controls.
- AWS CLI
-
Come richiedere l’elenco di controlli in uno standard abilitato
L’esempio
describe-standards-controlsseguente richiede l’elenco dei controlli nella sottoscrizione dell’account richiedente allo standard PCI DSS. La richiesta restituisce due controlli alla volta.aws securityhub describe-standards-controls \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"\ --max-results2Output:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }Per ulteriori informazioni, consulta Visualizzazione dei dettagli per i controlli nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DescribeStandardsControls AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredescribe-standards.
- AWS CLI
-
Come restituire un elenco di standard disponibili
L’esempio
describe-standardsseguente restituisce l’elenco degli standard disponibili.aws securityhub describe-standardsOutput:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }Per ulteriori informazioni, consulta gli standard di sicurezza in AWS Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, vedere DescribeStandards
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisable-import-findings-for-product.
- AWS CLI
-
Come interrompere la ricezione di esiti da un’integrazione di prodotti
L’esempio
disable-import-findings-for-productseguente disabilita il flusso di esiti per la sottoscrizione specificata a un’integrazione di prodotti.aws securityhub disable-import-findings-for-product \ --product-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DisableImportFindingsForProduct AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisable-organization-admin-account.
- AWS CLI
-
Come rimuovere un account amministratore di Centrale di sicurezza
L'
disable-organization-admin-accountesempio seguente revoca l'assegnazione dell'account specificato come account amministratore di Security Hub per Organizations. AWSaws securityhub disable-organization-admin-account \ --admin-account-id777788889999Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Designazione di un account amministratore di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, vedere DisableOrganizationAdminAccount
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisable-security-hub.
- AWS CLI
-
Per disabilitare AWS Security Hub
L'
disable-security-hubesempio seguente disattiva AWS Security Hub per l'account richiedente.aws securityhub disable-security-hubQuesto comando non produce alcun output.
Per ulteriori informazioni, vedere Disabling AWS Security Hub nella Security Hub User Guide.AWS
-
Per i dettagli sull'API, vedere DisableSecurityHub
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisassociate-from-administrator-account.
- AWS CLI
-
Come annullare l’associazione da un account amministratore
L’esempio
disassociate-from-administrator-accountseguente annulla l’associazione tra l’account richiedente e il relativo account amministratore corrente.aws securityhub disassociate-from-administrator-accountQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DisassociateFromAdministratorAccount AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisassociate-from-master-account.
- AWS CLI
-
Come annullare l’associazione da un account amministratore
L’esempio
disassociate-from-master-accountseguente annulla l’associazione tra l’account richiedente e il relativo account amministratore corrente.aws securityhub disassociate-from-master-accountQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DisassociateFromMasterAccount AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzaredisassociate-members.
- AWS CLI
-
Come annullare l’associazione di account membri
L’esempio
disassociate-membersseguente annulla l’associazione tra gli account membri specificati e l’account amministratore richiedente.aws securityhub disassociate-members \ --account-ids"123456789111""123456789222"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta DisassociateMembers AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareenable-import-findings-for-product.
- AWS CLI
-
Come iniziare a ricevere gli esiti da un’integrazione di prodotti
L’esempio
enable-import-findings-for-productseguente abilita il flusso di esiti dall’integrazione di prodotti.aws securityhub enable-import-findings-for-product \ --product-arn"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"Output:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta EnableImportFindingsForProduct AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareenable-organization-admin-account.
- AWS CLI
-
Come designare un account dell’organizzazione come account amministratore di Centrale di sicurezza
L’esempio
enable-organization-admin-accountseguente designa l’account specificato come account amministratore di Centrale di sicurezza.aws securityhub enable-organization-admin-account \ --admin-account-id777788889999Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Designazione di un account amministratore di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta EnableOrganizationAdminAccount AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareenable-security-hub.
- AWS CLI
-
Per abilitare AWS Security Hub
L'
enable-security-hubesempio seguente abilita AWS Security Hub per l'account richiedente. Il comando configura Centrale di sicurezza per abilitare gli standard predefiniti. Per la risorsa hub, assegna il valoreSecurityal tagDepartment.aws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Abilitazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, vedere EnableSecurityHub
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-administrator-account.
- AWS CLI
-
Come recuperare informazioni su un account amministratore
L’esempio
get-administrator-accountseguente recupera informazioni sull’account amministratore per l’account richiedente.aws securityhub get-administrator-accountOutput:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetAdministratorAccount AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-configuration-policy-association.
- AWS CLI
-
Come ottenere i dettagli dell’associazione di configurazione per una destinazione
L’esempio
get-configuration-policy-associationseguente recupera i dettagli dell’associazione per la destinazione specificata. È possibile fornire un ID account, l’ID delle unità organizzative o l’ID root per la destinazione.aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Per ulteriori informazioni, consulta Visualizzazione delle policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetConfigurationPolicyAssociation AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-configuration-policy.
- AWS CLI
-
Come visualizzare i dettagli della policy di configurazione
L’esempio
get-configuration-policyseguente recupera i dettagli sulla policy di configurazione specificata.aws securityhub get-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Per ulteriori informazioni, consulta Visualizzazione delle policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetConfigurationPolicy AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-enabled-standards.
- AWS CLI
-
Come recuperare informazioni su uno standard abilitato
L’esempio
get-enabled-standardsseguente recupera le informazioni sullo standard PCI DSS.aws securityhub get-enabled-standards \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, consulta gli standard di sicurezza in AWS Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, vedere GetEnabledStandards
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-finding-aggregator.
- AWS CLI
-
Come recuperare la configurazione di aggregazione degli esiti corrente
L’esempio
get-finding-aggregatorseguente recupera la configurazione di aggregazione degli esiti corrente.aws securityhub get-finding-aggregator \ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Per ulteriori informazioni, consulta Visualizzazione della configurazione di aggregazione degli esiti corrente nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetFindingAggregator AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-finding-history.
- AWS CLI
-
Come visualizzare la cronologia degli esiti
L’esempio
get-finding-historyseguente recupera gli ultimi 90 giorni della cronologia per l’esito specificato. In questo esempio, i risultati sono limitati a due record della cronologia degli esiti.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"Output:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }Per ulteriori informazioni, consulta Cronologia degli esiti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetFindingHistory AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-findings.
- AWS CLI
-
Esempio 1: come restituire gli esiti generati per uno standard specifico
L’esempio
get-findingsseguente restituisce gli esiti per lo standard PCI DSS.aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items1Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }Esempio 2: come restituire gli esiti con gravità critica con stato NOTIFIED del flusso di lavoro
L’esempio
get-findingsseguente restituisce gli esiti con un valore dell’etichetta di gravità pari a CRITICAL e lo stato del flusso di lavoro impostato su NOTIFIED. I risultati vengono visualizzati in ordine decrescente in base al valore di Confidence.aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items1Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }Per ulteriori informazioni, consulta Filtro e raggruppamento degli esiti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetFindings AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-insight-results.
- AWS CLI
-
Come recuperare i risultati per un approfondimento
L’esempio
get-insight-resultsseguente restituisce l’elenco dei risultati di approfondimento con l’ARN specificato.aws securityhub get-insight-results \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }Per ulteriori informazioni, consulta Visualizzazione e azioni su risultati e risultati di informazione dettagliata nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetInsightResults AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-insights.
- AWS CLI
-
Come recuperare i dettagli su un approfondimento
L’esempio
get-insightsseguente recupera i dettagli di configurazione per l’approfondimento con l’ARN specificato.aws securityhub get-insights \ --insight-arns"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }Per ulteriori informazioni, consulta Insights in AWS Security Hub nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, consulta GetInsights AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-invitations-count.
- AWS CLI
-
Come recuperare il numero di inviti non accettati
L’esempio
get-invitations-countseguente recupera il numero di inviti rifiutati o senza risposta da parte dell’account richiedente.aws securityhub get-invitations-countOutput:
{ "InvitationsCount": 3 }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetInvitationsCount AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-master-account.
- AWS CLI
-
Come recuperare informazioni su un account amministratore
L’esempio
get-master-accountseguente recupera informazioni sull’account amministratore per l’account richiedente.aws securityhub get-master-accountOutput:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetMasterAccount AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-members.
- AWS CLI
-
Come recuperare informazioni sugli account membri selezionati
L’esempio
get-membersseguente recupera le informazioni relative agli account membri specificati.aws securityhub get-members \ --account-ids"444455556666""777788889999"Output:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetMembers AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareget-security-control-definition.
- AWS CLI
-
Come ottenere i dettagli della definizione del controllo di sicurezza
L’esempio
get-security-control-definitionseguente recupera i dettagli della definizione per un controllo di Centrale di sicurezza. I dettagli includono il titolo e la descrizione del controllo, la disponibilità della Regione, i parametri e altre informazioni.aws securityhub get-security-control-definition \ --security-control-idACM.1Output:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }Per ulteriori informazioni, consulta Parametri di controllo personalizzati nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta GetSecurityControlDefinition AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareinvite-members.
- AWS CLI
-
Come inviare inviti agli account membro
L’esempio
invite-membersseguente invia gli inviti agli account membri specificati.aws securityhub invite-members \ --account-ids"123456789111""123456789222"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta InviteMembers AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-automation-rules.
- AWS CLI
-
Come visualizzare un elenco di regole di automazione
L'
list-automation-rulesesempio seguente elenca le regole di automazione per un AWS account. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub list-automation-rules \ --max-results3\ --next-tokenNULLOutput:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }Per ulteriori informazioni, consulta Visualizzazione delle regole di automazione nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListAutomationRules AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-configuration-policies.
- AWS CLI
-
Come elencare i riepiloghi delle policy di configurazione
L’esempio
list-configuration-policiesseguente elenca un riepilogo delle policy di configurazione per l’organizzazione.aws securityhub list-configuration-policies \ --max-items3Output:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }Per ulteriori informazioni, consulta Visualizzazione delle policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListConfigurationPolicies AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-configuration-policy-associations.
- AWS CLI
-
Come elencare le associazioni di configurazione
L’esempio
list-configuration-policy-associationsseguente elenca un riepilogo delle associazioni di configurazione per l’organizzazione. La risposta include associazioni con policy di configurazione e comportamenti autogestiti.aws securityhub list-configuration-policy-associations \ --filters '{"AssociationType": "APPLIED"}' \ --max-items4Output:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }Per ulteriori informazioni, consulta Visualizzazione dello stato e dei dettagli delle policy di configurazione nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListConfigurationPolicyAssociations AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-enabled-products-for-import.
- AWS CLI
-
Come restituire l’elenco delle integrazioni di prodotti abilitate
L’esempio
list-enabled-products-for-importseguente restituisce l’elenco degli ARN delle sottoscrizioni per le integrazioni di prodotti attualmente abilitate.aws securityhub list-enabled-products-for-importOutput:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListEnabledProductsForImport AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-finding-aggregators.
- AWS CLI
-
Come elencare i widget disponibili
L’esempio
list-finding-aggregatorsseguente restituisce l’ARN della configurazione di aggregazione degli esiti.aws securityhub list-finding-aggregatorsOutput:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }Per ulteriori informazioni, consulta Visualizzazione della configurazione di aggregazione degli esiti corrente nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListFindingAggregators AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-invitations.
- AWS CLI
-
Come visualizzare un elenco di inviti
L’esempio
list-invitationsseguente recupera l’elenco degli inviti inviati all’account richiedente.aws securityhub list-invitationsOutput:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListInvitations AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-members.
- AWS CLI
-
Come recuperare un elenco di account membri
L’esempio
list-membersseguente restituisce l’elenco di account membri per l’account amministratore richiedente.aws securityhub list-membersOutput:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }Per ulteriori informazioni, consulta Gestione degli account degli amministratori e dei membri nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListMembers AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-organization-admin-accounts.
- AWS CLI
-
Come elencare gli account amministrativi designati per Centrale di sicurezza
L’esempio
list-organization-admin-accountsseguente elenca gli account amministratore di Centrale di sicurezza per un’organizzazione.aws securityhub list-organization-admin-accountsOutput:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }Per ulteriori informazioni, consulta Designazione di un account amministratore di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta ListOrganizationAdminAccounts AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-security-control-definitions.
- AWS CLI
-
Esempio 1: come elencare tutti i controlli di sicurezza disponibili
L’esempio
list-security-control-definitionsseguente elenca i controlli di sicurezza disponibili in tutti gli standard di Centrale di sicurezza. Questo esempio limita i risultati a tre controlli.aws securityhub list-security-control-definitions \ --max-items3Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }Per ulteriori informazioni, consulta Visualizzazione dei dettagli per uno standard nella Guida per l’utente di Centrale di sicurezza AWS .
Esempio 2: come elencare i controlli di sicurezza disponibili per uno standard specifico
L'
list-security-control-definitionsesempio seguente elenca i controlli di sicurezza disponibili per il CIS AWS Foundations Benchmark v1.4.0. Questo esempio limita i risultati a tre controlli.aws securityhub list-security-control-definitions \ --standards-arn"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"\ --max-items3Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }Per ulteriori informazioni, consulta Visualizzazione dei dettagli per uno standard nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, vedere ListSecurityControlDefinitions
in Command Reference.AWS CLI
-
Il seguente esempio di codice mostra come utilizzarelist-standards-control-associations.
- AWS CLI
-
Come ottenere lo stato di abilitazione di un controllo in ogni standard abilitato
L'
list-standards-control-associationsesempio seguente elenca lo stato di abilitazione di CloudTrail .1 in ogni standard abilitato.aws securityhub list-standards-control-associations \ --security-control-idCloudTrail.1Output:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }Per ulteriori informazioni, consulta Abilitazione e disabilitazione dei controlli con standard specifici nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, vedere ListStandardsControlAssociations
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzarelist-tags-for-resource.
- AWS CLI
-
Come recuperare i tag assegnati a una risorsa
L’esempio
list-tags-for-resourceseguente restituisce i tag associati alla risorsa hub specificata.aws securityhub list-tags-for-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Output:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per i dettagli sull'API, consulta ListTagsForResource AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarestart-configuration-policy-association.
- AWS CLI
-
Esempio 1: come associare una policy di configurazione
L’esempio
start-configuration-policy-associationseguente associa la policy di configurazione specificata all’unità organizzativa indicata. Una configurazione può essere associata a un account di destinazione, a un’unità organizzativa o alla radice.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Per ulteriori informazioni, consulta Creazione e associazione di policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
Esempio 2: come associare una configurazione autogestita
L’esempio
start-configuration-policy-associationseguente associa una configurazione autogestita all’account specificato.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"OrganizationalUnitId": "123456789012"}'Output:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Per ulteriori informazioni, consulta Creazione e associazione di policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta StartConfigurationPolicyAssociation AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzarestart-configuration-policy-disassociation.
- AWS CLI
-
Esempio 1: come annullare l’associazione per una policy di configurazione
L’esempio
start-configuration-policy-disassociationseguente annulla l’associazione tra la policy di configurazione e l’unità organizzativa specificata. Per una configurazione, l’associazione può essere annullata da un account di destinazione, da un’unità organizzativa o dalla root.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Dissociazione di una configurazione dagli account e OUs nella Guida per l'utente AWS di Security Hub.
Esempio 2: come annullare l’associazione per una configurazione autogestita
L’esempio
start-configuration-policy-disassociationseguente annulla l’associazione tra una configurazione autogestita e l’account specificato.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"AccountId": "123456789012"}'Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Dissociazione di una configurazione dagli account e OUs nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, vedere StartConfigurationPolicyDisassociation
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzaretag-resource.
- AWS CLI
-
Come assegnare un tag a una risorsa
L’esempio
tag-resourceseguente assegna valori per i tag Department e Area alla risorsa hub specificata.aws securityhub tag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tags '{"Department":"Operations", "Area":"USMidwest"}'Questo comando non produce alcun output.
Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per i dettagli sull'API, consulta TagResource AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareuntag-resource.
- AWS CLI
-
Come rimuovere un tag da una risorsa
L’esempio
untag-resourceseguente rimuove il tag Department dalla risorsa hub specificata.aws securityhub untag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tag-keys"Department"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere AWS::SecurityHub: :Hub nella Guida per l'AWS CloudFormation utente.
-
Per i dettagli sull'API, consulta UntagResource AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-action-target.
- AWS CLI
-
Come aggiornare un’operazione personalizzata
L’esempio
update-action-targetseguente elimina il nome dell’operazione personalizzata identificata dall’ARN specificato.aws securityhub update-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"\ --name"Send to remediation"Questo comando non produce alcun output.
Per ulteriori informazioni, vedere Creazione di un'azione personalizzata e associazione a una regola CloudWatch Events nella Guida per l'utente AWS di Security Hub.
-
Per i dettagli sull'API, consulta UpdateActionTarget AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-configuration-policy.
- AWS CLI
-
Come aggiornare una policy di configurazione
L’esempio
update-configuration-policyseguente aggiorna una policy di configurazione esistente per utilizzare le impostazioni specificate.aws securityhub update-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"\ --name"SampleConfigurationPolicyUpdated"\ --description"SampleDescriptionUpdated"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }Per ulteriori informazioni, consulta Aggiornamento delle policy di configurazione di Centrale di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta UpdateConfigurationPolicy AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-finding-aggregator.
- AWS CLI
-
Come aggiornare la configurazione di aggregazione degli esiti corrente
L’esempio
update-finding-aggregatorseguente modifica la configurazione dell’aggregazione degli esiti in base al collegamento da Regioni selezionate. Il comando viene eseguito dalla Regione Stati Uniti orientali (Virginia), ovvero la Regione di aggregazione. Seleziona Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon) come Regioni collegate.aws securityhub update-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Aggiornamento della configurazione di aggregazione degli esiti nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta UpdateFindingAggregator AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-insight.
- AWS CLI
-
Esempio 1: come modificare il filtro per un approfondimento personalizzato
L’esempio
update-insightseguente modifica il filtro per un approfondimento personalizzato. L'analisi aggiornata cerca risultati con una severità elevata correlati ai AWS ruoli.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name"High severity role findings"Esempio 2: come modificare l’attributo di raggruppamento per un approfondimento personalizzato
L’esempio
update-insightseguente modifica l’attributo di raggruppamento per l’approfondimento personalizzato con l’ARN specificato. Il nuovo attributo di raggruppamento è l’ID della risorsa.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --group-by-attribute"ResourceId"\ --name"Critical role findings"Output:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }Per ulteriori informazioni, consulta Gestione di informazioni dettagliate personalizzate nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta UpdateInsight AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-organization-configuration.
- AWS CLI
-
Come aggiornare la configurazione di Centrale di sicurezza per un’organizzazione
L’esempio
update-organization-configurationseguente specifica che Centrale di sicurezza deve utilizzare la configurazione centrale per un’organizzazione. Dopo aver eseguito questo comando, l’amministratore di Centrale di sicurezza delegato può creare e gestire le policy di configurazione per configurare l’organizzazione. L’amministratore può utilizzare questo comando anche per passare dalla configurazione centrale a quella locale. Se il tipo di configurazione è locale, l’amministratore può scegliere se abilitare automaticamente Centrale di sicurezza e gli standard di sicurezza predefiniti nei nuovi account dell’organizzazione.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Managing accounts with AWS Organizations nella AWS Security Hub User Guide.
-
Per i dettagli sull'API, vedere UpdateOrganizationConfiguration
in AWS CLI Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-security-control.
- AWS CLI
-
Come aggiornare le proprietà del controllo di sicurezza
L’esempio
update-security-controlseguente specifica valori personalizzati per un parametro di controllo di sicurezza di Centrale di sicurezza.aws securityhub update-security-control \ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Parametri di controllo personalizzati nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta UpdateSecurityControl AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-security-hub-configuration.
- AWS CLI
-
Come aggiornare la configurazione di Centrale di sicurezza
L’esempio
update-security-hub-configurationseguente configura Centrale di sicurezza per abilitare automaticamente nuovi controlli per gli standard abilitati.aws securityhub update-security-hub-configuration \ --auto-enable-controlsQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Abilitazione automatica di nuovi controlli nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta UpdateSecurityHubConfiguration AWS CLI
Command Reference.
-
Il seguente esempio di codice mostra come utilizzareupdate-standards-control.
- AWS CLI
-
Esempio 1: come disabilitare un controllo
L'
update-standards-controlesempio seguente disattiva il PCI. AutoScaling1. Controllo.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"DISABLED"\ --disabled-reason"Not applicable for my service"Questo comando non produce alcun output.
Esempio 2: come abilitare un controllo
L'
update-standards-controlesempio seguente abilita il PCI. AutoScaling1. controllo.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"ENABLED"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Disabilitazione e abilitazione dei controlli individuali nella Guida per l’utente di Centrale di sicurezza AWS .
-
Per i dettagli sull'API, consulta UpdateStandardsControl AWS CLI
Command Reference.
-
