Creazione e associazione dei criteri di configurazione del Security Hub - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione e associazione dei criteri di configurazione del Security Hub

L'account amministratore delegato può creare politiche di AWS Security Hub configurazione e associarle agli account dell'organizzazione, alle unità organizzative (OU) o alla radice. È inoltre possibile associare una configurazione autogestita agli account, alle unità organizzative o alla directory principale.

Se è la prima volta che crei una politica di configurazione, ti consigliamo di Come funzionano le politiche di configurazione di Security Hub esaminarla prima.

Scegliete il metodo di accesso preferito e seguite i passaggi per creare e associare una policy di configurazione o una configurazione autogestita. Quando si utilizza la console Security Hub, è possibile associare una configurazione a più account o unità organizzative contemporaneamente. Quando si utilizza l'API Security Hub oppure AWS CLI, è possibile associare una configurazione a un solo account o unità organizzativa in ogni richiesta.

Nota

Se si utilizza la configurazione centrale, Security Hub disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine. Quando utilizzi la configurazione centrale, non hai la copertura necessaria per un controllo che non è disponibile nella regione d'origine e in nessuna delle regioni collegate. Per un elenco dei controlli che coinvolgono risorse globali, consultaControlli che riguardano le risorse globali.

Security Hub console
Per creare e associare politiche di configurazione

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Configurazione e la scheda Politiche. Quindi, scegli Crea politica.

  3. Nella pagina Configura organizzazione, se è la prima volta che crei una politica di configurazione, vedi tre opzioni in Tipo di configurazione. Se hai già creato almeno una politica di configurazione, vedi solo l'opzione Politica personalizzata.

    • Scegli Usa la configurazione AWS consigliata di Security Hub in tutta la mia organizzazione per utilizzare la nostra politica consigliata. La politica consigliata abilita Security Hub in tutti gli account dell'organizzazione, abilita lo standard AWS Foundational Security Best Practices (FSBP) e abilita tutti i controlli FSBP nuovi ed esistenti. I controlli utilizzano i valori dei parametri predefiniti.

    • Scegli Non sono ancora pronto a configurare per creare una politica di configurazione in un secondo momento.

    • Scegli Politica personalizzata per creare una politica di configurazione personalizzata. Specificare se abilitare o disabilitare Security Hub, quali standard abilitare e quali controlli abilitare in base a tali standard. Facoltativamente, specifica i valori dei parametri personalizzati per uno o più controlli abilitati che supportano i parametri personalizzati.

  4. Nella sezione Account, scegli gli account di destinazione, le unità organizzative o la radice a cui desideri applicare la politica di configurazione.

    • Scegli Tutti gli account se desideri applicare la politica di configurazione alla radice. Ciò include tutti gli account e le unità organizzative dell'organizzazione a cui non è stata applicata o ereditata un'altra politica.

    • Scegli Account specifici se desideri applicare la politica di configurazione a account o unità organizzative specifici. Inserisci gli ID degli account o seleziona gli account e le unità organizzative dalla struttura dell'organizzazione. È possibile applicare la politica a un massimo di 15 account o a un'unità organizzativa contenente un massimo di 15 account. Per specificare un numero maggiore, modifica la politica dopo la creazione e applicala ad altri account.

    • Scegli Solo l'amministratore delegato per applicare la politica di configurazione all'account amministratore delegato corrente.

  5. Seleziona Successivo.

  6. Nella pagina Rivedi e applica, esamina i dettagli della politica di configurazione. Quindi, scegli Crea politica e applica. Nella tua regione d'origine e nelle aree collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati alla politica di configurazione tramite l'applicazione o l'ereditarietà da un nodo principale. Gli account secondari e le unità organizzative delle destinazioni applicate erediteranno automaticamente questa politica di configurazione a meno che non vengano specificamente esclusi, gestiti automaticamente o utilizzino una politica di configurazione diversa.

Security Hub API
Per creare e associare politiche di configurazione

  1. Richiama l'CreateConfigurationPolicyAPI dall'account amministratore delegato di Security Hub nella regione di origine.

  2. PerName, fornisci un nome univoco per la politica di configurazione. FacoltativamenteDescription, fornisci una descrizione della politica di configurazione.

  3. Per il ServiceEnabled campo, specifica se desideri che Security Hub sia abilitato o disabilitato in questa politica di configurazione.

  4. Per il EnabledStandardIdentifiers campo, specifica quali standard Security Hub desideri abilitare in questa politica di configurazione.

  5. Per l'SecurityControlsConfigurationoggetto, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta EnabledSecurityControlIdentifiers significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta DisabledSecurityControlIdentifiers significa che i controlli specificati sono disabilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.

  6. Facoltativamente, per il SecurityControlCustomParameters campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. CUSTOMSpecificate il ValueType campo e il valore del parametro personalizzato per il Value campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta Parametri di controllo personalizzati.

  7. Per applicare i criteri di configurazione agli account o alle unità organizzative, richiama l'StartConfigurationPolicyAssociationAPI dall'account amministratore delegato di Security Hub nella regione di residenza.

  8. Per il ConfigurationPolicyIdentifier campo, fornisci l'Amazon Resource Name (ARN) o l'identificatore univoco universale (UUID) della politica. L'ARN e l'UUID vengono restituiti dall'API. CreateConfigurationPolicy Per una configurazione autogestita, il ConfigurationPolicyIdentifier campo è uguale a. SELF_MANAGED_SECURITY_HUB

  9. Per il Target campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo in ogni richiesta API. Gli account secondari e le unità organizzative della destinazione selezionata erediteranno automaticamente questa politica di configurazione, a meno che non vengano gestiti automaticamente o utilizzino una politica di configurazione diversa.

Esempio di richiesta API per creare una politica di configurazione:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Esempio di richiesta API per associare una politica di configurazione:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Per creare e associare politiche di configurazione

  1. Esegui il create-configuration-policycomando dall'account amministratore delegato di Security Hub nella regione di residenza.

  2. Pername, fornisci un nome univoco per la politica di configurazione. Facoltativamentedescription, fornisci una descrizione della politica di configurazione.

  3. Per il ServiceEnabled campo, specifica se desideri che Security Hub sia abilitato o disabilitato in questa politica di configurazione.

  4. Per il EnabledStandardIdentifiers campo, specifica quali standard Security Hub desideri abilitare in questa politica di configurazione.

  5. Per il SecurityControlsConfiguration campo, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta EnabledSecurityControlIdentifiers significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta DisabledSecurityControlIdentifiers significa che i controlli specificati sono disabilitati. Gli altri controlli che si applicano agli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.

  6. Facoltativamente, per il SecurityControlCustomParameters campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. CUSTOMSpecificate il ValueType campo e il valore del parametro personalizzato per il Value campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta Parametri di controllo personalizzati.

  7. Per applicare i criteri di configurazione agli account o alle unità organizzative, esegui il start-configuration-policy-associationcomando dall'account amministratore delegato di Security Hub nella regione di origine.

  8. Per il configuration-policy-identifier campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione. L'ARN e l'ID vengono restituiti dal create-configuration-policy comando.

  9. Per il target campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo ogni volta che si esegue il comando. I figli della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non si gestiscano autonomamente o utilizzino una politica di configurazione diversa.

Comando di esempio per creare una politica di configurazione:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Comando di esempio per associare una politica di configurazione:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

L'StartConfigurationPolicyAssociationAPI restituisce un campo chiamatoAssociationStatus. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a SUCCESS o FAILURE può richiedere fino a 24 ore. PENDING Per ulteriori informazioni sullo stato dell'associazione, vedereStato di associazione di una configurazione.