Personalizzazione dei valori dei parametri di controllo

Le istruzioni per personalizzare i parametri di controllo variano a seconda che si utilizzi o meno la configurazione centrale in AWS Security Hub. La configurazione centrale è una funzionalità che l'amministratore delegato di Security Hub può utilizzare per configurare le funzionalità del Security Hub tra Regioni AWS account e unità organizzative (OUs).

Se l'organizzazione utilizza la configurazione centrale, l'amministratore delegato può creare politiche di configurazione che includono parametri di controllo personalizzati. Queste politiche possono essere associate ad account membri gestiti OUs centralmente e hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato può anche designare uno o più account come autogestiti, il che consente al proprietario dell'account di configurare i propri parametri separatamente in ciascuna regione. Se l'organizzazione non utilizza la configurazione centrale, è necessario personalizzare i parametri di controllo separatamente in ogni account e regione.

Ti consigliamo di utilizzare la configurazione centrale perché consente di allineare i valori dei parametri di controllo tra le diverse parti dell'organizzazione. Ad esempio, tutti gli account di test potrebbero utilizzare determinati valori di parametro e tutti gli account di produzione potrebbero utilizzare valori diversi.

Personalizzazione dei parametri di controllo in più account e regioni

Se sei l'amministratore delegato di Security Hub di un'organizzazione che utilizza la configurazione centrale, scegli il metodo preferito e segui i passaggi per personalizzare i parametri di controllo su più account e regioni.

Security Hub console

Per personalizzare i valori dei parametri di controllo in più account e regioni (console)

1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

   Assicurati di aver effettuato l'accesso alla regione d'origine.

2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

3. Scegliere la scheda Policy.

4. Per creare una nuova politica di configurazione che includa parametri personalizzati, scegli Crea politica. Per specificare parametri personalizzati in una politica di configurazione esistente, seleziona la politica, quindi scegli Modifica.

   Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati

   1. Nella sezione Politica personalizzata, scegli gli standard e i controlli di sicurezza che desideri abilitare.

   2. Seleziona Personalizza i parametri di controllo.

   3. Seleziona un controllo, quindi specifica i valori personalizzati per uno o più parametri.

   4. Per personalizzare i parametri per più controlli, scegli Personalizza controllo aggiuntivo.

   5. Nella sezione Account, seleziona gli account o a OUs cui desideri applicare la politica.

   6. Scegli Next (Successivo).

   7. Scegli Crea politica e applicala. Nella tua regione d'origine e in tutte le regioni collegate, questa azione ha la precedenza sulle impostazioni di configurazione esistenti degli account e OUs associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

   Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente

   1. Nella sezione Controlli, in Criteri personalizzati, specificate i nuovi valori dei parametri personalizzati che desiderate.

   2. Se è la prima volta che personalizzi i parametri di controllo in questa politica, seleziona Personalizza parametri di controllo, quindi seleziona un controllo da personalizzare. Per personalizzare i parametri per ulteriori controlli, scegli Personalizza controllo aggiuntivo.

   3. Nella sezione Account, verifica gli account o a OUs cui desideri applicare la politica.

   4. Scegli Next (Successivo).

   5. Rivedi le modifiche e verifica che siano corrette. Al termine, scegli Salva politica e applica. Nella tua regione d'origine e in tutte le regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account e OUs che sono associate a questa politica di configurazione. Account e OUs possono essere associati a una politica di configurazione tramite applicazione diretta o eredità da un genitore.

Security Hub API

Per personalizzare i valori dei parametri di controllo in più account e regioni (API)

Per creare una nuova politica di configurazione con valori dei parametri di controllo personalizzati

1. Invoca il CreateConfigurationPolicyAPI dall'account amministratore delegato nella regione d'origine.

2. Per l'SecurityControlCustomParametersoggetto, fornisci l'identificatore di ogni controllo che desideri personalizzare.

3. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Il Value campo non può essere vuoto quando lo ValueType èCUSTOM. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando il GetSecurityControlDefinitionAPI.

Per personalizzare i valori dei parametri di controllo in una politica di configurazione esistente

1. Invoca il UpdateConfigurationPolicyAPI dall'account amministratore delegato nella regione d'origine.

2. Per il Identifier campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.

3. Per l'SecurityControlCustomParametersoggetto, fornisci l'identificatore di ogni controllo che desideri personalizzare.

4. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando il GetSecurityControlDefinitionAPI.

Ad esempio, il AWS CLI comando seguente crea una nuova politica di configurazione con un valore personalizzato per il daysToExpiration parametro diACM.1. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'

Personalizzazione dei parametri di controllo in un unico account e regione

Se non utilizzi la configurazione centrale o disponi di un account autogestito, puoi personalizzare i parametri di controllo per il tuo account solo in una regione alla volta.

Scegli il tuo metodo preferito e segui i passaggi per personalizzare i parametri di controllo. Le modifiche si applicano solo al tuo account nella regione corrente. Per personalizzare i parametri di controllo in altre regioni, ripeti i passaggi seguenti in ogni account e regione aggiuntivi in cui desideri personalizzare i parametri. Lo stesso controllo può utilizzare valori di parametri diversi in regioni diverse.

Security Hub console

Per personalizzare i valori dei parametri di controllo in un account e in una regione (console)

1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Nel riquadro di navigazione, scegli Controlli. Nella tabella, scegli un controllo che supporti i parametri personalizzati per cui desideri modificare i parametri. La colonna Parametri personalizzati indica quali controlli supportano i parametri personalizzati.

3. Nella pagina dei dettagli del controllo, scegli la scheda Parametri, quindi scegli Modifica.

4. Specificate i valori dei parametri che desiderate.

5. Facoltativamente, nella sezione Motivo della modifica, selezionare un motivo per la personalizzazione dei parametri.

6. Seleziona Salva.

Security Hub API

Per personalizzare i valori dei parametri di controllo in un account e in un'unica regione (API)

1. Invoca il UpdateSecurityControlAPI.

2. PerSecurityControlId, fornisci l'ID del controllo che desideri personalizzare.

3. Per l'Parametersoggetto, fornite il nome di ogni parametro che desiderate personalizzare. Per ogni parametro che personalizzi, fornisci CUSTOMValueType. PerValue, fornisci il tipo di dati del parametro e il valore personalizzato. Se la richiesta omette un parametro supportato dal controllo, tale parametro mantiene il valore corrente. Puoi trovare parametri, tipi di dati e valori validi supportati per un controllo richiamando il GetSecurityControlDefinitionAPI.

4. FacoltativamenteLastUpdateReason, fornisci un motivo per personalizzare i parametri di controllo.

Ad esempio, il AWS CLI comando seguente definisce un valore personalizzato per il daysToExpiration parametro di. ACM.1 Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"