Abilitazione del Security Hub - AWSSecurity Hub
Abilita Security Hub per un'AWSorganizzazioneAbilitare Security Hub in un account autonomo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione del Security Hub

Puoi abilitare Security Hub per qualsiasiAccount AWS. Questa sezione della documentazione descrive tutti i passaggi necessari per abilitare Security Hub per un'AWSorganizzazione o un account autonomo.

Abilita Security Hub per un'AWSorganizzazione

Questa sezione include tre passaggi:

  • Nella Fase 1, l'account di gestione AWS dell'organizzazione designa un amministratore delegato per la propria AWS organizzazione, crea la politica dell'amministratore delegato e, facoltativamente, abilita Security Hub per il proprio account.

  • Nella Fase 2, l'amministratore delegato dell'organizzazione abilita Security Hub per il proprio account.

  • Nella Fase 3, l'amministratore delegato dell'organizzazione configura tutti gli account dei membri dell'organizzazione, per Security Hub e altri servizi di sicurezza supportati.

Passaggio 1. Delega di un account amministratore e, facoltativamente, attivazione di Security Hub nell'account di gestione dell'AWSorganizzazione

Nota

Questo passaggio deve essere completato solo in una regione dell'account di gestione dell'organizzazione.

Quando si assegna l'account amministratore delegato per Security Hub, l'account che è possibile scegliere per l'amministratore delegato dipenderà da come è stato configurato un amministratore delegato per Security Hub CSPM. Se hai configurato un amministratore delegato per Security Hub CSPM e quell'account non è l'account di gestione dell'organizzazione, quell'account verrà automaticamente impostato come amministratore delegato di Security Hub e non sarà possibile scegliere un account diverso. Se l'account amministratore delegato per Security Hub CSPM è impostato come account di gestione dell'organizzazione o non lo è affatto, puoi scegliere quale account sarà il tuo account amministratore delegato di Security Hub, ad eccezione dell'account di gestione dell'organizzazione.

Per informazioni sulla designazione di un amministratore delegato in Security Hub, vedere Designazione di un account amministratore delegato in Security Hub. Per informazioni sulla creazione della politica di amministratore delegato in Security Hub, vedere Creazione della politica di amministratore delegato in Security Hub.

Per designare un amministratore per Security Hub

  1. Accedi al tuo AWS account con le credenziali dell'account di gestione AWS dell'organizzazione. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.

  2. Dalla home page di Security Hub, seleziona Security Hub e scegli Inizia.

  3. Nella sezione Amministratore delegato, scegli un account amministratore in base alle opzioni fornite. Come best practice, consigliamo di utilizzare lo stesso amministratore delegato per tutti i servizi di sicurezza per una governance coerente.

  4. Scegli la casella di controllo Accesso affidabile. La scelta di questa opzione concede all'account amministratore delegato la possibilità di configurare determinate funzionalità, come la protezione GuardDuty da malware, sugli account dei membri. Se deselezioni questa opzione, Security Hub non sarà in grado di abilitare queste funzionalità per tuo conto e dovrai abilitarle direttamente tramite il servizio a cui è associata la funzionalità.

  5. (Facoltativo) Per abilitare l'account, seleziona la casella per abilitare Security Hub per il tuo AWS account.

  6. Per la politica dell'amministratore delegato, scegli una delle seguenti opzioni per aggiungere la dichiarazione sulla politica.

    1. (Opzione 1) Scegli Aggiorna questo per me. Seleziona la casella sotto l'informativa sulla politica per confermare che Security Hub creerà automaticamente una politica di delega che conceda tutte le autorizzazioni richieste all'amministratore delegato.

    2. (Opzione 2) Scegli Voglio allegarlo manualmente. Scegli Copia e allega. Nella AWS Organizations console, in Amministratore delegato per AWS Organizations, scegli Delegato e incolla la politica delle risorse nell'editor dei criteri di delega. Scegli Crea policy. Apri la scheda in cui ti trovi nella console Security Hub.

  7. Scegli Configura.

Passaggio 2. Abilita Security Hub nell'account amministratore delegato

L'account amministratore delegato completa questo passaggio. Dopo che l'account di gestione AWS dell'organizzazione ha designato un amministratore delegato per la propria organizzazione, l'amministratore delegato deve abilitare Security Hub per il proprio account prima di abilitarlo per l'intera organizzazione. AWS

Per abilitare Security Hub nell'account amministratore delegato

  1. Accedi al tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.

  2. Dalla home page di Security Hub e scegli Inizia.

  3. La sezione sulle funzionalità di sicurezza descrive le funzionalità che vengono automaticamente abilitate e incluse nel prezzo base per risorsa di Security Hub

  4. (Facoltativo) Per i tag, stabilite se aggiungere una coppia chiave-valore alla configurazione dell'account.

  5. Scegli Enable Security Hub per completare l'abilitazione di Security Hub.

  6. (Consigliato) dal popup scegli Configura la mia organizzazione e procedi al passaggio 3.

Dopo aver abilitato Security Hub, nell'account vengono creati un ruolo collegato al servizio chiamato AWSServiceRoleForSecurityHubV2 e un registratore collegato al servizio. Il registratore collegato al servizio è un tipo di registratore gestito da un servizio in grado di AWS Config registrare i dati di configurazione su risorse specifiche del servizio. AWS Con un registratore collegato ai servizi, Security Hub consente un approccio basato sugli eventi per ottenere gli elementi di configurazione delle risorse necessari per l'analisi dell'esposizione, la copertura e la rendicontazione dell'inventario delle risorse. Un registratore collegato al servizio è configurato singolarmente. Account AWS Regione AWS Per i tipi di risorse globali, un registratore aggiuntivo collegato al servizio viene creato automaticamente nell'area principale per registrare le modifiche alla configurazione delle risorse globali, poiché registra AWS Config solo i tipi di risorse globali nella regione principale designata. Per ulteriori informazioni, vedere Considerazioni per i registratori di configurazione collegati ai servizi e Registrazione di risorse regionali e globali.

Fase 3. Crea una politica che abiliti Security Hub in tutti gli account dei membri

Dopo aver abilitato Security Hub nell'account amministratore delegato di un'organizzazione, è necessario creare una politica che definisca quali servizi e funzionalità sono abilitati negli account dei membri dell'organizzazione. Per ulteriori informazioni, vedere Abilitazione di una configurazione con un tipo di politica.

Abilitare Security Hub in un account autonomo

Questa procedura descrive come abilitare Security Hub in un account autonomo. Un account autonomo è un account Account AWS che non ha abilitato AWS le organizzazioni.

Per abilitare Security Hub in un account autonomo

  1. Accedi al tuo AWS account con le credenziali del tuo account. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.

  2. Dalla home page di Security Hub, seleziona Inizia.

  3. Nella sezione Funzionalità di sicurezza, esegui una delle seguenti operazioni:

    1. (Opzione 1) Scegli Abilita tutte le funzionalità. Ciò attiverà tutte le funzionalità essenziali del Security Hub, l'analisi delle minacce e le funzionalità aggiuntive.

    2. (Opzione 2) Scegli Personalizza le funzionalità. Seleziona l'analisi delle minacce e le funzionalità aggiuntive che devono essere attivate. Non è possibile deselezionare alcuna funzionalità che fa parte delle funzionalità del piano essenziale di Security Hub.

  4. Nella sezione Regioni, scegli Abilita tutte le regioni o Abilita regioni specifiche. Se scegli Abilita tutte le regioni, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli Abilita regioni specifiche, devi scegliere quali regioni vuoi abilitare.

  5. (Facoltativo) Per i tag Resource, aggiungete i tag come coppie chiave-valore per identificare facilmente la configurazione.

  6. Scegliere Enable Security Hub (Abilita Security Hub).

Dopo aver abilitato Security Hub, nell'account vengono creati un ruolo collegato al servizio chiamato AWSServiceRoleForSecurityHubV2 e un registratore collegato al servizio. Il registratore collegato al servizio è un tipo di registratore gestito da un servizio in grado di AWS Config registrare i dati di configurazione su risorse specifiche del servizio. AWS Con un registratore collegato ai servizi, Security Hub consente un approccio basato sugli eventi per ottenere gli elementi di configurazione delle risorse necessari per l'analisi dell'esposizione, la copertura e la rendicontazione dell'inventario delle risorse. Un registratore collegato al servizio è configurato singolarmente. Account AWS Regione AWS Per i tipi di risorse globali, un registratore aggiuntivo collegato al servizio viene creato automaticamente nell'area principale per registrare le modifiche alla configurazione delle risorse globali, poiché registra AWS Config solo i tipi di risorse globali nella regione principale designata. Per ulteriori informazioni, vedere Considerazioni per i registratori di configurazione collegati ai servizi e Registrazione di risorse regionali e globali.