特定の標準のコントロールを無効にする - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

特定の標準のコントロールを無効にする

コントロールは、すべての標準ではなく、特定のセキュリティ標準でのみ無効にできます。コントロールが他の有効な標準に適用される場合、 AWS Security Hub CSPM は引き続きコントロールのセキュリティチェックを実行し、引き続きコントロールの検出結果を受け取ります。

コントロールが適用されるすべての有効な標準にわたって、コントロールの有効化ステータスを一致させることをお勧めします。適用されるすべての標準でコントロールを無効にする方法については、「」を参照してくださいすべての標準にわたってコントロールを無効にする

また、標準の詳細ページで、特定の標準のコントロールを無効にすることもできます。各 AWS アカウント および で、特定の標準のコントロールを個別に無効にする必要があります AWS リージョン。特定の標準でコントロールを無効にすると、現在のアカウントとリージョンのみに影響します。

任意の方法を選択し、以下の手順に従って 1 つ以上の特定の標準でコントロールを無効にします。

Security Hub CSPM console
特定の標準のコントロールを無効にするには

  1. https://console.aws.amazon.com/securityhub/ で AWS Security Hub CSPM コンソールを開きます。

  2. ナビゲーションペインで、[セキュリティ基準] を選択します。該当する標準の [結果を表示する] を選択します。

  3. コントロールを選択します。

  4. コントロールを無効にする を選択します。このオプションは、既に無効になっているコントロールには表示されません。

  5. コントロールを無効にする理由を入力し、[無効化] を選択して確定します。

Security Hub CSPM API
特定の標準のコントロールを無効にするには

  1. ListSecurityControlDefinitions を実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、DescribeStandards を実行します。この API は、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    リクエストの例:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. ListStandardsControlAssociations を実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

    リクエストの例:

    {
    "SecurityControlId": "IAM.1"
}

  3. BatchUpdateStandardsControlAssociations を実行します。コントロールを無効にする標準の ARN を指定します。

  4. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に無効化されているコントロールに対してこれらの手順を実行すると、API は HTTP ステータスコード 200 の応答を返します。

    リクエストの例:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
}
AWS CLI
特定の標準のコントロールを無効にするには

  1. list-security-control-definitions コマンドを実行して標準 ARN を提供すると、特定の標準で利用できるコントロールのリストが表示されます。標準 ARN を取得するには、describe-standards を実行します。このコマンドは、標準固有のコントロール ID ではなく、標準に依存しないセキュリティコントロール ID を返します。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. list-standards-control-associations コマンドを実行し、特定のコントロール ID を提供すると、各標準のコントロールの現在の有効化ステータスが返されます。

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. batch-update-standards-control-associations コマンドを実行します。コントロールを無効にする標準の ARN を指定します。

  4. AssociationStatus パラメータを DISABLED と等しい値に設定します。既に有効化されているコントロールに対してこれらの手順を実行すると、コマンドは HTTP ステータスコード 200 の応答を返します。

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'