デフォルトのコントロールパラメータ値に戻す - AWS Security Hub
複数のアカウントとリージョンでデフォルトのコントロールパラメータに戻す1 つのアカウントとリージョンでデフォルトのコントロールパラメータに戻す

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

デフォルトのコントロールパラメータ値に戻す

コントロールパラメータには、次のデフォルト値を指定できます。 AWS Security Hub は を定義します。Security Hub は、進化するセキュリティのベストプラクティスを反映するために、パラメータのデフォルト値を更新することがあります。コントロールパラメータにカスタム値を指定していない場合、コントロールは、これらの更新を自動的に追跡し、新しいデフォルト値を使用します。

コントロールのデフォルトパラメータ値を使用するように戻すことができます。リバージョン手順は、Security Hub で中央設定を使用するかどうかによって異なります。中央設定は、委任された Security Hub 管理者が 全体で Security Hub 機能を設定するために使用できる機能です。 AWS リージョン、アカウント、組織単位 (OUs)。

注記

すべてのコントロールパラメータにデフォルトの Security Hub 値があるわけではありません。このような場合は、ValueTypeDEFAULT に設定しても、Security Hub が使用する特定のデフォルト値は存在しません。より正確に言えば、Security Hub は、カスタム値がないときはパラメータを無視します。

複数のアカウントとリージョンでデフォルトのコントロールパラメータに戻す

中央設定を使用する場合、ホームリージョンとリンクされたリージョンOUsで、複数の一元管理されたアカウントの制御パラメータを元に戻すことができます。

希望する方法を選択し、手順に従って、中央設定を使用して複数のアカウントおよびリージョンでデフォルトのパラメータ値に戻します。

Security Hub console
複数のアカウントとリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. を開く AWS Security Hub の コンソールhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. [Policies] タブを選択します。

  4. ポリシーを選択し、[編集] を選択します。

  5. [カスタムポリシー][コントロール] セクションに、カスタムパラメータを指定したコントロールのリストが表示されます。

  6. 元に戻すパラメータ値が 1 つ以上あるコントロールを見つけます。そして、[削除] を選択してデフォルト値に戻します。

  7. アカウント セクションで、ポリシーOUsを適用するアカウントまたは を確認します。

  8. [Next (次へ)] を選択します。

  9. 変更内容を見直し、それらが正しいことを確認します。完了したら、[ポリシーを保存して適用] を選択します。ホームリージョンおよびリンクされたすべてのリージョンでは、このアクションは、この設定ポリシーOUsに関連付けられているアカウント および の既存の設定を上書きします。アカウント と は、直接アプリケーションまたは親からの継承を通じて設定ポリシーに関連付けるOUsことができます。

Security Hub API
複数のアカウントとリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. を呼び出す UpdateConfigurationPolicy API ホームリージョンの委任管理者アカウントから。

  2. Identifier フィールドに、更新するポリシーの Amazon リソースネーム (ARN) または ID を指定します。

  3. SecurityControlCustomParameters オブジェクトには、1 つ以上のパラメータを元に戻す各コントロールの識別子を指定します。

  4. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub はその値を無視します。コントロールがサポートするパラメータをリクエストで省略した場合、そのパラメータは現在の値を保持します。

警告

SecurityControlCustomParameters フィールドでコントロールオブジェクトを省略すると、Security Hub は、そのコントロールのすべてのカスタムパラメータをデフォルト値に戻します。SecurityControlCustomParameters のリストが完全に空の場合は、すべてのコントロールのカスタムパラメータがデフォルト値に戻ります。

例えば、次のようになります。 AWS CLI コマンドは、 のdaysToExpirationコントロールパラメータACM.1を、指定された設定ポリシーのデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

1 つのアカウントとリージョンでデフォルトのコントロールパラメータに戻す

中央設定を使用していない場合、またはセルフマネージドアカウントがある場合は、一度に 1 つのリージョンでアカウントのデフォルトパラメータ値を使用するように戻すことができます。

希望する方法を選択し、手順に従って 1 つのリージョンでアカウントのデフォルトのパラメータ値に戻します。別のリージョンでデフォルトのパラメータ値に戻すには、それぞれのリージョンでこれらの手順を繰り返します。

注記

Security Hub を無効にすると、カスタムコントロールパラメータがリセットされます。その後、Security Hub を再度有効にすると、すべてのコントロールがデフォルトのパラメータ値を使用して起動します。

Security Hub console
1 つのアカウントとリージョンでデフォルトのコントロールパラメータ値に戻すには (コンソール)

  1. を開く AWS Security Hub の コンソールhttps://console.aws.amazon.com/securityhub/

  2. ナビゲーションペインで [コントロール] を選択します。デフォルトのパラメータ値に戻すコントロールを選択します。

  3. Parameters タブで、コントロールパラメータの横にある [カスタマイズ済み] を選択します。そして、[カスタマイズを削除] を選択します。これで、このパラメータはデフォルトの Security Hub 値を使用し、デフォルト値の今後の更新を追跡するようになります。

  4. 元に戻すパラメータ値ごとに、上記のステップを繰り返します。

Security Hub API
1 つのアカウントとリージョンでデフォルトのコントロールパラメータ値に戻すには (API)

  1. を呼び出す UpdateSecurityControl API.

  2. にはSecurityControlId、パラメータを元に戻すコントロールの ARNまたは ID を指定します。

  3. Parameters オブジェクトでは、元に戻すパラメータごとに、ValueType フィールドに DEFAULT を指定します。ValueTypeDEFAULT に設定すると、Value フィールドに値を指定する必要がなくなります。リクエストに値が含まれている場合、Security Hub はその値を無視します。

  4. 必要に応じて、LastUpdateReason に、デフォルトのパラメータ値に戻す理由を入力します。

例えば、次のようになります。 AWS CLI コマンドは、 のdaysToExpirationコントロールパラメータACM.1をデフォルト値に戻します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"