As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos do Security Hub usando AWS CLI
Os exemplos de código a seguir mostram como realizar ações e implementar cenários comuns usando o AWS Command Line Interface com o Security Hub.
Ações são trechos de código de programas maiores e devem ser executadas em contexto. Embora as ações mostrem como chamar funções de serviço individuais, você pode ver as ações no contexto em seus cenários relacionados.
Cada exemplo inclui um link para o código-fonte completo, onde você pode encontrar instruções sobre como configurar e executar o código no contexto.
Tópicos
Ações
O código de exemplo a seguir mostra como usar accept-administrator-invitation.
- AWS CLI
-
Para aceitar um convite de uma conta de administrador
O
accept-administrator-invitationexemplo a seguir aceita o convite especificado da conta de administrador especificada.aws securityhub accept-invitation \ --administrator-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebEste comando não produz saída.
Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte AcceptAdministratorInvitation
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar accept-invitation.
- AWS CLI
-
Para aceitar um convite de uma conta de administrador
O
accept-invitationexemplo a seguir aceita o convite especificado da conta de administrador especificada.aws securityhub accept-invitation \ --master-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebEste comando não produz saída.
Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte AcceptInvitation
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-delete-automation-rules.
- AWS CLI
-
Para excluir regras de automação
O
batch-delete-automation-rulesexemplo a seguir exclui a regra de automação especificada. Você pode excluir uma ou mais regras com um único comando. Somente a conta de administrador do Security Hub pode executar esse comando.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Saída:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Para obter mais informações, consulte Excluindo regras de automação no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchDeleteAutomationRules
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-disable-standards.
- AWS CLI
-
Para desativar um padrão
O
batch-disable-standardsexemplo a seguir desativa o padrão associado à assinatura ARN especificada.aws securityhub batch-disable-standards \ --standards-subscription-arns"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Saída:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obter mais informações, consulte Desabilitar ou habilitar um padrão de segurança no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchDisableStandards
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-enable-standards.
- AWS CLI
-
Para habilitar um padrão
O
batch-enable-standardsexemplo a seguir ativa o PCI DSS padrão para a conta solicitante.aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'Saída:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obter mais informações, consulte Desabilitar ou habilitar um padrão de segurança no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchEnableStandards
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-get-automation-rules.
- AWS CLI
-
Para obter detalhes das regras de automação
O
batch-get-automation-rulesexemplo a seguir obtém detalhes da regra de automação especificada. Você pode obter detalhes de uma ou mais regras de automação com um único comando.aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Saída:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }Para obter mais informações, consulte Visualizando as regras de automação no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchGetAutomationRules
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-get-configuration-policy-associations.
- AWS CLI
-
Para obter detalhes da associação de configuração para um lote de destinos
O
batch-get-configuration-policy-associationsexemplo a seguir recupera os detalhes da associação para os destinos especificados. Você pode fornecer a contaIDs, a unidade IDs organizacional ou o ID raiz do alvo.aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Saída:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Para obter mais informações, consulte Visualizando as políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchGetConfigurationPolicyAssociations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-get-security-controls.
- AWS CLI
-
Para obter detalhes do controle de segurança
O
batch-get-security-controlsexemplo a seguir obtém detalhes dos controles de segurança ACM .1 e IAM .1 na AWS conta atual e AWS na região.aws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'Saída:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }Para obter mais informações, consulte Visualizando detalhes de um controle no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchGetSecurityControls
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-get-standards-control-associations.
- AWS CLI
-
Para obter o status de ativação de um controle
O
batch-get-standards-control-associationsexemplo a seguir identifica se os controles especificados estão habilitados nos padrões especificados.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'Saída:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }Para obter mais informações, consulte Habilitar e desabilitar controles em padrões específicos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchGetStandardsControlAssociations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-import-findings.
- AWS CLI
-
Para atualizar uma descoberta
O
batch-import-findingsexemplo a seguir atualiza uma descoberta.aws securityhub batch-import-findings \ --findings '[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'Saída:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }Para obter mais informações, consulte Usando BatchImportFindings para criar e atualizar descobertas no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchImportFindings
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-update-automation-rules.
- AWS CLI
-
Para atualizar as regras de automação
O
batch-update-automation-rulesexemplo a seguir atualiza a regra de automação especificada. Você pode atualizar uma ou mais regras com um único comando. Somente a conta de administrador do Security Hub pode executar esse comando.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'Saída:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Para obter mais informações, consulte Edição de regras de automação no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchUpdateAutomationRules
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-update-findings.
- AWS CLI
-
Exemplo 1: Para atualizar uma descoberta
O
batch-update-findingsexemplo a seguir atualiza duas descobertas para adicionar uma nota, alterar o rótulo de gravidade e resolvê-la.aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'Saída:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Para obter mais informações, consulte Usando BatchUpdateFindings para atualizar uma descoberta no Guia do Usuário do AWS Security Hub.
Exemplo 2: Para atualizar uma descoberta usando a sintaxe abreviada
O
batch-update-findingsexemplo a seguir atualiza duas descobertas para adicionar uma nota, alterar o rótulo de gravidade e resolvê-la usando a sintaxe abreviada.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"Saída:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Para obter mais informações, consulte Usando BatchUpdateFindings para atualizar uma descoberta no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchUpdateFindings
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar batch-update-standards-control-associations.
- AWS CLI
-
Para atualizar o status de habilitação de um controle em padrões habilitados
O
batch-update-standards-control-associationsexemplo a seguir desativa CloudTrail .1 nos padrões especificados.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'Esse comando não gera nenhuma saída quando é bem-sucedido.
Para obter mais informações, consulte Habilitar e desabilitar controles em padrões específicos e Habilitar e desabilitar controles em todos os padrões no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte BatchUpdateStandardsControlAssociations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar create-action-target.
- AWS CLI
-
Para criar uma ação personalizada
O
create-action-targetexemplo a seguir cria uma ação personalizada. Ele fornece o nome, a descrição e o identificador da ação.aws securityhub create-action-target \ --name"Send to remediation"\ --description"Action to send the finding for remediation tracking"\ --id"Remediation"Saída:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Para obter mais informações, consulte Criar uma ação personalizada e associá-la a uma regra de CloudWatch Eventos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte CreateActionTarget
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar create-automation-rule.
- AWS CLI
-
Para criar uma regra de automação
O
create-automation-ruleexemplo a seguir cria uma regra de automação na AWS conta corrente e AWS na região. O Security Hub filtra suas descobertas com base nos critérios especificados e aplica as ações às descobertas correspondentes. Somente a conta de administrador do Security Hub pode executar esse comando.aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description"A sample rule"\ --no-is-terminal \ --rule-name"sample rule"\ --rule-order1\ --rule-status"ENABLED"Saída:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obter mais informações, consulte Criação de regras de automação no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte CreateAutomationRule
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar create-configuration-policy.
- AWS CLI
-
Para criar uma política de configuração
O
create-configuration-policyexemplo a seguir cria uma política de configuração com as configurações especificadas.aws securityhub create-configuration-policy \ --name"SampleConfigurationPolicy"\ --description"SampleDescription"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'Saída:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Para obter mais informações, consulte Criação e associação de políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte CreateConfigurationPolicy
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar create-finding-aggregator.
- AWS CLI
-
Para habilitar a agregação de localização
O
create-finding-aggregatorexemplo a seguir configura a agregação de localização. É administrado a partir do Leste dos EUA (Virgínia), que designa o Leste dos EUA (Virgínia) como a Região de agregação. Isso indica vincular somente regiões especificadas e não vincular automaticamente novas regiões. Ele seleciona o Oeste dos EUA (Norte da Califórnia) e o Oeste dos EUA (Oregon) como as regiões vinculadas.aws securityhub create-finding-aggregator \ --regionus-east-1\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Saída:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Para obter mais informações, consulte Habilitando a agregação de localização no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte CreateFindingAggregator
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar create-insight.
- AWS CLI
-
Para criar uma visão personalizada
O
create-insightexemplo a seguir cria uma visão personalizada chamada Descobertas críticas de funções, que retorna descobertas críticas relacionadas às AWS funções.aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute"ResourceId"\ --name"Critical role findings"Saída:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obter mais informações, consulte Gerenciando insights personalizados no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte CreateInsight
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar create-members.
- AWS CLI
-
Para adicionar contas como contas de membros
O
create-membersexemplo a seguir adiciona duas contas como contas de membro à conta do administrador solicitante.aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'Saída:
{ "UnprocessedAccounts": [] }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte CreateMembers
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar decline-invitations.
- AWS CLI
-
Para recusar um convite para ser uma conta de membro
O
decline-invitationsexemplo a seguir recusa um convite para ser uma conta membro da conta de administrador especificada. A conta do membro é a conta solicitante.aws securityhub decline-invitations \ --account-ids"123456789012"Saída:
{ "UnprocessedAccounts": [] }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DeclineInvitations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar delete-action-target.
- AWS CLI
-
Para excluir uma ação personalizada
O
delete-action-targetexemplo a seguir exclui a ação personalizada identificada pelo especificadoARN.aws securityhub delete-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Saída:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Para obter mais informações, consulte Criar uma ação personalizada e associá-la a uma regra de CloudWatch Eventos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DeleteActionTarget
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar delete-configuration-policy.
- AWS CLI
-
Para excluir uma política de configuração
O
delete-configuration-policyexemplo a seguir exclui a política de configuração especificada.aws securityhub delete-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Este comando não produz saída.
Para obter mais informações, consulte Excluindo e desassociando as políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DeleteConfigurationPolicy
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar delete-finding-aggregator.
- AWS CLI
-
Para parar de encontrar agregação
O
delete-finding-aggregatorexemplo a seguir interrompe a localização da agregação. É administrado a partir do Leste dos EUA (Virgínia), que é a região de agregação.aws securityhub delete-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Este comando não produz saída.
Para obter mais informações, consulte Como interromper a localização da agregação no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DeleteFindingAggregator
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar delete-insight.
- AWS CLI
-
Para excluir um insight personalizado
O
delete-insightexemplo a seguir exclui o insight personalizado com o especificadoARN.aws securityhub delete-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Saída:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Para obter mais informações, consulte Gerenciando insights personalizados no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DeleteInsight
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar delete-invitations.
- AWS CLI
-
Para excluir um convite para ser uma conta de membro
O
delete-invitationsexemplo a seguir exclui um convite para ser uma conta de membro da conta de administrador especificada. A conta do membro é a conta solicitante.aws securityhub delete-invitations \ --account-ids"123456789012"Saída:
{ "UnprocessedAccounts": [] }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DeleteInvitations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar delete-members.
- AWS CLI
-
Para excluir contas de membros
O
delete-membersexemplo a seguir exclui as contas de membros especificadas da conta do administrador solicitante.aws securityhub delete-members \ --account-ids"123456789111""123456789222"Saída:
{ "UnprocessedAccounts": [] }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DeleteMembers
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar describe-action-targets.
- AWS CLI
-
Para recuperar detalhes sobre ações personalizadas
O
describe-action-targetsexemplo a seguir recupera informações sobre a ação personalizada identificada pelo especificadoARN.aws securityhub describe-action-targets \ --action-target-arns"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Saída:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }Para obter mais informações, consulte Criar uma ação personalizada e associá-la a uma regra de CloudWatch Eventos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DescribeActionTargets
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar describe-hub.
- AWS CLI
-
Para obter informações sobre um recurso do hub
O
describe-hubexemplo a seguir retorna a data de assinatura do recurso de hub especificado. O recurso do hub é identificado por seuARN.aws securityhub describe-hub \ --hub-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Saída:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }Para obter mais informações, consulte AWS::SecurityHub: :Hub no Guia do AWS CloudFormation Usuário.
-
Para API obter detalhes, consulte DescribeHub
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar describe-organization-configuration.
- AWS CLI
-
Para ver como o Security Hub está configurado para uma organização
O
describe-organization-configurationexemplo a seguir retorna informações sobre a forma como uma organização está configurada no Security Hub. Neste exemplo, a organização usa a configuração central. Somente a conta de administrador do Security Hub pode executar esse comando.aws securityhub describe-organization-configurationSaída:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }Para obter mais informações, consulte Gerenciando contas com AWS Organizations no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DescribeOrganizationConfiguration
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar describe-products.
- AWS CLI
-
Para retornar informações sobre as integrações de produtos disponíveis
O
describe-productsexemplo a seguir retorna as integrações de produtos disponíveis, uma por vez.aws securityhub describe-products \ --max-results1Saída:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }Para obter mais informações, consulte Gerenciando integrações de produtos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DescribeProducts
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar describe-standards-controls.
- AWS CLI
-
Para solicitar a lista de controles em um padrão habilitado
O
describe-standards-controlsexemplo a seguir solicita a lista de controles na assinatura padrão da conta do solicitante. PCI DSS A solicitação retorna dois controles por vez.aws securityhub describe-standards-controls \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"\ --max-results2Saída:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }Para obter mais informações, consulte Visualizando detalhes dos controles no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DescribeStandardsControls
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar describe-standards.
- AWS CLI
-
Para retornar uma lista dos padrões disponíveis
O
describe-standardsexemplo a seguir retorna a lista de padrões disponíveis.aws securityhub describe-standardsSaída:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }Para obter mais informações, consulte Padrões de segurança no AWS Security Hub no Guia do usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DescribeStandards
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar disable-import-findings-for-product.
- AWS CLI
-
Para parar de receber descobertas de uma integração de produto
O
disable-import-findings-for-productexemplo a seguir desativa o fluxo de descobertas para a assinatura especificada de uma integração de produto.aws securityhub disable-import-findings-for-product \ --product-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"Este comando não produz saída.
Para obter mais informações, consulte Gerenciando integrações de produtos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DisableImportFindingsForProduct
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar disable-organization-admin-account.
- AWS CLI
-
Para remover uma conta de administrador do Security Hub
O
disable-organization-admin-accountexemplo a seguir revoga a atribuição da conta especificada como conta de administrador do Security Hub para Organizations AWS .aws securityhub disable-organization-admin-account \ --admin-account-id777788889999Este comando não produz saída.
Para obter mais informações, consulte Designação de uma conta de administrador do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DisableOrganizationAdminAccount
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar disable-security-hub.
- AWS CLI
-
Para desativar o AWS Security Hub
O
disable-security-hubexemplo a seguir desativa o AWS Security Hub para a conta solicitante.aws securityhub disable-security-hubEste comando não produz saída.
Para obter mais informações, consulte Desabilitando o AWS Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DisableSecurityHub
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar disassociate-from-administrator-account.
- AWS CLI
-
Para se desassociar de uma conta de administrador
O
disassociate-from-administrator-accountexemplo a seguir desassocia a conta solicitante de sua conta de administrador atual.aws securityhub disassociate-from-administrator-accountEste comando não produz saída.
Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DisassociateFromAdministratorAccount
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar disassociate-from-master-account.
- AWS CLI
-
Para se desassociar de uma conta de administrador
O
disassociate-from-master-accountexemplo a seguir desassocia a conta solicitante de sua conta de administrador atual.aws securityhub disassociate-from-master-accountEste comando não produz saída.
Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DisassociateFromMasterAccount
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar disassociate-members.
- AWS CLI
-
Para desassociar contas-membro
O
disassociate-membersexemplo a seguir desassocia as contas de membros especificadas da conta de administrador solicitante.aws securityhub disassociate-members \ --account-ids"123456789111""123456789222"Este comando não produz saída.
Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte DisassociateMembers
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar enable-import-findings-for-product.
- AWS CLI
-
Para começar a receber descobertas de uma integração de produtos
O
enable-import-findings-for-productexemplo a seguir permite o fluxo de descobertas da integração de produtos especificada.aws securityhub enable-import-findings-for-product \ --product-arn"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"Saída:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }Para obter mais informações, consulte Gerenciando integrações de produtos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte EnableImportFindingsForProduct
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar enable-organization-admin-account.
- AWS CLI
-
Para designar uma conta da organização como uma conta de administrador do Security Hub
O
enable-organization-admin-accountexemplo a seguir designa a conta especificada como uma conta de administrador do Security Hub.aws securityhub enable-organization-admin-account \ --admin-account-id777788889999Este comando não produz saída.
Para obter mais informações, consulte Designação de uma conta de administrador do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte EnableOrganizationAdminAccount
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar enable-security-hub.
- AWS CLI
-
Para habilitar o AWS Security Hub
O
enable-security-hubexemplo a seguir ativa o AWS Security Hub para a conta solicitante. Ele configura o Security Hub para habilitar os padrões padrão. Para o recurso do hub, ele atribui o valorSecurityà tagDepartment.aws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'Este comando não produz saída.
Para obter mais informações, consulte Habilitando o Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte EnableSecurityHub
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-administrator-account.
- AWS CLI
-
Para recuperar informações sobre uma conta de administrador
O
get-administrator-accountexemplo a seguir recupera informações sobre a conta do administrador da conta solicitante.aws securityhub get-administrator-accountSaída:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetAdministratorAccount
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-configuration-policy-association.
- AWS CLI
-
Para obter detalhes da associação de configuração para um alvo
O
get-configuration-policy-associationexemplo a seguir recupera os detalhes da associação para o destino especificado. Você pode fornecer um ID da conta, ID da unidade organizacional ou ID raiz do alvo.aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Saída:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Para obter mais informações, consulte Visualizando as políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetConfigurationPolicyAssociation
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-configuration-policy.
- AWS CLI
-
Para ver os detalhes da política de configuração
O
get-configuration-policyexemplo a seguir recupera detalhes sobre a política de configuração especificada.aws securityhub get-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Saída:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Para obter mais informações, consulte Visualizando as políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetConfigurationPolicy
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-enabled-standards.
- AWS CLI
-
Para recuperar informações sobre um padrão habilitado
O
get-enabled-standardsexemplo a seguir recupera informações sobre o PCI DSS padrão.aws securityhub get-enabled-standards \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Saída:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Para obter mais informações, consulte Padrões de segurança no AWS Security Hub no Guia do usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetEnabledStandards
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-finding-aggregator.
- AWS CLI
-
Para recuperar a configuração atual de agregação de descoberta
O
get-finding-aggregatorexemplo a seguir recupera a configuração atual da agregação de descoberta.aws securityhub get-finding-aggregator \ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Saída:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Para obter mais informações, consulte Visualizando a configuração atual da agregação de descobertas no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetFindingAggregator
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-finding-history.
- AWS CLI
-
Para obter o histórico de descoberta
O
get-finding-historyexemplo a seguir mostra os últimos 90 dias do histórico da descoberta especificada. Neste exemplo, os resultados estão limitados a dois registros do histórico de descobertas.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"Saída:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }Para obter mais informações, consulte Encontrando o histórico no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetFindingHistory
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-findings.
- AWS CLI
-
Exemplo 1: Para retornar descobertas geradas para um padrão específico
O
get-findingsexemplo a seguir retorna as descobertas do PCI DSS padrão.aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items1Saída:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }Exemplo 2: Para retornar descobertas de gravidade crítica que tenham um status de fluxo de trabalho de NOTIFIED
O
get-findingsexemplo a seguir retorna descobertas que têm um valor de rótulo de gravidade CRITICAL e um status de fluxo de trabalho deNOTIFIED. Os resultados são classificados em ordem decrescente pelo valor de Confiança.aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items1Saída:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }Para obter mais informações, consulte Filtragem e agrupamento de descobertas no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetFindings
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-insight-results.
- AWS CLI
-
Para recuperar os resultados para obter uma visão
O
get-insight-resultsexemplo a seguir retorna a lista de resultados do insight com o especificadoARN.aws securityhub get-insight-results \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Saída:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }Para obter mais informações, consulte Visualizando e tomando medidas sobre os resultados e descobertas do insight no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetInsightResults
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-insights.
- AWS CLI
-
Para recuperar detalhes sobre um insight
O
get-insightsexemplo a seguir recupera os detalhes da configuração do insight com o especificadoARN.aws securityhub get-insights \ --insight-arns"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Saída:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }Para obter mais informações, consulte Insights no AWS Security Hub no Guia do usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetInsights
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-invitations-count.
- AWS CLI
-
Para recuperar o número de convites que não foram aceitos
O
get-invitations-countexemplo a seguir recupera o número de convites que a conta solicitante recusou ou não respondeu.aws securityhub get-invitations-countSaída:
{ "InvitationsCount": 3 }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetInvitationsCount
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-master-account.
- AWS CLI
-
Para recuperar informações sobre uma conta de administrador
O
get-master-accountexemplo a seguir recupera informações sobre a conta do administrador da conta solicitante.aws securityhub get-master-accountSaída:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetMasterAccount
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-members.
- AWS CLI
-
Para recuperar informações sobre contas de membros selecionadas
O
get-membersexemplo a seguir recupera informações sobre as contas de membros especificadas.aws securityhub get-members \ --account-ids"444455556666""777788889999"Saída:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetMembers
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar get-security-control-definition.
- AWS CLI
-
Para obter detalhes da definição do controle de segurança
O
get-security-control-definitionexemplo a seguir recupera os detalhes da definição de um controle de segurança do Security Hub. Os detalhes incluem o título do controle, a descrição, a disponibilidade da região, os parâmetros e outras informações.aws securityhub get-security-control-definition \ --security-control-idACM.1Saída:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }Para obter mais informações, consulte Parâmetros de controle personalizados no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte GetSecurityControlDefinition
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar invite-members.
- AWS CLI
-
Para enviar convites para contas de membros
O
invite-membersexemplo a seguir envia convites para as contas de membros especificadas.aws securityhub invite-members \ --account-ids"123456789111""123456789222"Saída:
{ "UnprocessedAccounts": [] }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte InviteMembers
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-automation-rules.
- AWS CLI
-
Para ver uma lista de regras de automação
O
list-automation-rulesexemplo a seguir lista as regras de automação de uma AWS conta. Somente a conta de administrador do Security Hub pode executar esse comando.aws securityhub list-automation-rules \ --max-results3\ --next-tokenNULLSaída:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }Para obter mais informações, consulte Visualizando as regras de automação no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListAutomationRules
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-configuration-policies.
- AWS CLI
-
Para listar resumos de políticas de configuração
O
list-configuration-policiesexemplo a seguir lista um resumo das políticas de configuração da organização.aws securityhub list-configuration-policies \ --max-items3Saída:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }Para obter mais informações, consulte Visualizando as políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListConfigurationPolicies
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-configuration-policy-associations.
- AWS CLI
-
Para listar associações de configuração
O
list-configuration-policy-associationsexemplo a seguir lista um resumo das associações de configuração da organização. A resposta inclui associações com políticas de configuração e comportamento autogerenciado.aws securityhub list-configuration-policy-associations \ --association-type"APPLIED"\ --max-items4Saída:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }Para obter mais informações, consulte Visualizando as políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListConfigurationPolicyAssociations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-enabled-products-for-import.
- AWS CLI
-
Para retornar a lista de integrações de produtos ativadas
O
list-enabled-products-for-importexemplo a seguir retorna a lista de assinaturas ARNS das integrações de produtos atualmente habilitadas.aws securityhub list-enabled-products-for-importSaída:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }Para obter mais informações, consulte Gerenciando integrações de produtos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListEnabledProductsForImport
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-finding-aggregators.
- AWS CLI
-
Para listar os widgets disponíveis
O
list-finding-aggregatorsexemplo a seguir retorna a configuração ARN da agregação de descoberta.aws securityhub list-finding-aggregatorsSaída:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }Para obter mais informações, consulte Visualizando a configuração atual da agregação de descobertas no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListFindingAggregators
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-invitations.
- AWS CLI
-
Para exibir uma lista de convites
O
list-invitationsexemplo a seguir recupera a lista de convites enviados para a conta solicitante.aws securityhub list-invitationsSaída:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListInvitations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-members.
- AWS CLI
-
Para recuperar uma lista de contas de membros
O
list-membersexemplo a seguir retorna a lista de contas de membros da conta de administrador solicitante.aws securityhub list-membersSaída:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }Para obter mais informações, consulte Gerenciamento de contas de administradores e membros no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListMembers
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-organization-admin-accounts.
- AWS CLI
-
Para listar as contas de administrador do Security Hub designadas
O
list-organization-admin-accountsexemplo a seguir lista as contas de administrador do Security Hub de uma organização.aws securityhub list-organization-admin-accountsSaída:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }Para obter mais informações, consulte Designação de uma conta de administrador do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListOrganizationAdminAccounts
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-security-control-definitions.
- AWS CLI
-
Exemplo 1: Para listar todos os controles de segurança disponíveis
O
list-security-control-definitionsexemplo a seguir lista os controles de segurança disponíveis em todos os padrões do Security Hub. Este exemplo limita os resultados a três controles.aws securityhub list-security-control-definitions \ --max-items3Saída:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }Para obter mais informações, consulte Visualizando detalhes de um padrão no Guia do Usuário do AWS Security Hub.
Exemplo 2: Para listar os controles de segurança disponíveis para um padrão específico
O
list-security-control-definitionsexemplo a seguir lista os controles de segurança disponíveis para o CIS AWS Foundations Benchmark v1.4.0. Este exemplo limita os resultados a três controles.aws securityhub list-security-control-definitions \ --standards-arn"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"\ --max-items3Saída:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }Para obter mais informações, consulte Visualizando detalhes de um padrão no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListSecurityControlDefinitions
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-standards-control-associations.
- AWS CLI
-
Para obter o status de ativação de um controle em cada padrão habilitado
O
list-standards-control-associationsexemplo a seguir lista o status de habilitação de CloudTrail .1 em cada padrão habilitado.aws securityhub list-standards-control-associations \ --security-control-idCloudTrail.1Saída:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }Para obter mais informações, consulte Habilitar e desabilitar controles em padrões específicos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte ListStandardsControlAssociations
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar list-tags-for-resource.
- AWS CLI
-
Para recuperar as tags atribuídas a um recurso
O
list-tags-for-resourceexemplo a seguir retorna as tags atribuídas ao recurso de hub especificado.aws securityhub list-tags-for-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Saída:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }Para obter mais informações, consulte AWS::SecurityHub: :Hub no Guia do AWS CloudFormation Usuário.
-
Para API obter detalhes, consulte ListTagsForResource
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar start-configuration-policy-association.
- AWS CLI
-
Exemplo 1: Para associar uma política de configuração
O
start-configuration-policy-associationexemplo a seguir associa a política de configuração especificada à unidade organizacional especificada. Uma configuração pode estar associada a uma conta de destino, unidade organizacional ou raiz.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Saída:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Para obter mais informações, consulte Criação e associação de políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
Exemplo 2: Para associar uma configuração autogerenciada
O
start-configuration-policy-associationexemplo a seguir associa uma configuração autogerenciada à conta especificada.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"OrganizationalUnitId": "123456789012"}'Saída:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Para obter mais informações, consulte Criação e associação de políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte StartConfigurationPolicyAssociation
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar start-configuration-policy-disassociation.
- AWS CLI
-
Exemplo 1: Para desassociar uma política de configuração
O
start-configuration-policy-disassociationexemplo a seguir dissocia uma política de configuração da unidade organizacional especificada. Uma configuração pode ser desassociada de uma conta de destino, unidade organizacional ou raiz.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Este comando não produz saída.
Para obter mais informações, consulte Desassociando uma configuração das contas e OUs no Guia do Usuário do AWS Security Hub.
Exemplo 2: Para desassociar uma configuração autogerenciada
O
start-configuration-policy-disassociationexemplo a seguir desassocia uma configuração autogerenciada da conta especificada.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"AccountId": "123456789012"}'Este comando não produz saída.
Para obter mais informações, consulte Desassociando uma configuração das contas e OUs no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte StartConfigurationPolicyDisassociation
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar tag-resource.
- AWS CLI
-
Para atribuir uma tag a um recurso
O
tag-resourceexemplo a seguir atribui valores para as tags Departamento e Área ao recurso de hub especificado.aws securityhub tag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tags '{"Department":"Operations", "Area":"USMidwest"}'Este comando não produz saída.
Para obter mais informações, consulte AWS::SecurityHub: :Hub no Guia do AWS CloudFormation Usuário.
-
Para API obter detalhes, consulte TagResource
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar untag-resource.
- AWS CLI
-
Para remover um valor de tag de um recurso
O
untag-resourceexemplo a seguir remove a tag Department do recurso de hub especificado.aws securityhub untag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tag-keys"Department"Este comando não produz saída.
Para obter mais informações, consulte AWS::SecurityHub: :Hub no Guia do AWS CloudFormation Usuário.
-
Para API obter detalhes, consulte UntagResource
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-action-target.
- AWS CLI
-
Para atualizar uma ação personalizada
O
update-action-targetexemplo a seguir atualiza o nome da ação personalizada identificada pelo especificadoARN.aws securityhub update-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"\ --name"Send to remediation"Este comando não produz saída.
Para obter mais informações, consulte Criar uma ação personalizada e associá-la a uma regra de CloudWatch Eventos no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateActionTarget
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-configuration-policy.
- AWS CLI
-
Para atualizar uma política de configuração
O
update-configuration-policyexemplo a seguir atualiza uma política de configuração existente para usar as configurações especificadas.aws securityhub update-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"\ --name"SampleConfigurationPolicyUpdated"\ --description"SampleDescriptionUpdated"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"Saída:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }Para obter mais informações, consulte Atualização das políticas de configuração do Security Hub no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateConfigurationPolicy
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-finding-aggregator.
- AWS CLI
-
Para atualizar a configuração atual da agregação de descoberta
O
update-finding-aggregatorexemplo a seguir altera a configuração da agregação de localização para vincular a partir de regiões selecionadas. É administrado a partir do Leste dos EUA (Virgínia), que é a região de agregação. Ele seleciona o Oeste dos EUA (Norte da Califórnia) e o Oeste dos EUA (Oregon) como as regiões vinculadas.aws securityhub update-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Este comando não produz saída.
Para obter mais informações, consulte Atualização da configuração de agregação de localização no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateFindingAggregator
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-insight.
- AWS CLI
-
Exemplo 1: Para alterar o filtro de um insight personalizado
O
update-insightexemplo a seguir altera os filtros de uma visão personalizada. O insight atualizado busca descobertas com alta severidade relacionadas às AWS funções.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name"High severity role findings"Exemplo 2: Para alterar o atributo de agrupamento para um insight personalizado
O
update-insightexemplo a seguir altera o atributo de agrupamento do insight personalizado com o especificadoARN. O novo atributo de agrupamento é o ID do recurso.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --group-by-attribute"ResourceId"\ --name"Critical role findings"Saída:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }Para obter mais informações, consulte Gerenciando insights personalizados no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateInsight
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-organization-configuration.
- AWS CLI
-
Para atualizar a forma como o Security Hub está configurado para uma organização
O
update-organization-configurationexemplo a seguir especifica que o Security Hub deve usar a configuração central para configurar uma organização. Depois de executar esse comando, o administrador delegado do Security Hub pode criar e gerenciar políticas de configuração para configurar a organização. O administrador delegado também pode usar esse comando para alternar da configuração central para a local. Se a configuração local for o tipo de configuração, o administrador delegado poderá escolher se deseja ativar automaticamente o Security Hub e os padrões de segurança padrão nas novas contas da organização.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'Este comando não produz saída.
Para obter mais informações, consulte Gerenciando contas com AWS Organizations no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateOrganizationConfiguration
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-security-control.
- AWS CLI
-
Para atualizar as propriedades do controle de segurança
O
update-security-controlexemplo a seguir especifica valores personalizados para um parâmetro de controle de segurança do Security Hub.aws securityhub update-security-control \ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"Este comando não produz saída.
Para obter mais informações, consulte Parâmetros de controle personalizados no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateSecurityControl
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-security-hub-configuration.
- AWS CLI
-
Para atualizar a configuração do Security Hub
O
update-security-hub-configurationexemplo a seguir configura o Security Hub para habilitar automaticamente novos controles para padrões habilitados.aws securityhub update-security-hub-configuration \ --auto-enable-controlsEste comando não produz saída.
Para obter mais informações, consulte Habilitando novos controles automaticamente no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateSecurityHubConfiguration
na Referência de AWS CLI Comandos.
-
O código de exemplo a seguir mostra como usar update-standards-control.
- AWS CLI
-
Exemplo 1: Para desativar um controle
O
update-standards-controlexemplo a seguir desativa o. PCI AutoScaling1. controle.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"DISABLED"\ --disabled-reason"Not applicable for my service"Este comando não produz saída.
Exemplo 2: Para ativar um controle
O
update-standards-controlexemplo a seguir habilita PCI o. AutoScaling1. controle.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"ENABLED"Este comando não produz saída.
Para obter mais informações, consulte Desabilitar e ativar controles individuais no Guia do Usuário do AWS Security Hub.
-
Para API obter detalhes, consulte UpdateStandardsControl
na Referência de AWS CLI Comandos.
-
