As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ativar e desativar controles em padrões específicos
Quando você habilita um padrão no AWS Security Hub, todos os controles que se aplicam a ele são automaticamente habilitados nesse padrão (a exceção são os padrões gerenciados por serviços). Você pode desabilitar e re-habilitar controles específicos no padrão. Entretanto, recomendamos alinhar o status de habilitação de um controle em todos os seus padrões habilitados.
nota
Se você usar a configuração central do Security Hub, o administrador delegado poderá habilitar e desabilitar os controles das contas da organização em todos os padrões habilitados. Recomendamos essa abordagem para que o status de habilitação de um controle esteja alinhado com os padrões. Entretanto, o administrador delegado pode designar contas como autogerenciadas, o que lhes dá a capacidade de habilitar e desabilitar controles em padrões específicos. Para ter mais informações, consulte Como a configuração central funciona.
A página de detalhes de um padrão contém a lista de controles aplicáveis para o padrão e informações sobre quais controles estão atualmente habilitados e desativados nesse padrão.
Na página de detalhes dos padrões, você também pode ativar e desativar controles em um padrão específico. Você deve ativar e desativar os controles separadamente em cada Conta da AWS Região da AWS e. Quando você ativa ou desativa um controle, ele afeta apenas a conta e a região atuais.
Você pode ativar e desativar controles em cada região usando o console do Security Hub, a API do Security Hub ou AWS CLI. Se você definiu uma região de agregação, verá os controles de todas as regiões vinculadas. Se um controle estiver disponível em uma região vinculada, mas não na região de agregação, você não poderá ativar ou desativar esse controle na região de agregação. Para scripts de desabilitação de controle de várias contas e várias regiões, consulte Desabilitação de controles do Security Hub em um ambiente com várias contas
Habilitando um controle em um padrão específico
Para ativar um controle em um padrão, você deve primeiro ativar pelo menos um padrão ao qual o controle se aplica. Para obter mais informações sobre ativação de um padrão, consulte Desabilitar ou habilitar padrões de segurança. Quando você ativa um controle em um padrão, AWS Security Hub começa a gerar descobertas para esse controle. O Security Hub inclui o status do controle no cálculo da pontuação de segurança do padrão. Mesmo que você habilite um controle em vários padrões, você receberá uma única descoberta por verificação de segurança em todos os padrões se ativar as descobertas de controle consolidadas. Para obter mais informações, consulte Descobertas de controle consolidadas.
Para ativar um controle em um padrão, o controle deve estar disponível na sua região atual. Para obter mais informações, consulte Disponibilidade de controles por região.
Siga estas etapas para ativar um controle do Security Hub em um padrão específico. Em vez das etapas a seguir, você também pode usar a ação da API UpdateStandardsControl
para ativar controles em um padrão específico. Para obter instruções sobre como habilitar um controle em todos os padrões, consulte Habilitação de um controle em todos os padrões em uma única conta e região.
Habilitar um controle em um padrão específico
Quando você desabilita um controle em um padrão, o Security Hub para de gerar descobertas para o controle. O status do controle não é mais usado no cálculo da pontuação de segurança do padrão.
Uma forma de desativar um controle é desabilitando todos os padrões aos quais o controle se aplica. Quando você desativa um padrão, todos os controles que se aplicam ao padrão são desativados (no entanto, esses controles ainda podem permanecer habilitados em outros padrões). Para informações sobre como desativar um padrão, consulte Desabilitar ou habilitar padrões de segurança.
Quando você desabilita um controle desativando um padrão ao qual ele se aplica, ocorre o seguinte:
-
As verificações de segurança do controle não são mais realizadas para esse padrão. Isso significa que o status do controle não afetará a pontuação de segurança padrão (o Security Hub continuará executando verificações de segurança para o controle se ele estiver ativado em outros padrões).
-
Não são geradas descobertas adicionais para esse controle.
-
As descobertas existentes são arquivadas automaticamente após três a cinco dias (observe que esse é o melhor esforço e não é garantido).
-
As AWS Config regras relacionadas que o Security Hub criou foram removidas.
Ao desabilitar um padrão, o Security Hub não rastreia quais controles foram desabilitados. Se, depois, você habilitar o padrão novamente, todos os controles aplicáveis serão automaticamente habilitados. Além disso, desabilitar um controle é uma ação única. Suponha que você desabilite um controle e, em seguida, habilite um padrão que foi desativado anteriormente. Se o padrão incluir esse controle, ele será ativado nesse padrão. Quando você ativa um padrão no Security Hub, todos os controles que se aplicam ao padrão são ativados automaticamente.
Em vez de desativar um controle desativando um padrão ao qual ele se aplica, você pode simplesmente desabilitar o controle em um ou mais padrões específicos.
Para reduzir o ruído de localização, pode ser útil desativar os controles que não são relevantes para o seu ambiente. Para obter recomendações sobre quais controles desabilitar, consulte Controles do Security Hub que você pode querer desabilitar.
Siga estas etapas para desativar um controle em padrões específicos. Em vez das etapas a seguir, você também pode usar a ação da API UpdateStandardsControl
para desativar controles em um padrão específico. Para obter instruções sobre como desabilitar um controle em todos os padrões, consulte Ativar e desativar controles em todos os padrões.