Ativar e desativar controles em padrões específicos

Quando você habilita um padrão no AWS Security Hub, todos os controles que se aplicam a ele são automaticamente habilitados nesse padrão (a exceção são os padrões gerenciados por serviços). Você pode desabilitar e re-habilitar controles específicos no padrão. Entretanto, recomendamos alinhar o status de habilitação de um controle em todos os seus padrões habilitados.

nota

Se você usar a configuração central do Security Hub, o administrador delegado poderá habilitar e desabilitar os controles das contas da organização em todos os padrões habilitados. Recomendamos essa abordagem para que o status de habilitação de um controle esteja alinhado com os padrões. Entretanto, o administrador delegado pode designar contas como autogerenciadas, o que lhes dá a capacidade de habilitar e desabilitar controles em padrões específicos. Para ter mais informações, consulte Como a configuração central funciona.

A página de detalhes de um padrão contém a lista de controles aplicáveis para o padrão e informações sobre quais controles estão atualmente habilitados e desativados nesse padrão.

Na página de detalhes dos padrões, você também pode ativar e desativar controles em um padrão específico. Você deve ativar e desativar os controles separadamente em cada Conta da AWS Região da AWS e. Quando você ativa ou desativa um controle, ele afeta apenas a conta e a região atuais.

Você pode ativar e desativar controles em cada região usando o console do Security Hub, a API do Security Hub ou AWS CLI. Se você definiu uma região de agregação, verá os controles de todas as regiões vinculadas. Se um controle estiver disponível em uma região vinculada, mas não na região de agregação, você não poderá ativar ou desativar esse controle na região de agregação. Para scripts de desabilitação de controle de várias contas e várias regiões, consulte Desabilitação de controles do Security Hub em um ambiente com várias contas.

Habilitando um controle em um padrão específico

Para ativar um controle em um padrão, você deve primeiro ativar pelo menos um padrão ao qual o controle se aplica. Para obter mais informações sobre ativação de um padrão, consulte Desabilitar ou habilitar padrões de segurança. Quando você ativa um controle em um padrão, AWS Security Hub começa a gerar descobertas para esse controle. O Security Hub inclui o status do controle no cálculo da pontuação de segurança do padrão. Mesmo que você habilite um controle em vários padrões, você receberá uma única descoberta por verificação de segurança em todos os padrões se ativar as descobertas de controle consolidadas. Para obter mais informações, consulte Descobertas de controle consolidadas.

Para ativar um controle em um padrão, o controle deve estar disponível na sua região atual. Para obter mais informações, consulte Disponibilidade de controles por região.

Siga estas etapas para ativar um controle do Security Hub em um padrão específico. Em vez das etapas a seguir, você também pode usar a ação da API UpdateStandardsControl para ativar controles em um padrão específico. Para obter instruções sobre como habilitar um controle em todos os padrões, consulte Habilitação de um controle em todos os padrões em uma única conta e região.

Security Hub console

Para habilitar um controle em um padrão específico

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. Selecione Padrões de segurança no painel de navegação.

3. Escolha Exibir resultados para o respectivo padrão.

4. Selecione um controle.

5. Escolha Ativar controle (essa opção não aparece para um controle que já está ativado). Confirme escolhendo Ativar.

Security Hub API

Para habilitar um controle em um padrão específico

1. Execute ListSecurityControlDefinitions e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute DescribeStandards. Essa API retorna IDs de controle de segurança independentes do padrão, não IDs de controle específicos do padrão.

   Exemplo de solicitação:

   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }

2. Execute ListStandardsControlAssociations e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   Exemplo de solicitação:

   {
       "SecurityControlId": "IAM.1"
   }

3. Executar BatchUpdateStandardsControlAssociations. Forneça o ARN do padrão no qual você deseja ativar o controle.

4. Defina o parâmetro AssociationStatus igual a ENABLED.

   Exemplo de solicitação:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
   }

AWS CLI

Para habilitar um controle em um padrão específico

1. Execute o comando list-security-control-definitions e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute describe-standards. Esse comendo retorna IDs de controle de segurança independentes do padrão, não IDs de controle específicos do padrão.

   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

2. Execute o comando list-standards-control-associations e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

3. Execute o comando batch-update-standards-control-associations. Forneça o ARN do padrão no qual você deseja ativar o controle.

4. Defina o parâmetro AssociationStatus igual a ENABLED.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'
                   

Habilitar um controle em um padrão específico

Quando você desabilita um controle em um padrão, o Security Hub para de gerar descobertas para o controle. O status do controle não é mais usado no cálculo da pontuação de segurança do padrão.

Uma forma de desativar um controle é desabilitando todos os padrões aos quais o controle se aplica. Quando você desativa um padrão, todos os controles que se aplicam ao padrão são desativados (no entanto, esses controles ainda podem permanecer habilitados em outros padrões). Para informações sobre como desativar um padrão, consulte Desabilitar ou habilitar padrões de segurança.

Quando você desabilita um controle desativando um padrão ao qual ele se aplica, ocorre o seguinte:

• As verificações de segurança do controle não são mais realizadas para esse padrão. Isso significa que o status do controle não afetará a pontuação de segurança padrão (o Security Hub continuará executando verificações de segurança para o controle se ele estiver ativado em outros padrões).

• Não são geradas descobertas adicionais para esse controle.

• As descobertas existentes são arquivadas automaticamente após três a cinco dias (observe que esse é o melhor esforço e não é garantido).

• As AWS Config regras relacionadas que o Security Hub criou foram removidas.

Ao desabilitar um padrão, o Security Hub não rastreia quais controles foram desabilitados. Se, depois, você habilitar o padrão novamente, todos os controles aplicáveis serão automaticamente habilitados. Além disso, desabilitar um controle é uma ação única. Suponha que você desabilite um controle e, em seguida, habilite um padrão que foi desativado anteriormente. Se o padrão incluir esse controle, ele será ativado nesse padrão. Quando você ativa um padrão no Security Hub, todos os controles que se aplicam ao padrão são ativados automaticamente.

Em vez de desativar um controle desativando um padrão ao qual ele se aplica, você pode simplesmente desabilitar o controle em um ou mais padrões específicos.

Para reduzir o ruído de localização, pode ser útil desativar os controles que não são relevantes para o seu ambiente. Para obter recomendações sobre quais controles desabilitar, consulte Controles do Security Hub que você pode querer desabilitar.

Siga estas etapas para desativar um controle em padrões específicos. Em vez das etapas a seguir, você também pode usar a ação da API UpdateStandardsControl para desativar controles em um padrão específico. Para obter instruções sobre como desabilitar um controle em todos os padrões, consulte Ativar e desativar controles em todos os padrões.

Security Hub console

Para desabilitar um controle em um padrão específico

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. Selecione Padrões de segurança no painel de navegação. Escolha Exibir resultados para o respectivo padrão.

3. Selecione um controle.

4. Escolha Desativar controle (essa opção não aparece para um controle que já está desativado).

5. Forneça um motivo para desativar o controle e confirme escolhendo Desativar.

Security Hub API

Para desabilitar um controle em um padrão específico

1. Execute ListSecurityControlDefinitions e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute DescribeStandards. Essa API retorna IDs de controle de segurança independentes do padrão, não IDs de controle específicos do padrão.

   Exemplo de solicitação:

   {
       "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
   }

2. Execute ListStandardsControlAssociations e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   Exemplo de solicitação:

   {
       "SecurityControlId": "IAM.1"
   }

3. Executar BatchUpdateStandardsControlAssociations. Forneça o ARN do padrão no qual você deseja desativar o controle.

4. Defina o parâmetro AssociationStatus igual a DISABLED. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   Exemplo de solicitação:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
   }

AWS CLI

Para desabilitar um controle em um padrão específico

1. Execute o comando list-security-control-definitions e forneça um ARN padrão para obter uma lista dos controles disponíveis para um padrão específico. Para obter um ARN padrão, execute describe-standards. Esse comendo retorna IDs de controle de segurança independentes do padrão, não IDs de controle específicos do padrão.

   aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

2. Execute o comando list-standards-control-associations e forneça um ID de controle específico para retornar o status atual de ativação de um controle em cada padrão.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

3. Execute o comando batch-update-standards-control-associations. Forneça o ARN do padrão no qual você deseja desativar o controle.

4. Defina o parâmetro AssociationStatus igual a DISABLED. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'