Criação e associação de políticas de configuração do Security Hub - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação e associação de políticas de configuração do Security Hub

A conta de administrador delegado pode criar políticas de AWS Security Hub configuração e associá-las às contas da organização, às unidades organizacionais (OUs) ou à raiz. Você também pode associar uma configuração autogerenciada a contas, OUs ou à raiz.

Se essa for a primeira vez que você está criando uma política de configuração, é recomendável analisar primeiro Como as políticas de configuração do Security Hub funcionam.

Escolha seu método de acesso preferido e siga as etapas para criar e associar uma política de configuração ou configuração autogerenciada. Ao usar o console do Security Hub, você pode associar uma configuração a várias contas ou OUs ao mesmo tempo. Ao usar a API do Security Hub ou AWS CLI, você pode associar uma configuração a somente uma conta ou OU em cada solicitação.

nota

Se você usar a configuração central, o Security Hub desativará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região de origem. Outros controles que você escolhe ativar por meio de uma política de configuração são habilitados em todas as regiões em que estão disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem. Ao usar a configuração central, você não tem cobertura para um controle que não está disponível na região de origem e em nenhuma das regiões vinculadas. Para obter uma lista de controles que envolvem recursos globais, consulteControles que lidam com recursos globais.

Security Hub console
Para criar e associar políticas de configuração

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.

  2. No painel de navegação, escolha Configuração e a guia Políticas. Em seguida, selecione Criar política.

  3. Na página Configurar organização, se for a primeira vez que você cria uma política de configuração, você verá três opções em Tipo de configuração. Se você já criou pelo menos uma política de configuração, verá somente a opção Política personalizada.

    • Escolha Usar a configuração AWS recomendada do Security Hub em toda a minha organização para usar nossa política recomendada. A política recomendada ativa o Security Hub em todas as contas da organização, ativa o padrão AWS Foundational Security Best Practices (FSBP) e ativa todos os controles FSBP novos e existentes. Os controles usam valores de parâmetros padrão.

    • Escolha Ainda não estou pronto para configurar para criar uma política de configuração mais tarde.

    • Escolha Política personalizada para criar uma política de configuração personalizada. Especifique se deseja habilitar ou desabilitar o Security Hub, quais padrões habilitar e quais controles habilitar em todos esses padrões. Opcionalmente, especifique valores de parâmetros personalizados para um ou mais controles habilitados que ofereçam suporte a parâmetros personalizados.

  4. Na seção Contas, escolha a quais contas de destino, OUs ou a raiz você deseja que sua política de configuração se aplique.

    • Escolha Todas as contas se quiser aplicar a política de configuração à raiz. Isso inclui todas as contas e OUs da organização que não tenham outra política aplicada ou herdada.

    • Escolha Contas específicas se quiser aplicar a política de configuração a contas ou OUs específicas. Insira os IDs da conta ou selecione as contas e OUs na estrutura da organização. Você pode aplicar a política a um máximo de 15 destinos (contas, OUs ou raiz) ao criá-la. Para especificar um número maior, edite sua política após a criação e aplique-a a alvos adicionais.

    • Escolha Somente o administrador delegado para aplicar a política de configuração à conta atual do administrador delegado.

  5. Escolha Próximo.

  6. Na página Revisar e aplicar, revise os detalhes da configuração. Em seguida, escolha Criar política e aplicar. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas à política de configuração por meio de aplicação direta ou herança de um nó pai. As contas e OUs filhas dos destinos aplicados herdarão automaticamente essa política de configuração, a menos que sejam especificamente excluídas, autogerenciadas ou usem uma política de configuração diferente.

Security Hub API
Para criar e associar políticas de configuração

  1. Invoque a API CreateConfigurationPolicy a partir da conta de administrador delegado do Security Hub na região inicial.

  2. Em Name, insira um nome exclusivo para a política de configuração. Opcionalmente, em Description, forneça uma descrição para a política de configuração.

  3. No campo ServiceEnabled, especifique se você deseja que o Security Hub seja habilitado ou desabilitado nesta política de configuração.

  4. No campo EnabledStandardIdentifiers, especifique quais padrões do Security Hub você deseja habilitar nesta política de configuração.

  5. No objeto SecurityControlsConfiguration, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher EnabledSecurityControlIdentifiers significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher DisabledSecurityControlIdentifiers significa que os controles especificados serão desabilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

  6. Opcionalmente, no campo SecurityControlCustomParameters, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça CUSTOM para o campo ValueType e o valor do parâmetro personalizado para o campo Value. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para ter mais informações, consulte Parâmetros de controle personalizados.

  7. Para aplicar sua política de configuração a contas ou OUs, invoque a API StartConfigurationPolicyAssociation da conta de administrador delegado do Security Hub na região inicial.

  8. Para o ConfigurationPolicyIdentifier campo, forneça o Amazon Resource Name (ARN) ou o identificador universalmente exclusivo (UUID) da política. O ARN e o UUID são retornados pela API. CreateConfigurationPolicy Para uma configuração autogerenciada, o ConfigurationPolicyIdentifier campo é igual a. SELF_MANAGED_SECURITY_HUB

  9. No campo Target, forneça o ID da OU, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino em cada solicitação de API. As contas e UOs filhas do destino selecionado herdarão automaticamente esta política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

Exemplo de solicitação de API para criar uma política de configuração:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Exemplo de solicitação de API para associar uma política de configuração:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Para criar e associar políticas de configuração

  1. Execute o comando create-configuration-policy a partir da conta de administrador delegado do Security Hub na região inicial.

  2. Em name, insira um nome exclusivo para a política de configuração. Opcionalmente, em description, forneça uma descrição para a política de configuração.

  3. No campo ServiceEnabled, especifique se você deseja que o Security Hub seja habilitado ou desabilitado nesta política de configuração.

  4. No campo EnabledStandardIdentifiers, especifique quais padrões do Security Hub você deseja habilitar nesta política de configuração.

  5. No campo SecurityControlsConfiguration, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher EnabledSecurityControlIdentifiers significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher DisabledSecurityControlIdentifiers significa que os controles especificados serão desabilitados. Outros controles que se apliquem aos seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

  6. Opcionalmente, no campo SecurityControlCustomParameters, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça CUSTOM para o campo ValueType e o valor do parâmetro personalizado para o campo Value. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para ter mais informações, consulte Parâmetros de controle personalizados.

  7. Para aplicar sua política de configuração a contas ou OUs, execute o comando start-configuration-policy-association da conta de administrador delegado do Security Hub na região inicial.

  8. No campo configuration-policy-identifier, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração. Esse ARN e ID são retornados pelo comando create-configuration-policy.

  9. No campo target, forneça o ID da OU, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino a cada vez que você executa o comando. Os filhos do destino selecionado herdarão automaticamente esta política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

Exemplo de comando para criar uma política de configuração:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Exemplo de comando para associar uma política de configuração:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

A API StartConfigurationPolicyAssociation retorna um campo chamado AssociationStatus. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. Para obter mais informações sobre status de associações, consulte Status da associação de uma configuração.