Como os parâmetros de controle personalizados funcionam Personalização de parâmetros de controle Verificação do status dos parâmetros de controle Revisando os parâmetros de controle Revertendo para valores de parâmetros de controle padrão Controles que oferecem suporte a parâmetros personalizados

Parâmetros de controle personalizados

Alguns controles do Security Hub usam parâmetros que afetam a forma como o controle é avaliado. Normalmente, esses controles são avaliados em relação aos valores de parâmetros padrão definidos pelo Security Hub. Entretanto, para um subconjunto desses controles, é possível personalizar os valores dos parâmetros. Quando você personaliza um valor de parâmetro para um controle, o Security Hub começa a avaliar o controle em relação ao valor que você especifica. Se o recurso subjacente ao controle satisfizer o valor personalizado, o Security Hub gerará uma descoberta PASSED. Se o recurso não satisfizer o valor personalizado, o Security Hub gerará uma descoberta FAILED.

Ao personalizar os parâmetros de controle, é possível refinar as melhores práticas de segurança recomendadas e monitoradas pelo Security Hub para se alinharem aos requisitos de sua empresa e às expectativas de segurança. Em vez de suprimir as descobertas de um controle, é possível personalizar um ou mais de seus parâmetros para obter descobertas que atendam às suas necessidades de segurança.

Aqui estão alguns exemplos de casos de uso para parâmetros de controle personalizados:

[CloudWatch.16] — os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

É possível especificar o período de tempo de retenção.
[IAM.7] — As políticas de senha para IAM usuários devem ter configurações fortes

É possível especificar parâmetros relacionados à força da senha.
[EC2.18] — Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

É possível especificar quais portas estão autorizadas a permitir tráfego de entrada irrestrito.
[Lambda.5] — As funções VPC Lambda devem operar em várias zonas de disponibilidade

É possível especificar o número mínimo de zonas de disponibilidade que produzem uma descoberta aprovada.

Esta seção explica como personalizar e gerenciar parâmetros de controle.

Como os parâmetros de controle personalizados funcionam

Um controle pode ter um ou mais parâmetros personalizáveis. Os possíveis tipos de dados para parâmetros de controle individuais incluem o seguinte:

Booleano
Double
Enum
EnumList
Inteiro
IntegerList
String
StringList

Para alguns controles, os valores de parâmetros aceitáveis também devem estar em um intervalo especificado para serem válidos. Nesses casos, o Security Hub fornece o intervalo aceitável.

O Security Hub escolhe valores de parâmetros padrão e pode ocasionalmente atualizá-los. Depois de personalizar um parâmetro de controle, seu valor continua sendo o valor que você especificou para o parâmetro, a menos que você o altere. Ou seja, o parâmetro interrompe o acompanhamento de atualizações no valor padrão do Security Hub, mesmo que o valor personalizado do parâmetro corresponda ao valor padrão atual definido pelo Security Hub. Aqui está um exemplo do controle [ACM.1] — Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado:


{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

No exemplo anterior, o parâmetro daysToExpiration tem um valor personalizado de 30. O valor padrão atual desse parâmetro também é 30. Se o Security Hub alterar o valor padrão para 14, o parâmetro neste exemplo não acompanhará essa alteração. Ele manterá um valor de 30.

Se você quiser acompanhar as atualizações do valor padrão do Security Hub para um parâmetro, defina o campo ValueType como DEFAULT em vez de CUSTOM. Para ter mais informações, consulte Reversão para valores padrão dos parâmetros em uma única conta e região.

Ao alterar o valor de um parâmetro, você também aciona uma nova verificação de segurança que avaliará o controle com base no novo valor. Em seguida, o Security Hub gerará novas descobertas de controle com base no novo valor. Durante atualizações periódicas para controlar as descobertas, o Security Hub também usará o novo valor do parâmetro. Se você alterar os valores dos parâmetros de um controle, mas não tiver habilitado nenhum padrão que inclua o controle, o Security Hub não realizará nenhuma verificação de segurança usando os novos valores. Você precisa habilitar pelo menos um padrão relevante para que o Security Hub avalie o controle com base no novo valor do parâmetro.

Os valores de parâmetros personalizados se aplicam a todos os padrões habilitados. Você não pode personalizar os parâmetros de um controle que não seja compatível com sua região atual. Para obter uma lista de limites regionais para controles individuais, consulte Limites regionais de controles.

Personalização de parâmetros de controle

As instruções para personalizar os parâmetros de controle variam de acordo com seu uso da configuração central. A configuração central é um recurso que o administrador delegado do Security Hub pode usar para gerenciar os recursos do Security Hub em Regiões da AWS contas e unidades organizacionais (OUs) em sua organização.

Se sua organização usa a configuração central, o administrador delegado pode criar políticas de configuração que incluam parâmetros de controle personalizados. Essas políticas podem ser associadas a contas de membros gerenciadas centralmente e OUs entram em vigor na sua região de origem e em todas as regiões vinculadas. O administrador delegado também pode designar uma ou mais contas como autogerenciadas, o que permite que o proprietário da conta configure seus próprios parâmetros separadamente em cada região. Se sua organização não usa a configuração central, você deverá personalizar os parâmetros de controle separadamente em cada conta e região.

Personalização de parâmetros de controle em várias contas e regiões

Ao usar a configuração central, você pode personalizar os parâmetros de controle para contas gerenciadas centralmente e OUs em várias contas e regiões. Recomendamos usar a configuração central porque ela permite alinhar os valores dos parâmetros de controle em diferentes partes da sua organização. Por exemplo, todas as suas contas de teste podem usar determinados valores de parâmetros, e todas as contas de produção podem usar valores diferentes.

Se você for o administrador delegado do Security Hub de uma organização que use a configuração central, escolha seu método preferido e siga as etapas para personalizar os parâmetros de controle em várias contas e regiões.

Security Hub console

Para personalizar os parâmetros de controle em várias contas e regiões

Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

Certifique-se de que você está conectado à região inicial.
No painel de navegação, escolha Configurações e Configuração.
Escolha a guia Políticas.
Para criar uma nova política de configuração que inclua parâmetros personalizados, escolha Criar política. Para especificar parâmetros personalizados em uma política de configuração existente, selecione a política e escolha Editar.

Para criar uma nova política de configuração com parâmetros personalizados
1. Na seção Política personalizada, escolha os padrões e controles de segurança que você deseja habilitar.
2. Selecione Personalizar parâmetros de controle.
3. Selecione um controle e, em seguida, especifique valores personalizados para um ou mais parâmetros.
4. Para personalizar os parâmetros para mais controles, escolha Personalizar controle adicional.
5. Na seção Contas, selecione as contas às OUs quais você deseja aplicar a política.
6. Escolha Próximo.
7. Escolha Criar política e aplicar. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.
Para adicionar ou editar parâmetros personalizados em uma política de configuração existente
1. Na seção Controles, em Política personalizada, especifique os novos valores de parâmetros personalizados que você deseja.
2. Se essa for a primeira vez que você personaliza parâmetros de controle nessa política, selecione Personalizar parâmetros de controle e, em seguida, selecione um controle para personalizar. Para personalizar os parâmetros para mais controles, escolha Personalizar controle adicional.
3. Na seção Contas, verifique as contas às OUs quais você deseja aplicar a política.
4. Escolha Próximo.
5. Revise suas alterações e verifique se estão corretas. Ao terminar, escolha Salvar política e aplicar. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

Security Hub API

Para personalizar os parâmetros de controle em várias contas e regiões

Para criar uma nova política de configuração com parâmetros personalizados

Invoque o CreateConfigurationPolicyAPIda conta de administrador delegado na região de origem.
Para o objeto SecurityControlCustomParameters, forneça o identificador de cada controle que você deseja personalizar.
Para o objeto Parameters, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça CUSTOM para ValueType. Em Value, forneça o tipo de dados do parâmetro e o valor personalizado. O campo Value não poderá estar vazio quando ValueType for CUSTOM. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. Você pode encontrar parâmetros compatíveis, tipos de dados e valores válidos para um controle invocando o. GetSecurityControlDefinitionAPI

Para adicionar ou editar parâmetros personalizados em uma política de configuração existente

Invoque o UpdateConfigurationPolicyAPIda conta de administrador delegado na região de origem.
Para o Identifier campo, forneça o Amazon Resource Name (ARN) ou ID da política de configuração que você deseja atualizar.
Para o objeto SecurityControlCustomParameters, forneça o identificador de cada controle que você deseja personalizar.
Para o objeto Parameters, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça CUSTOM para ValueType. Em Value, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. Você pode encontrar parâmetros compatíveis, tipos de dados e valores válidos para um controle invocando o. GetSecurityControlDefinitionAPI

Exemplo de API solicitação para criar uma nova política de configuração:


{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

AWS CLI

Para personalizar os parâmetros de controle em várias contas e regiões

Para criar uma nova política de configuração com parâmetros personalizados

Execute o comando create-configuration-policy a partir da conta de administrador delegado na região inicial.
Para o objeto SecurityControlCustomParameters, forneça o identificador de cada controle que você deseja personalizar.
Para o objeto Parameters, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça CUSTOM para ValueType. Em Value, forneça o tipo de dados do parâmetro e o valor personalizado. O campo Value não poderá estar vazio quando ValueType for CUSTOM. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle executando o comando get-security-control-definition.

Para adicionar ou editar parâmetros em uma política de configuração existente

Para adicionar ou atualizar parâmetros de entrada personalizados em uma política de configuração existente, execute o comando update-configuration-policy na conta do administrador delegado na região inicial.
Para o identifier campo, forneça o Amazon Resource Name (ARN) ou ID da política que você deseja atualizar.
Para o objeto SecurityControlCustomParameters, forneça o identificador de cada controle que você deseja personalizar.
Para o objeto Parameters, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça CUSTOM para ValueType. Em Value, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle executando o comando get-security-control-definition.

Exemplo de comando para criar uma nova política de configuração:


$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'

Personalização de parâmetros de controle em uma única conta e região

Se você não usa a configuração central ou tem uma conta autogerenciada, pode personalizar os parâmetros de controle da sua conta em uma região por vez

Escolha seu método preferido e siga as etapas para personalizar os parâmetros de controle. Suas alterações se aplicam somente à sua conta na região atual. Para personalizar os parâmetros de controle em regiões adicionais, repita as etapas a seguir em cada conta e região adicional na qual você deseja personalizar os parâmetros. O mesmo controle pode usar valores de parâmetros diferentes em regiões diferentes.

Security Hub console

Para personalizar parâmetros de controle em uma conta e região

Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.
No painel de navegação, escolha Controles. Na tabela, escolha um controle que ofereça suporte a parâmetros personalizados e para o qual você deseja alterar os parâmetros. A coluna Parâmetros personalizados indica quais controles oferecem suporte a parâmetros personalizados.
Na página de detalhes do controle, escolha a guia Parâmetros e, em seguida, selecione Editar.
Especifique os valores de parâmetros que você desejar.
Opcionalmente, na seção Motivo da alteração, selecione um motivo para personalizar os parâmetros.
Escolha Salvar.

Security Hub API

Para personalizar parâmetros de controle em uma conta e região

Invoque o. UpdateSecurityControlAPI
Em SecurityControlId, forneça o ID do controle que você deseja personalizar.
Para o objeto Parameters, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça CUSTOM para ValueType. Em Value, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. Você pode encontrar parâmetros compatíveis, tipos de dados e valores válidos para um controle invocando o. GetSecurityControlDefinitionAPI
Opcionalmente, em LastUpdateReason, forneça um motivo para personalizar os parâmetros de controle.

Exemplo de API solicitação:


{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 15
            }
        }
    },
    "LastUpdateReason": "Internal compliance requirement"
}

AWS CLI

Para personalizar parâmetros de controle em uma conta e região

Execute o comando update-security-control.
Em security-control-id, forneça o ID do controle que você deseja personalizar.
Para o objeto parameters, forneça o nome de cada parâmetro que você deseja personalizar. Para cada parâmetro que você personalizar, forneça CUSTOM para ValueType. Em Value, forneça o tipo de dados do parâmetro e o valor personalizado. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual. É possível encontrar parâmetros com suporte, tipos de dados e valores válidos para um controle executando o comando get-security-control-definition.
Opcionalmente, em last-update-reason, forneça um motivo para personalizar os parâmetros de controle.

Exemplo de comando:


$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"

Verificação do status dos parâmetros de controle

É importante validar e verificar o status das alterações nos parâmetros de controle. Isso ajuda a garantir que um controle funcione conforme o esperado e forneça o valor de segurança pretendido. Para verificar se a atualização de um parâmetro obteve êxito, é possível revisar os detalhes do controle no console do Security Hub. No console, escolha o controle para exibir seus detalhes. A guia Parâmetros mostra o status da alteração do parâmetro.

Programaticamente, se a sua solicitação para atualizar um parâmetro for válida, o valor do campo UpdateStatus será UPDATING em resposta à operação BatchGetSecurityControls. Isso significa que a atualização foi válida, mas suas descobertas podem ainda não incluir os valores dos parâmetros atualizados. Quando o valor de UpdateState mudar para READY, suas descobertas começarão a incluir os valores dos parâmetros atualizados.

A operação UpdateSecurityControl retorna uma resposta InvalidInputException para valores de parâmetros inválidos. A resposta fornece detalhes adicionais sobre o motivo da falha. Por exemplo, pode ter sido especificado um valor que esteja fora do intervalo válido para um parâmetro. Ou você especificou um valor que não usa o tipo de dados correto. Envie sua solicitação novamente com informações válidas. Se a atualização de um parâmetro não obtiver êxito, o Security Hub reterá o valor atual do parâmetro.

Se ocorrer uma falha interna ao tentar atualizar um valor de parâmetro, o Security Hub tentará novamente automaticamente se você tiver AWS Config ativado. Para ter mais informações, consulte Configurando AWS Config.

Revisando os parâmetros de controle

É possível revisar os valores atuais dos parâmetros de controle individuais em sua conta. Se você usar a configuração central, o administrador delegado do Security Hub também poderá revisar os valores dos parâmetros especificados em uma política de configuração.

Escolha seu método preferido e siga as etapas para revisar os valores atuais dos parâmetros de controle.

Escolha seu método preferido para visualizar os valores dos parâmetros atuais em uma política de configuração central.

Suas descobertas de controle também mostram os valores dos parâmetros atuais. Em AWS Sintaxe do Security Finding Format (ASFF), esses valores aparecem no campo Parameters do objeto Compliance. Para revisar as descobertas no console do Security Hub, escolha Descobertas no painel de navegação. Para revisar as descobertas de forma programática, use a operação GetFindings.

nota

Após o lançamento do recurso de parâmetros de controle personalizados, o Security Hub atualizará as descobertas de controle existentes para incluir o Parameters ASFF campo. Isso pode demorar até 24 horas.

Revertendo para valores de parâmetros de controle padrão

Um parâmetro de controle pode ter um valor padrão definido pelo Security Hub. Podemos atualizar o valor padrão de um parâmetro para refletir a evolução das práticas recomendadas de segurança. Se você não especificou um valor personalizado para um parâmetro de controle, o controle acompanhará automaticamente essas atualizações e usará o novo valor padrão.

É possível voltar a usar valores de parâmetros padrão para um controle. A forma como você faz isso depende se você usa a configuração central.

nota

Nem todos os parâmetros de controle têm um valor padrão no Security Hub. Nesses casos, quando ValueType for definido como DEFAULT, não haverá um valor padrão específico usado pelo Security Hub. Em vez disso, o Security Hub ignorará o parâmetro na ausência de um valor personalizado.

Reversão para valores de parâmetros padrão em várias contas e regiões

Se você usar a configuração central, poderá reverter os parâmetros de controle para contas gerenciadas centralmente e OUs em várias contas e regiões.

Escolha seu método preferido e siga as etapas para voltar aos valores de parâmetros padrão em várias contas e regiões usando a configuração central.

Security Hub console

Para reverter aos valores padrão dos parâmetros em várias contas e regiões

Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.
No painel de navegação, escolha Configurações e Configuração.
Escolha a guia Políticas.
Selecione uma política e escolha Editar.
Em Política personalizada, a seção Controles mostrará uma lista de controles para os quais você especificou parâmetros personalizados.
Encontre o controle que tem um ou mais valores de parâmetros a serem revertidos. Em seguida, escolha Remover para reverter aos valores padrão.
Na seção Contas, verifique as contas às OUs quais você deseja aplicar a política.
Escolha Próximo.
Revise suas alterações e verifique se estão corretas. Ao terminar, escolha Salvar política e aplicar. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

Security Hub API

Para reverter aos valores padrão dos parâmetros em várias contas e regiões

Invoque o UpdateConfigurationPolicyAPIda conta de administrador delegado na região de origem.
Para o Identifier campo, forneça o Amazon Resource Name (ARN) ou ID da política que você deseja atualizar.
Para o objeto SecurityControlCustomParameters, forneça o identificador de cada controle para o qual você deseja reverter um ou mais parâmetros.
No objeto Parameters, para cada parâmetro que você desejar reverter, forneça DEFAULT para o campo ValueType. Quando ValueType estiver definido como DEFAULT, você não precisará fornecer um valor para o campo Value. Se um valor for incluído na sua solicitação, o Security Hub o ignorará. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual.

Atenção

Se você omitir um objeto de controle do campo SecurityControlCustomParameters, o Security Hub reverterá todos os parâmetros personalizados do controle para seus valores padrão. Uma lista completamente vazia para SecurityControlCustomParameters reverterá os parâmetros personalizados de todos os controles para seus valores padrão.

Exemplo de API solicitação:


{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "TestConfigurationPolicy",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Revert ACM.1 parameter to default value",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
             "SecurityControlsConfiguration": {
                "DisbledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "DEFAULT"
                             }
                         }
                    }
                ]
             }
        }
    }
}

AWS CLI

Para reverter aos valores padrão dos parâmetros em várias contas e regiões

Execute o comando update-configuration-policy a partir da conta de administrador delegado na região inicial.
Para o identifier campo, forneça o Amazon Resource Name (ARN) ou ID da política que você deseja atualizar.
Para o objeto SecurityControlCustomParameters, forneça o identificador de cada controle para o qual você deseja reverter um ou mais parâmetros.
No objeto Parameters, para cada parâmetro que você desejar reverter, forneça DEFAULT para o campo ValueType. Quando ValueType estiver definido como DEFAULT, você não precisará fornecer um valor para o campo Value. Se um valor for incluído na sua solicitação, o Security Hub o ignorará. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual.

Atenção

Exemplo de comando:


$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

Reversão para valores padrão dos parâmetros em uma única conta e região

Se você não usa a configuração central ou tem uma conta autogerenciada, pode reverter para o uso dos valores padrão dos parâmetros para sua conta em uma região por vez

Escolha seu método preferido e siga as etapas para voltar aos valores padrão dos parâmetros para sua conta em uma única região. Para reverter aos valores padrão dos parâmetros em regiões adicionais, repita essas etapas em cada região adicional.

nota

Se você desabilitar o Security Hub, seus parâmetros de controle personalizados serão redefinidos. Se você habilitar o Security Hub novamente no futuro, todos os controles usarão valores de parâmetros padrão ao iniciar.

Security Hub console

Para reverter aos valores padrão dos parâmetros em uma conta e região

Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.
No painel de navegação, escolha Controles. Escolha o controle que você deseja reverter para os valores padrão dos parâmetros.
Na guia Parameters, escolha Personalizado ao lado de um parâmetro de controle. Em seguida, escolha Remover personalização. Esse parâmetro agora usa o valor padrão do Security Hub e acompanhará futuras atualizações até o valor padrão.
Repita a etapa anterior para cada valor de parâmetro que desejar reverter.

Security Hub API

Para reverter aos valores padrão dos parâmetros em uma conta e região

Invoque o. UpdateSecurityControlAPI
ParaSecurityControlId, forneça o ID ARN ou do controle cujos parâmetros você deseja reverter.
No objeto Parameters, para cada parâmetro que você desejar reverter, forneça DEFAULT para o campo ValueType. Quando ValueType estiver definido como DEFAULT, você não precisará fornecer um valor para o campo Value. Se um valor for incluído na sua solicitação, o Security Hub o ignorará.
Opcionalmente, em LastUpdateReason, forneça um motivo para reverter aos valores padrão dos parâmetros.

Exemplo de API solicitação:


{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "DEFAULT"
        },
    "LastUpdateReason": "New internal requirement"
}

AWS CLI

Para reverter aos valores padrão dos parâmetros em uma conta e região

Execute o comando update-security-control.
Parasecurity-control-id, forneça o ID ARN ou do controle cujos parâmetros você deseja reverter.
No objeto parameters, para cada parâmetro que você desejar reverter, forneça DEFAULT para o campo ValueType. Quando ValueType estiver definido como DEFAULT, você não precisará fornecer um valor para o campo Value. Se um valor for incluído na sua solicitação, o Security Hub o ignorará.
Opcionalmente, em last-update-reason, forneça um motivo para reverter aos valores padrão dos parâmetros.

Exemplo de comando:


$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"

Controles que oferecem suporte a parâmetros personalizados

Para obter uma lista de controles de segurança que ofereçam suporte a parâmetros personalizados, consulte a página Controles no console do Security Hub ou a Referência de controles do Security Hub. Para recuperar essa lista programaticamente, é possível usar a operação ListSecurityControlDefinitions. Na resposta, o objeto CustomizableProperties indica quais controles oferecem suporte a parâmetros personalizáveis.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Habilitar novos controles em padrões habilitados automaticamente

Controles que podem ser desabilitados

Parâmetros de controle personalizados

Como os parâmetros de controle personalizados funcionam

Personalização de parâmetros de controle

Personalização de parâmetros de controle em várias contas e regiões

Para personalizar os parâmetros de controle em várias contas e regiões

Para criar uma nova política de configuração com parâmetros personalizados

Para adicionar ou editar parâmetros personalizados em uma política de configuração existente

Para criar uma nova política de configuração com parâmetros personalizados

Para adicionar ou editar parâmetros em uma política de configuração existente

Personalização de parâmetros de controle em uma única conta e região

Para personalizar parâmetros de controle em uma conta e região

Para personalizar parâmetros de controle em uma conta e região

Para personalizar parâmetros de controle em uma conta e região

Verificação do status dos parâmetros de controle

Revisando os parâmetros de controle

Para revisar os valores dos parâmetros atuais

Para revisar os valores dos parâmetros atuais em uma política de configuração

Para revisar os valores dos parâmetros atuais em uma política de configuração

Para revisar os valores dos parâmetros atuais em uma política de configuração

nota

Revertendo para valores de parâmetros de controle padrão

nota

Reversão para valores de parâmetros padrão em várias contas e regiões

Para reverter aos valores padrão dos parâmetros em várias contas e regiões

Para reverter aos valores padrão dos parâmetros em várias contas e regiões

Atenção

Para reverter aos valores padrão dos parâmetros em várias contas e regiões

Atenção

Reversão para valores padrão dos parâmetros em uma única conta e região

nota

Para reverter aos valores padrão dos parâmetros em uma conta e região

Para reverter aos valores padrão dos parâmetros em uma conta e região

Para reverter aos valores padrão dos parâmetros em uma conta e região

Controles que oferecem suporte a parâmetros personalizados