Desativação de padrões de segurança habilitados automaticamente - AWS Security Hub

Desativação de padrões de segurança habilitados automaticamente

Se a sua organização não usar a configuração central, ela usará um tipo de configuração denominado configuração local. Com a configuração local, o CSPM do AWS Security Hub habilita automaticamente os padrões de segurança padrão em novas contas de membro quando elas ingressam na sua organização. Todos os controles que se aplicam a esses padrões padrão também são habilitados automaticamente.

Atualmente, os padrões de segurança padrão são os padrões Práticas Recomendadas de Segurança Básica da AWS (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Para obter informações sobre esses padrões, consulte Referência de padrões para o CSPM do Security Hub.

Se você preferir habilitar manualmente os padrões de segurança para novas contas de membros, poderá desativar a habilitação automática dos padrões padrão. Você só poderá fazer isso se estiver integrado com o AWS Organizations e usar a configuração local. Se você usar a configuração central, poderá, em vez disso, criar uma política de configuração que habilite os padrões padrão e associar a política à raiz. Todas as contas e UOs da sua organização herdarão essa política de configuração, a menos que estejam associadas a uma política diferente ou sejam autogerenciadas. Se você não fizer a integração com o AWS Organizations, poderá desabilitar um padrão nativo ao habilitar inicialmente o CSPM do Security Hub ou posteriormente. Para saber como, consulte Desabilitar um padrão.

Para desativar a habilitação automática dos padrões padrão para novas contas de membro, é possível usar o console ou a API do CSPM do Security Hub.

Security Hub CSPM console

Siga estas etapas para desativar a habilitação automática dos padrões padrão usando o console do CSPM do Security Hub.

Para desativar a habilitação automática de padrões padrão

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta de administrador.

  2. No painel de navegação, em Configurações, selecione Configuração.

  3. Na seção Visão geral, selecione Editar.

  4. Em Novas configurações de conta, desmarque a caixa de seleção Habilitar os padrões de segurança padrão.

  5. Escolha Confirmar.

Security Hub CSPM API

Para desativar a habilitação automática dos padrões padrão de forma programática, na conta de administrador do CSPM do Security Hub, use a operação UpdateOrganizationConfiguration da API do CSPM do Security Hub. Na sua solicitação, especifique NONE para o parâmetro AutoEnableStandards.

Se você estiver usando a AWS CLI, execute o comando update-organization-configuration para desativar a habilitação automática dos padrões padrão. Para o parâmetro auto-enable-standards, especifique NONE. Por exemplo, o comando a seguir habilita automaticamente o CSPM do Security Hub para novas contas de membros e desativa a habilitação automática dos padrões padrão para as contas.

$ aws securityhub update-organization-configuration --auto-enable --auto-enable-standards NONE