Ativar e desativar controles em todos os padrões

AWS Security Hub gera descobertas para controles ativados e considera todos os controles ativados ao calcular as pontuações de segurança. É possível escolher habilitar e desabilitar os controles em todos os padrões de segurança ou configurar o status de habilitação de forma diferente em padrões diferentes. Recomendamos a primeira opção, na qual o status de habilitação de um controle está alinhado com todos os padrões habilitados. Esta seção explica como habilitar e desabilitar controles em vários padrões. Para habilitar ou desabilitar um controle em um ou mais padrões específicos, consulte Ativar e desativar controles em padrões específicos.

Se você tiver definido uma região de agregação, o console do Security Hub exibirá controles de todas as regiões vinculadas. Se um controle estiver disponível em uma região vinculada, mas não na região de agregação, você não poderá habilitar ou desabilitar esse controle na região de agregação.

nota

As instruções para habilitar e desabilitar os controles variam de acordo com o uso ou não da configuração central. Esta seção descreve as diferenças. A configuração central está disponível para usuários que integram o Security Hub AWS Organizations e. Recomendamos usar a configuração central para simplificar o processo de habilitação e desabilitação de controles em ambientes com várias contas e várias regiões.

Habilitação de controles

Quando você habilita um controle em um padrão, o Security Hub começa a executar verificações de segurança para o controle e a gerar descobertas para o controle.

O Security Hub inclui o status do controle no cálculo da pontuação de segurança do padrão. Se você ativar as descobertas de controle consolidadas, receberá uma única descoberta para uma verificação de segurança, mesmo que tenha habilitado um controle em vários padrões. Para obter mais informações, consulte Descobertas de controle consolidadas.

Habilitação de um controle em todos os padrões em várias contas e regiões

Para habilitar um controle de segurança em várias contas Regiões da AWS, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que habilitem controles específicos em padrões habilitados. Em seguida, é possível associar a política de configuração a contas e unidades organizacionais (OUs) específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, é possível optar por habilitar todos os controles em uma OU e optar por habilitar somente os controles do Amazon Elastic Compute Cloud (EC2) em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que habilite controles específicos em padrões, consulte Criação e associação de políticas de configuração do Security Hub.

nota

O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

Habilitação de um controle em todos os padrões em uma única conta e região

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para habilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um controle em uma única conta e região.

Security Hub console

Para habilitar um controle em padrões em uma conta e região

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Controles.

3. Escolha a guia Desativado.

4. Escolha a opção ao lado de um controle.

5. Escolha Ativar controle (essa opção não aparece para um controle que já está ativado).

6. Repita em cada região na qual deseja habilitar o controle.

Security Hub API

Para habilitar um controle em padrões em uma conta e região

1. Invoque a API ListStandardsControlAssociations. Forneça uma ID de controle de segurança.

   Exemplo de solicitação:

   {
       "SecurityControlId": "IAM.1"
   }

2. Invoque a API BatchUpdateStandardsControlAssociations. Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter ARNs padrão, execute DescribeStandards.

3. Defina o parâmetro AssociationStatus igual a ENABLED. Se você seguir essas etapas para um controle que já está ativado, a API retornará uma resposta do código de status HTTP 200.

   Exemplo de solicitação:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }

4. Repita em cada região na qual deseja habilitar o controle.

AWS CLI

Para habilitar um controle em padrões em uma conta e região

1. Execute o comando list-standards-control-associations. Forneça uma ID de controle de segurança.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

2. Execute o comando batch-update-standards-control-associations. Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter ARNs padrão, execute o comando describe-standards.

3. Defina o parâmetro AssociationStatus igual a ENABLED. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
                   

4. Repita em cada região na qual deseja habilitar o controle.

Habilitação de Habilitação de novos controles em padrões habilitados.

O Security Hub lança regularmente novos controles de segurança e os adiciona a um ou mais padrões. É possível escolher se deseja habilitar automaticamente novos controles nos padrões habilitados.

nota

Recomendamos usar a configuração central para habilitar automaticamente novos controles. Se sua política de configuração incluir uma lista de controles a serem desabilitados (programaticamente, isso reflete o DisabledSecurityControlIdentifiers parâmetro), o Security Hub habilita automaticamente todos os outros controles em todos os padrões, incluindo os controles recém-lançados. Se sua política incluir uma lista de controles a serem habilitados (isso reflete o parâmetro EnabledSecurityControlIdentifiers), o Security Hub desabilitará automaticamente todos os outros controles nos padrões, incluindo os controles recém-lançados. Para ter mais informações, consulte Como as políticas de configuração do Security Hub funcionam.

Escolha seu método de acesso preferido e siga estas etapas para ativar automaticamente novos controles em padrões habilitados. As etapas a seguir se aplicam somente caso você não use a configuração central.

Security Hub console

Para habilitar automaticamente novos controles

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, selecione Configurações e em seguida Geral.

3. Em Controles, escolha Editar.

4. Ative a Ativação automática de novos controles nos padrões habilitados.

5. Escolha Salvar.

Security Hub API

Para habilitar automaticamente novos controles

1. Invoque a API UpdateSecurityHubConfiguration.

2. Para ativar automaticamente novos controles para os padrões habilitados, defina AutoEnableControls como true. Se você não quiser habilitar automaticamente novos controles, defina AutoEnableControls como false.

AWS CLI

Para habilitar automaticamente novos controles

1. Execute o comando update-security-hub-configuration.

2. Para ativar automaticamente novos controles para os padrões habilitados, especifique os --auto-enable-controls. Se você não quiser habilitar automaticamente novos controles, especifique os --no-auto-enable-controls.

   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

   Exemplo de comando

   aws securityhub update-security-hub-configuration --auto-enable-controls

Desabilitação de controles

Quando você desabilita um controle em todos os padrões, ocorre o seguinte:

• As verificações de segurança do controle não são mais realizadas.

• Não são geradas descobertas adicionais para esse controle.

• As descobertas existentes são arquivadas automaticamente após três a cinco dias (observe que esse é o melhor esforço).

• Todas AWS Config as regras relacionadas criadas pelo Security Hub são removidas.

Em vez de desabilitar um controle em todos os padrões, é possível simplesmente desabilitar o controle em um ou mais padrões específicos. Se você fizer isso, o Security Hub não executará verificações de segurança para o controle dos padrões nos quais você o desabilitou, portanto, isso não afetará a pontuação de segurança desses padrões. No entanto, o Security Hub mantém a AWS Config regra e continua executando verificações de segurança para o controle, se ele estiver habilitado em outros padrões. Isso pode afetar sua pontuação de segurança resumida. Para obter instruções sobre como configurar controles em padrões específicos, consulte Ativar e desativar controles em padrões específicos.

Para reduzir o ruído de localização, pode ser útil desativar os controles que não são relevantes para o seu ambiente. Para obter recomendações sobre quais controles desabilitar, consulte Controles do Security Hub que você pode querer desabilitar.

Quando você desabilita um padrão, todos os controles que se aplicam ao padrão são desabilitados (no entanto, esses controles ainda podem permanecer habilitados em outros padrões). Para informações sobre como desativar um padrão, consulte Desabilitar ou habilitar padrões de segurança.

Quando você desativa um padrão, o Security Hub não rastreia quais dos controles aplicáveis foram desativados. Se você reativar posteriormente o mesmo padrão, todos os controles que se aplicam a ele serão ativados automaticamente. Além disso, desabilitar um controle não é uma ação permanente. Suponha que você desabilite um controle e, em seguida, habilite um padrão que tenha sido desabilitado anteriormente. Se o padrão incluir esse controle, ele será ativado nesse padrão. Quando você ativa um padrão no Security Hub, todos os controles que se aplicam ao padrão são ativados automaticamente. Você pode optar por desativar controles específicos.

Desabilitação de um controle em todos os padrões em várias contas e regiões

Para desativar um controle de segurança em várias contas Regiões da AWS, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que desabilitem controles específicos em padrões habilitados. Em seguida, é possível associar a política de configuração a contas específicas, ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar todos os AWS CloudTrail controles em uma OU e pode optar por desativar todos os controles do IAM em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que desabilite controles específicos em padrões, consulte Criação e associação de políticas de configuração do Security Hub.

nota

O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

Desabilitação de um controle em todos os padrões em uma única conta e região

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para desabilitar um controle em uma única conta e região.

Security Hub console

Para desabilitar um controle em padrões em uma conta e região

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Controles.

3. Escolha a opção ao lado de um controle.

4. Escolha Desativar controle (essa opção não aparece para um controle que já está desativado).

5. Forneça um motivo para desativar o controle e confirme escolhendo Desativar.

6. Repita em cada região na qual deseja desabilitar o controle.

Security Hub API

Para desabilitar um controle em padrões em uma conta e região

1. Invoque a API ListStandardsControlAssociations. Forneça uma ID de controle de segurança.

   Exemplo de solicitação:

   {
       "SecurityControlId": "IAM.1"
   }

2. Invoque a API BatchUpdateStandardsControlAssociations. Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter ARNs padrão, execute DescribeStandards.

3. Defina o parâmetro AssociationStatus igual a DISABLED. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   Exemplo de solicitação:

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }

4. Repita em cada região na qual deseja desabilitar o controle.

AWS CLI

Para desabilitar um controle em padrões em uma conta e região

1. Execute o comando list-standards-control-associations. Forneça uma ID de controle de segurança.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

2. Execute o comando batch-update-standards-control-associations. Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter ARNs padrão, execute o comando describe-standards.

3. Defina o parâmetro AssociationStatus igual a DISABLED. Se você seguir essas etapas para um controle que já está desativado, o comando retornará uma resposta do código de status HTTP 200.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
                   

4. Repita em cada região na qual deseja desabilitar o controle.