Ativando e desativando controles no padrão

AWS Security Hub gera descobertas para controles ativados e considera todos os controles ativados ao calcular as pontuações de segurança. É possível escolher habilitar e desabilitar os controles em todos os padrões de segurança ou configurar o status de habilitação de forma diferente em padrões diferentes. Recomendamos a primeira opção, na qual o status de habilitação de um controle está alinhado com todos os padrões habilitados. Esta seção explica como habilitar e desabilitar controles em vários padrões. Para habilitar ou desabilitar um controle em um ou mais padrões específicos, consulte Ativando e desativando controles no padrão.

Se você tiver definido uma região de agregação, o console do Security Hub exibirá controles de todas as regiões vinculadas. Se um controle estiver disponível em uma região vinculada, mas não na região de agregação, você não poderá habilitar ou desabilitar esse controle na região de agregação.

nota

As instruções para habilitar e desabilitar os controles variam de acordo com o uso ou não da configuração central. Esta seção descreve as diferenças. A configuração central está disponível para usuários que integram o Security Hub AWS Organizations e. Recomendamos usar a configuração central para simplificar o processo de habilitação e desabilitação de controles em ambientes com várias contas e várias regiões.

Habilitação de controles

Quando você habilita um controle em um padrão, o Security Hub começa a executar verificações de segurança para o controle e a gerar descobertas para o controle.

O Security Hub inclui o status do controle no cálculo da pontuação de segurança do padrão. Se você ativar as descobertas de controle consolidadas, receberá uma única descoberta para uma verificação de segurança, mesmo que tenha habilitado um controle em vários padrões. Para obter mais informações, consulte Descobertas de controle consolidadas.

Habilitação de um controle em todos os padrões em várias contas e regiões

Para habilitar um controle de segurança em várias contas Regiões da AWS, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que habilitem controles específicos em padrões habilitados. Em seguida, é possível associar a política de configuração a contas e unidades organizacionais (OUs) específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, é possível optar por habilitar todos os controles em uma OU e optar por habilitar somente os controles do Amazon Elastic Compute Cloud (EC2) em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que habilite controles específicos em padrões, consulte Criação e associação de políticas de configuração do Security Hub.

nota

O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

Habilitação de um controle em todos os padrões em uma única conta e região

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para habilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um controle em uma única conta e região.

Security Hub console

Para habilitar um controle em padrões em uma conta e região

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Roles (Funções).

3. Escolha a guia Desativado.

4. Escolha a opção ao lado de um controle.

5. Escolha Ativar controle (essa opção não aparece para um controle que já está ativado).

6. Repita em cada região na qual deseja habilitar o controle.

Security Hub API

Para habilitar um controle em padrões em uma conta e região

1. Invoque a API ListStandardsControlAssociations. Forneça uma ID de controle de segurança.

   Exemplo de solicitação

   {
       "SecurityControlId": "IAM.1"
   }

2. Invoque a API BatchUpdateStandardsControlAssociations. Forneça o Nome do recurso da Amazon (ARN) do padrão que deseja habilitar. Para obter o ARN padrão, execute DescribeStandards.

3. Defina o parâmetro AssociationStatus como ENABLED. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   Exemplo de solicitação

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
   }

4. Repita em cada região na qual deseja habilitar o controle.

AWS CLI

Para habilitar um controle em padrões em uma conta e região

1. Execute o comando list-standards-control-associations. Forneça uma ID de controle de segurança.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

2. Execute o comando batch-update-standards-control-associations. Forneça o Nome do recurso da Amazon (ARN) do padrão que deseja habilitar. Para obter o ARN padrão, execute describe-standards.

3. Defina o parâmetro AssociationStatus como ENABLED. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
                   

4. Repita em cada região na qual deseja habilitar o controle.

Habilitação de Habilitação de novos controles em padrões habilitados.

O Security Hub lança regularmente novos controles de segurança e os adiciona a um ou mais padrões. É possível escolher se deseja habilitar automaticamente novos controles nos padrões habilitados.

nota

Recomendamos usar a configuração central para habilitar automaticamente novos controles. Se sua política de configuração incluir uma lista de controles a serem desabilitados (programaticamente, isso reflete o DisabledSecurityControlIdentifiers parâmetro), o Security Hub habilita automaticamente todos os outros controles em todos os padrões, incluindo os controles recém-lançados. Se sua política incluir uma lista de controles a serem habilitados (isso reflete o parâmetro EnabledSecurityControlIdentifiers), o Security Hub desabilitará automaticamente todos os outros controles nos padrões, incluindo os controles recém-lançados. Para ter mais informações, consulte Como as políticas de configuração do Security Hub funcionam.

Escolha seu método de acesso preferido e siga estas etapas para ativar um padrão. As etapas a seguir se aplicam somente caso você não use a configuração central.

Security Hub console

Para habilitar automaticamente novos controles

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, selecione Configurações e em seguida Contas.

3. Em Controles, escolha Editar.

4. Ative a Ativação automática de novos controles nos padrões habilitados.

5. Selecione Salvar.

Security Hub API

Para habilitar automaticamente novos controles

1. Invoque a API UpdateSecurityHubConfiguration.

2. Para ativar automaticamente novos controles para os padrões habilitados, defina AutoEnableControls como true. Se você não quiser habilitar automaticamente novos controles, defina AutoEnableControls como false.

AWS CLI

Para habilitar automaticamente novos controles

1. Execute o comando update-security-hub-configuration.

2. Para ativar automaticamente novos controles para os padrões habilitados, defina como . Se você não quiser habilitar automaticamente novos controles, defina --no-auto-enable-controls como false.

   aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

   Exemplo de comando da

   aws securityhub update-security-hub-configuration --auto-enable-controls

Desabilitação de controles

Quando você desabilita um controle em todos os padrões, ocorre o seguinte:

• As verificações de segurança do controle não são mais realizadas para esse padrão.

• Não são geradas descobertas adicionais para esse controle.

• As descobertas existentes são arquivadas automaticamente após três a cinco dias (observe que esse é o melhor esforço).

• Todas AWS Config as regras relacionadas criadas pelo Security Hub são removidas.

Em vez de desabilitar um controle em todos os padrões, é possível simplesmente desabilitar o controle em um ou mais padrões específicos. Se você fizer isso, o Security Hub não executará verificações de segurança para o controle dos padrões nos quais você o desabilitou, portanto, isso não afetará a pontuação de segurança desses padrões. No entanto, o Security Hub mantém a AWS Config regra e continua executando verificações de segurança para o controle, se ele estiver habilitado em outros padrões. Isso pode afetar sua pontuação de segurança resumida. Para obter instruções sobre como configurar controles em padrões específicos, consulte Ativando e desativando controles no padrão.

Para reduzir o ruído de localização, pode ser útil desativar os controles que não são relevantes para o seu ambiente. Para obter recomendações sobre quais controles desabilitar, consulte Controles do Security Hub que você pode querer desabilitar.

Quando você desabilita um padrão, todos os controles que se aplicam ao padrão são desabilitados (no entanto, esses controles ainda podem permanecer habilitados em outros padrões). Para obter mais informações sobre como desativar as ACLs, consulte Disabling or enabling a security standard (Desabilitar ou habilitar um padrão de segurança).

Quando você desabilita um padrão, o Security Hub não rastreia quais controles foram desabilitados. Se, depois, você habilitar o padrão novamente, todos os controles serão habilitados. Além disso, desabilitar um controle é uma ação única. Suponha que você desabilite um controle e, em seguida, habilite um padrão que tenha sido desabilitado anteriormente. Se o padrão incluir esse controle, ele será ativado nesse padrão. Quando você ativa um padrão, o Security Hub ativa automaticamente os controles que se aplicam ao padrão.

Desabilitação de um controle em todos os padrões em várias contas e regiões

Para desativar um controle de segurança em várias contas Regiões da AWS, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que desabilitem controles específicos em padrões habilitados. Em seguida, é possível associar a política de configuração a contas específicas, ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar todos os AWS CloudTrail controles em uma OU e pode optar por desativar todos os controles do IAM em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que desabilite controles específicos em padrões, consulte Criação e associação de políticas de configuração do Security Hub.

nota

O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

Desabilitação de um controle em todos os padrões em uma única conta e região

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para desabilitar um controle em uma única conta e região.

Security Hub console

Para desabilitar um controle em padrões em uma conta e região

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, escolha Roles (Funções).

3. Escolha a opção ao lado de um controle.

4. Escolha Ativar controle (essa opção não aparece para um controle que já está ativado).

5. Forneça um motivo para desativar o controle e confirme escolhendo Desativar.

6. Repita em cada região na qual deseja desabilitar o controle.

Security Hub API

Para desabilitar um controle em padrões em uma conta e região

1. Invoque a API ListStandardsControlAssociations. Forneça uma ID de controle de segurança.

   Exemplo de solicitação

   {
       "SecurityControlId": "IAM.1"
   }

2. Invoque a API BatchUpdateStandardsControlAssociations. Forneça o ARN do padrão no qual você deseja ativar o controle. Para obter o ARN padrão, execute DescribeStandards.

3. Defina o parâmetro AssociationStatus como DISABLED. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   Exemplo de solicitação

   {
       "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
   }

4. Repita em cada região na qual deseja desabilitar o controle.

AWS CLI

Para desabilitar um controle em padrões em uma conta e região

1. Execute o comando list-standards-control-associations. Forneça uma ID de controle de segurança.

   aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

2. Execute o comando batch-update-standards-control-associations. Forneça o ARN do padrão no qual você deseja ativar o controle. Para obter o ARN padrão, execute describe-standards.

3. Defina o parâmetro AssociationStatus como DISABLED. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

   aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'
                   

4. Repita em cada região na qual deseja desabilitar o controle.