As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ativar e desativar controles em todos os padrões
AWS Security Hub gera descobertas para controles ativados e considera todos os controles ativados ao calcular as pontuações de segurança. É possível escolher habilitar e desabilitar os controles em todos os padrões de segurança ou configurar o status de habilitação de forma diferente em padrões diferentes. Recomendamos a primeira opção, na qual o status de habilitação de um controle está alinhado com todos os padrões habilitados. Esta seção explica como habilitar e desabilitar controles em vários padrões. Para habilitar ou desabilitar um controle em um ou mais padrões específicos, consulte Ativar e desativar controles em padrões específicos.
Se você tiver definido uma região de agregação, o console do Security Hub exibirá controles de todas as regiões vinculadas. Se um controle estiver disponível em uma região vinculada, mas não na região de agregação, você não poderá habilitar ou desabilitar esse controle na região de agregação.
nota
As instruções para habilitar e desabilitar os controles variam de acordo com o uso ou não da configuração central. Esta seção descreve as diferenças. A configuração central está disponível para usuários que integram o Security Hub AWS Organizations e. Recomendamos usar a configuração central para simplificar o processo de habilitação e desabilitação de controles em ambientes com várias contas e várias regiões.
Habilitação de controles
Quando você habilita um controle em um padrão, o Security Hub começa a executar verificações de segurança para o controle e a gerar descobertas para o controle.
O Security Hub inclui o status do controle no cálculo da pontuação de segurança do padrão. Se você ativar as descobertas de controle consolidadas, receberá uma única descoberta para uma verificação de segurança, mesmo que tenha habilitado um controle em vários padrões. Para obter mais informações, consulte Descobertas de controle consolidadas.
Habilitação de um controle em todos os padrões em várias contas e regiões
Para habilitar um controle de segurança em várias contas Regiões da AWS, você deve usar a configuração central.
Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que habilitem controles específicos em padrões habilitados. Em seguida, é possível associar a política de configuração a contas e unidades organizacionais (OUs) específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.
As políticas de configuração oferecem personalização. Por exemplo, é possível optar por habilitar todos os controles em uma OU e optar por habilitar somente os controles do Amazon Elastic Compute Cloud (EC2) em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que habilite controles específicos em padrões, consulte Criação e associação de políticas de configuração do Security Hub.
nota
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.
Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.
Habilitação de um controle em todos os padrões em uma única conta e região
Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para habilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um controle em uma única conta e região.
Habilitação de Habilitação de novos controles em padrões habilitados.
O Security Hub lança regularmente novos controles de segurança e os adiciona a um ou mais padrões. É possível escolher se deseja habilitar automaticamente novos controles nos padrões habilitados.
nota
Recomendamos usar a configuração central para habilitar automaticamente novos controles. Se sua política de configuração incluir uma lista de controles a serem desabilitados (programaticamente, isso reflete o DisabledSecurityControlIdentifiers
parâmetro), o Security Hub habilita automaticamente todos os outros controles em todos os padrões, incluindo os controles recém-lançados. Se sua política incluir uma lista de controles a serem habilitados (isso reflete o parâmetro EnabledSecurityControlIdentifiers
), o Security Hub desabilitará automaticamente todos os outros controles nos padrões, incluindo os controles recém-lançados. Para ter mais informações, consulte Como as políticas de configuração do Security Hub funcionam.
Escolha seu método de acesso preferido e siga estas etapas para ativar automaticamente novos controles em padrões habilitados. As etapas a seguir se aplicam somente caso você não use a configuração central.
Desabilitação de controles
Quando você desabilita um controle em todos os padrões, ocorre o seguinte:
-
As verificações de segurança do controle não são mais realizadas.
-
Não são geradas descobertas adicionais para esse controle.
-
As descobertas existentes são arquivadas automaticamente após três a cinco dias (observe que esse é o melhor esforço).
-
Todas AWS Config as regras relacionadas criadas pelo Security Hub são removidas.
Em vez de desabilitar um controle em todos os padrões, é possível simplesmente desabilitar o controle em um ou mais padrões específicos. Se você fizer isso, o Security Hub não executará verificações de segurança para o controle dos padrões nos quais você o desabilitou, portanto, isso não afetará a pontuação de segurança desses padrões. No entanto, o Security Hub mantém a AWS Config regra e continua executando verificações de segurança para o controle, se ele estiver habilitado em outros padrões. Isso pode afetar sua pontuação de segurança resumida. Para obter instruções sobre como configurar controles em padrões específicos, consulte Ativar e desativar controles em padrões específicos.
Para reduzir o ruído de localização, pode ser útil desativar os controles que não são relevantes para o seu ambiente. Para obter recomendações sobre quais controles desabilitar, consulte Controles do Security Hub que você pode querer desabilitar.
Quando você desabilita um padrão, todos os controles que se aplicam ao padrão são desabilitados (no entanto, esses controles ainda podem permanecer habilitados em outros padrões). Para informações sobre como desativar um padrão, consulte Desabilitar ou habilitar padrões de segurança.
Quando você desativa um padrão, o Security Hub não rastreia quais dos controles aplicáveis foram desativados. Se você reativar posteriormente o mesmo padrão, todos os controles que se aplicam a ele serão ativados automaticamente. Além disso, desabilitar um controle não é uma ação permanente. Suponha que você desabilite um controle e, em seguida, habilite um padrão que tenha sido desabilitado anteriormente. Se o padrão incluir esse controle, ele será ativado nesse padrão. Quando você ativa um padrão no Security Hub, todos os controles que se aplicam ao padrão são ativados automaticamente. Você pode optar por desativar controles específicos.
Desabilitação de um controle em todos os padrões em várias contas e regiões
Para desativar um controle de segurança em várias contas Regiões da AWS, você deve usar a configuração central.
Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração do Security Hub que desabilitem controles específicos em padrões habilitados. Em seguida, é possível associar a política de configuração a contas específicas, ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.
As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar todos os AWS CloudTrail controles em uma OU e pode optar por desativar todos os controles do IAM em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que desabilite controles específicos em padrões, consulte Criação e associação de políticas de configuração do Security Hub.
nota
O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.
Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.
Desabilitação de um controle em todos os padrões em uma única conta e região
Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para desabilitar um controle em uma única conta e região.