Atualização das políticas de configuração do Security Hub - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualização das políticas de configuração do Security Hub

A conta de administrador delegado pode atualizar as políticas AWS Security Hub de configuração conforme necessário. O administrador delegado pode atualizar as configurações da política, as contas ou OUs às quais uma política está associada, ou ambas. Quando as configurações da política são atualizadas, as contas associadas à política de configuração começarão automaticamente a usar a política atualizada.

Da mesma forma que quando você criou a política de configuração, é possível atualizar as configurações de política a seguir:

  • Habilitar ou desabilitar o Security Hub.

  • Habilitar um ou mais padrões de segurança.

  • Indicar quais controles de segurança estão habilitados dentre todos os padrões habilitados. É possível fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o Security Hub desabilitará todos os outros controles, incluindo novos controles quando eles forem lançados. De forma alternativa, é possível fornecer uma lista de controles específicos que devem ser desabilitados, e o Security Hub habilitará todos os outros controles, incluindo novos controles quando eles forem lançados.

  • Opcionalmente, personalize os parâmetros para selecionar controles habilitados dentre os padrões habilitados.

Escolha seu método preferido e siga as etapas para atualizar uma política de configuração.

Se você usar a configuração central, o Security Hub desativará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região de origem. Outros controles que você escolhe ativar por meio de uma política de configuração são habilitados em todas as regiões em que estão disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem. Ao usar a configuração central, você não tem cobertura para um controle que não está disponível na região de origem e em nenhuma das regiões vinculadas. Para obter uma lista de controles que envolvem recursos globais, consulteControles que lidam com recursos globais.

Console
Para atualizar políticas de configuração

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas.

  4. Selecione a política de configuração que deseja editar e escolha Editar. Se desejar, edite as configurações da política. Deixe esta seção como está se desejar manter as configurações de políticas inalteradas.

  5. Escolha Avançar. Se desejar, edite as associações de políticas. Deixe esta seção como está se desejar manter as associações de políticas inalteradas. Você pode associar ou desassociar a política a um máximo de 15 destinos (contas, OUs ou raiz) ao atualizá-la.

  6. Escolha Próximo.

  7. Revise suas alterações e escolha Salvar e aplicar. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um nó pai.

API
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, invoque a API UpdateConfigurationPolicy da conta de administrador delegado do Security Hub na região inicial.

  2. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

  3. Forneça valores atualizados para os campos sob ConfigurationPolicy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações a essa política de configuração, invoque a API StartConfigurationPolicyAssociation da conta de administrador delegado do Security Hub na região inicial. Para remover uma ou mais das associações atuais, invoque a API StartConfigurationPolicyDisassociation a partir da conta de administrador delegado do Security Hub na região inicial.

  5. No campo ConfigurationPolicyIdentifier, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

  6. No campo Target, forneça o ID das contas, OUs da raiz que você deseja associar ou desassociar. Essa ação substitui associações de políticas anteriores para as OUs ou contas especificadas.

nota

Quando você invoca a API UpdateConfigurationPolicy, o Security Hub executa uma substituição completa da lista para os campos EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiers e SecurityControlCustomParameters. Sempre que você invocar essa API, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

Exemplo de solicitação de API para atualizar uma política de configuração:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, execute o comando update-configuration-policy a partir da conta de administrador delegado do Security Hub na região inicial.

  2. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

  3. Forneça valores atualizados para os campos sob configuration-policy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações a essa política de configuração, execute o comando start-configuration-policy-association a partir da conta de administrador delegado do Security Hub na região inicial. Para remover uma ou mais das associações atuais, execute o comando start-configuration-policy-disassociation a partir da conta de administrador delegado do Security Hub na região inicial.

  5. No campo configuration-policy-identifier, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

  6. No campo target, forneça o ID das contas, OUs da raiz que você deseja associar ou desassociar. Essa ação substitui associações de políticas anteriores para as OUs ou contas especificadas.

nota

Quando você executa o comando update-configuration-policy, o Security Hub executa uma substituição completa da lista para os campos EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiers e SecurityControlCustomParameters. Sempre que você executar esse comando, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

Exemplo de comando para atualizar uma política de configuração:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

A API StartConfigurationPolicyAssociation retorna um campo chamado AssociationStatus. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. Para obter mais informações sobre status de associações, consulte Status da associação de uma configuração.