Anpassen von Steuerparameterwerten - AWS Security Hub
Anpassen von Steuerungsparametern in mehreren Konten und RegionenAnpassen der Steuerparameter in einem einzigen Konto und einer Region

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anpassen von Steuerparameterwerten

Die Anweisungen zum Anpassen der Steuerparameter variieren je nachdem, ob Sie die zentrale Konfiguration in AWS Security Hub CSPM verwenden. Die zentrale Konfiguration ist eine Funktion, mit der der delegierte Security Hub CSPM-Administrator die Security Hub CSPM-Funktionen für Konten und Organisationseinheiten AWS-Regionen konfigurieren kann (). OUs

Wenn Ihr Unternehmen die zentrale Konfiguration verwendet, kann der delegierte Administrator Konfigurationsrichtlinien erstellen, die benutzerdefinierte Steuerungsparameter enthalten. Diese Richtlinien können mit zentral verwalteten Mitgliedskonten verknüpft werden und OUs treten in Ihrer Heimatregion und allen verknüpften Regionen in Kraft. Der delegierte Administrator kann auch ein oder mehrere Konten als selbstverwaltete Konten festlegen, sodass der Kontoinhaber seine eigenen Parameter in jeder Region separat konfigurieren kann. Wenn Ihre Organisation keine zentrale Konfiguration verwendet, müssen Sie die Steuerparameter für jedes Konto und jede Region separat anpassen.

Wir empfehlen, die zentrale Konfiguration zu verwenden, da Sie so die Werte der Steuerparameter in verschiedenen Teilen Ihrer Organisation aufeinander abstimmen können. Beispielsweise könnten alle Ihre Testkonten bestimmte Parameterwerte verwenden, und alle Produktionskonten könnten unterschiedliche Werte verwenden.

Anpassen von Steuerungsparametern in mehreren Konten und Regionen

Wenn Sie der delegierte Security Hub CSPM-Administrator für eine Organisation sind, die die zentrale Konfiguration verwendet, wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Steuerungsparameter für mehrere Konten und Regionen anzupassen.

Security Hub CSPM console
So passen Sie die Werte der Steuerparameter in mehreren Konten und Regionen an (Konsole)

  1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. https://console.aws.amazon.com/securityhub/

    Stellen Sie sicher, dass Sie in der Heimatregion angemeldet sind.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie die Registerkarte Policies.

  4. Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Parametern zu erstellen, wählen Sie Richtlinie erstellen aus. Um benutzerdefinierte Parameter in einer vorhandenen Konfigurationsrichtlinie anzugeben, wählen Sie die Richtlinie aus und klicken Sie dann auf Bearbeiten.

    Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Steuerparameterwerten zu erstellen

    1. Wählen Sie im Abschnitt Benutzerdefinierte Richtlinie die Sicherheitsstandards und Kontrollen aus, die Sie aktivieren möchten.

    2. Wählen Sie Steuerungsparameter anpassen aus.

    3. Wählen Sie ein Steuerelement aus, und geben Sie dann benutzerdefinierte Werte für einen oder mehrere Parameter an.

    4. Um Parameter für weitere Steuerelemente anzupassen, wählen Sie Zusätzliche Steuerung anpassen.

    5. Wählen Sie im Abschnitt Konten die Konten aus OUs , auf die Sie die Richtlinie anwenden möchten.

    6. Wählen Sie Weiter aus.

    7. Wählen Sie Richtlinie erstellen und anwenden. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

    Um die Werte der Steuerparameter in einer vorhandenen Konfigurationsrichtlinie anzupassen

    1. Geben Sie im Abschnitt Steuerelemente unter Benutzerdefinierte Richtlinie die gewünschten neuen benutzerdefinierten Parameterwerte an.

    2. Wenn Sie in dieser Richtlinie zum ersten Mal Steuerparameter anpassen, wählen Sie Steuerparameter anpassen aus und wählen Sie dann ein Steuerelement aus, das Sie anpassen möchten. Um die Parameter für weitere Steuerelemente anzupassen, wählen Sie Zusätzliche Steuerung anpassen.

    3. Überprüfen Sie im Abschnitt Konten die Konten oder OUs die Konten, auf die Sie die Richtlinie anwenden möchten.

    4. Wählen Sie Weiter aus.

    5. Überprüfe deine Änderungen und vergewissere dich, dass sie korrekt sind. Wenn Sie fertig sind, wählen Sie Richtlinie speichern und anwenden. In Ihrer Heimatregion und allen verknüpften Regionen setzt diese Aktion die vorhandenen Konfigurationseinstellungen der Konten außer Kraft OUs , die mit dieser Konfigurationsrichtlinie verknüpft sind. Konten und OUs können durch direkte Anwendung oder Vererbung von einem Elternteil mit einer Konfigurationsrichtlinie verknüpft werden.

Security Hub CSPM API

Zum Anpassen von Steuerparameterwerten in mehreren Konten und Regionen (API)

Um eine neue Konfigurationsrichtlinie mit benutzerdefinierten Steuerparameterwerten zu erstellen

  1. Rufen Sie die CreateConfigurationPolicyAPI über das delegierte Administratorkonto in der Heimatregion auf.

  2. Geben Sie für das SecurityControlCustomParameters Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.

  3. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Das Value Feld darf nicht leer sein, wenn ValueType es leer istCUSTOM. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die GetSecurityControlDefinitionAPI aufrufen.

Um die Werte der Steuerparameter in einer vorhandenen Konfigurationsrichtlinie anzupassen

  1. Rufen Sie die UpdateConfigurationPolicyAPI über das delegierte Administratorkonto in der Heimatregion auf.

  2. Geben Sie für das Identifier Feld den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, die Sie aktualisieren möchten.

  3. Geben Sie für das SecurityControlCustomParameters Objekt die ID der einzelnen Steuerelemente an, die Sie anpassen möchten.

  4. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die GetSecurityControlDefinitionAPI aufrufen.

Mit dem folgenden AWS CLI Befehl wird beispielsweise eine neue Konfigurationsrichtlinie mit einem benutzerdefinierten Wert für den daysToExpiration Parameter von ACM.1 erstellt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'

Anpassen der Steuerparameter in einem einzigen Konto und einer Region

Wenn Sie keine zentrale Konfiguration verwenden oder über ein selbstverwaltetes Konto verfügen, können Sie die Steuerparameter für Ihr Konto jeweils nur in einer Region anpassen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Anpassung der Steuerparameter. Ihre Änderungen gelten nur für Ihr Konto in der aktuellen Region. Um die Steuerungsparameter in weiteren Regionen anzupassen, wiederholen Sie die folgenden Schritte für jedes weitere Konto und jede Region, in der Sie die Parameter anpassen möchten. Das gleiche Steuerelement kann in verschiedenen Regionen unterschiedliche Parameterwerte verwenden.

Security Hub CSPM console
Um die Werte der Steuerparameter in einem Konto und einer Region (Konsole) anzupassen

  1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. https://console.aws.amazon.com/securityhub/

  2. Wählen Sie im Navigationsbereich Controls aus. Wählen Sie in der Tabelle ein Steuerelement aus, das benutzerdefinierte Parameter unterstützt und für das Sie die Parameter ändern möchten. In der Spalte Benutzerdefinierte Parameter wird angegeben, welche Steuerelemente benutzerdefinierte Parameter unterstützen.

  3. Wählen Sie auf der Detailseite für das Steuerelement die Registerkarte Parameter und dann Bearbeiten aus.

  4. Geben Sie die gewünschten Parameterwerte an.

  5. Wählen Sie optional im Abschnitt Grund für die Änderung einen Grund für die Anpassung der Parameter aus.

  6. Wählen Sie Speichern.

Security Hub CSPM API
Um die Werte der Steuerparameter in einem Konto und einer Region (API) anzupassen

  1. Rufen Sie die UpdateSecurityControlAPI auf.

  2. Geben Sie für SecurityControlId die ID des Steuerelements an, das Sie anpassen möchten.

  3. Geben Sie für das Parameters Objekt den Namen jedes Parameters an, den Sie anpassen möchten. Geben Sie für jeden Parameter, den Sie anpassen, Folgendes CUSTOM anValueType. Geben Sie für Value den Datentyp des Parameters und den benutzerdefinierten Wert an. Wenn in Ihrer Anfrage ein Parameter weggelassen wird, den das Steuerelement unterstützt, behält dieser Parameter seinen aktuellen Wert bei. Sie können unterstützte Parameter, Datentypen und gültige Werte für ein Steuerelement finden, indem Sie die GetSecurityControlDefinitionAPI aufrufen.

  4. Geben Sie optional für LastUpdateReason einen Grund für die Anpassung der Steuerparameter an.

Der folgende AWS CLI Befehl definiert beispielsweise einen benutzerdefinierten Wert für den daysToExpiration Parameter vonACM.1. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"