Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vom Service verwalteter Standard: AWS Control Tower
Dieser Abschnitt enthält Informationen zum Service-Managed Standard:. AWS Control Tower
Was ist Service-Managed Standard:? AWS Control Tower
Service-Managed Standard: AWS Control Tower ist ein vom Service verwalteter Standard, der eine Teilmenge der Security Hub-Steuerelemente AWS Control Tower verwaltet und unterstützt. Dieser Standard richtet sich an Benutzer von AWS Security Hub CSPM und. AWS Control Tower Damit können Sie die Detective Controls von Security Hub CSPM vom AWS Control Tower Service aus konfigurieren.
Detective Controls erkennt die Nichtkonformität von Ressourcen (z. B. Fehlkonfigurationen) in Ihrem. AWS-Konten
Tipp
Von Services verwaltete Standards unterscheiden sich von den Standards, die AWS Security Hub CSPM verwaltet. Beispielsweise müssen Sie im Verwaltungsdienst einen vom Dienst verwalteten Standard erstellen und löschen. Weitere Informationen finden Sie unter Von Diensten verwaltete Standards in Security Hub CSPM.
Wenn Sie eine Security Hub-CSPM-Steuerung aktivierenAWS Control Tower, aktiviert Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen, sofern dies nicht bereits aktiviert ist. In der Security Hub CSPM-Konsole und API können Sie Service-Managed Standard: AWS Control Tower neben anderen Security Hub CSPM-Standards anzeigen, sobald der Standard aktiviert ist. AWS Control Tower
Weitere Informationen zu diesem Standard finden Sie unter Security Hub CSPM-Steuerelemente im AWS Control TowerBenutzerhandbuch.
Den Standard erstellen
Dieser Standard ist in Security Hub CSPM nur verfügbar, wenn Sie Security Hub CSPM-Steuerungen von aktivieren. AWS Control Tower AWS Control Towererstellt den Standard, wenn Sie ein entsprechendes Steuerelement zum ersten Mal mithilfe einer der folgenden Methoden aktivieren:
-
AWS Control TowerKonsole
-
AWS Control TowerAPI (rufen Sie die
EnableControlAPI auf) -
AWS CLI(führe den
enable-controlBefehl aus)
Wenn Sie eine Security Hub CSPM-Steuerung aktivieren, aktiviert Security Hub CSPMAWS Control Tower, sofern Sie Security Hub CSPM noch nicht aktiviert haben, AWS Control Tower auch Security Hub CSPM für Sie in diesen spezifischen Konten und Regionen.
Um ein Security Hub-CSPM-Steuerelement anhand der Kontroll-ID im Kontrollkatalog zu identifizieren, können Sie das Feld Implementation.Identifier in verwenden. AWS Control Tower Dieses Feld ist der Security Hub CSPM-Steuer-ID zugeordnet und kann verwendet werden, um nach einer bestimmten Kontroll-ID zu filtern. Um Kontrollmetadaten für ein bestimmtes Security Hub CSPM-Steuerelement (z. B. "CodeBuild.1") in abzurufenAWS Control Tower, können Sie die API verwenden: ListControls
aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'
Sie können diesen Standard nicht in der Security Hub CSPM-Konsole, der Security Hub CSPM-API oder AWS CLI ohne vorherige Einrichtung AWS Control Tower und Aktivierung der Security Hub CSPM-Steuerelemente AWS Control Tower mit einer der oben genannten Methoden anzeigen oder darauf zugreifen.
Dieser Standard ist nur dort verfügbar, wo er verfügbar ist. AWS-RegionenAWS Control Tower
Steuerungen im Standard aktivieren und deaktivieren
Nachdem Sie Security Hub CSPM Controls aktiviert haben AWS Control Tower und der Service-Managed Standard: AWS Control Tower Standard: erstellt wurde, können Sie den Standard und die verfügbaren Kontrollen in Security Hub CSPM einsehen.
Wenn Security Hub CSPM dem Service-Managed Standard: AWS Control Tower Standard neue Steuerelemente hinzufügt, werden diese nicht automatisch für Kunden aktiviert, die den Standard aktiviert haben. Sie sollten die Kontrollen für den Standard AWS Control Tower von mit einer der folgenden Methoden aktivieren und deaktivieren:
-
AWS Control TowerKonsole
-
AWS Control TowerAPI (rufe das
EnableControlund aufDisableControlAPIs) -
AWS CLI(führe die
disable-controlBefehleenable-controlund aus)
Wenn Sie den Aktivierungsstatus eines Steuerelements in ändernAWS Control Tower, spiegelt sich die Änderung auch in Security Hub CSPM wider.
Die Deaktivierung eines Steuerelements in Security Hub CSPM, das aktiviert ist, AWS Control Tower führt jedoch zu Kontrollabweichungen. Der Kontrollstatus in AWS Control Tower wird als angezeigt. Drifted Sie können diese Abweichung beheben, indem Sie mithilfe der ResetEnabledControlAPI die Steuerung zurücksetzen, für die Drift gilt, oder indem Sie in der AWS Control Tower Konsole die Option OU erneut registrieren auswählen oder indem Sie die Steuerung deaktivieren und erneut aktivieren, indem Sie eine der AWS Control Tower oben genannten Methoden verwenden.
Wenn Sie die Aktivierungs- und Deaktivierungsaktionen in abschließen, können Sie Kontrollabweichungen vermeiden. AWS Control Tower
Wenn Sie Kontrollen in aktivieren oder deaktivieren, gilt die Aktion für alle Konten und RegionenAWS Control Tower, die von verwaltet werden. AWS Control Tower Wenn Sie Kontrollen in Security Hub CSPM aktivieren und deaktivieren (für diesen Standard nicht empfohlen), gilt die Aktion nur für das aktuelle Konto und die Region.
Anmerkung
Die zentrale Konfiguration kann nicht zur Verwaltung von Service-Managed Standard: verwendet werden. AWS Control Tower Sie können nur den AWS Control Tower Dienst verwenden, um die Steuerungen in diesem Standard zu aktivieren und zu deaktivieren.
Aktivierungsstatus und Kontrollstatus anzeigen
Sie können den Aktivierungsstatus einer Kontrolle mit einer der folgenden Methoden anzeigen:
-
Security Hub CSPM-Konsole, Security Hub CSPM-API oder AWS CLI
-
AWS Control TowerKonsole
-
AWS Control TowerAPI, um eine Liste der aktivierten Steuerelemente zu sehen (rufen Sie die
ListEnabledControlsAPI auf) -
AWS CLIum eine Liste der aktivierten Steuerelemente zu sehen (führen Sie den
list-enabled-controlsBefehl aus)
Ein Steuerelement, das Sie deaktivieren, AWS Control Tower hat den Aktivierungsstatus Disabled in Security Hub CSPM, sofern Sie dieses Steuerelement nicht explizit in Security Hub CSPM aktivieren.
Security Hub CSPM berechnet den Kontrollstatus auf der Grundlage des Workflow-Status und des Compliance-Status der Kontrollergebnisse. Weitere Informationen zum Aktivierungsstatus und zum Kontrollstatus finden Sie unter. Überprüfung der Details der Kontrollen in Security Hub CSPM
Auf der Grundlage des Kontrollstatus berechnet Security Hub CSPM eine Sicherheitsbewertung für Service-Managed Standard:. AWS Control Tower Diese Bewertung ist nur in Security Hub CSPM verfügbar. Darüber hinaus können Sie Kontrollergebnisse nur in Security Hub CSPM anzeigen. Die Standard-Sicherheitsbewertung und die Kontrollergebnisse sind in nicht verfügbar. AWS Control Tower
Anmerkung
Wenn Sie Kontrollen für Service-Managed Standard: aktivierenAWS Control Tower, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die eine bestehende AWS Config serviceverknüpfte Regel verwenden. Möglicherweise verfügen Sie bereits über serviceverknüpfte Regeln, wenn Sie andere Standards und Kontrollen in Security Hub CSPM aktiviert haben. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.
Den Standard löschen
Sie können diesen vom Dienst verwalteten Standard löschen, AWS Control Tower indem Sie alle entsprechenden Steuerelemente mit einer der folgenden Methoden deaktivieren:
-
AWS Control TowerKonsole
-
AWS Control TowerAPI (rufen Sie die
DisableControlAPI auf) -
AWS CLI(führe den
disable-controlBefehl aus)
Durch das Deaktivieren aller Steuerelemente wird der Standard in allen verwalteten Konten und kontrollierten Regionen in gelöscht. AWS Control Tower Wenn Sie den Standard-in löschen, wird er von der Seite Standards der Security Hub CSPM-Konsole AWS Control Tower entfernt, und Sie können nicht mehr mit der Security Hub CSPM-API darauf zugreifen oder. AWS CLI
Anmerkung
Durch die Deaktivierung aller Steuerelemente aus dem Standard in Security Hub CSPM wird der Standard nicht deaktiviert oder gelöscht.
Durch die Deaktivierung des Security Hub CSPM-Dienstes werden Service-Managed Standard: AWS Control Tower und alle anderen Standards, die Sie aktiviert haben, entfernt.
Das Feldformat für Service-Managed Standard finden: AWS Control Tower
Wenn Sie Service-Managed Standard: erstellen AWS Control Tower und Kontrollen dafür aktivieren, erhalten Sie ab sofort Kontrollergebnisse in Security Hub CSPM. Security Hub CSPM meldet Kontrollergebnisse in der. AWSFormat für Sicherheitssuche (ASFF) Dies sind die ASFF-Werte für den Amazon Resource Name (ARN) dieses Standards undGeneratorId:
-
Standard-ARN —
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
Ein Beispiel für einen Befund für Service-Managed Standard: finden Sie AWS Control Tower unterStichproben von Kontrollbefunden.
Kontrollen, die für Service-Managed Standard gelten: AWS Control Tower
Service-Managed Standard: AWS Control Tower unterstützt eine Teilmenge von Kontrollen, die Teil des FSBP-Standards (AWSFoundational Security Best Practices) sind. Wählen Sie ein Steuerelement aus, um Informationen darüber anzuzeigen, einschließlich Schritte zur Behebung fehlgeschlagener Ergebnisse.
Um zu sehen, von welchen Security Hub CSPM-Steuerelementen unterstützt werdenAWS Control Tower, können Sie eine der folgenden Methoden verwenden:
-
AWSSteuern Sie die Catalog-Konsole, nach der Sie filtern können
“Control owner =AWSSecurity Hub” -
AWSSteuern Sie die Katalog-API (rufen Sie die
ListControlsAPI auf) mit dem Filter fürImplementations, nach dem gesucht werdenTypessollAWS::SecurityHub::SecurityControl -
AWS CLI(führe den
list-controlsBefehl aus) mit Filter fürImplementations. Beispiel für einen CLI-Befehl:aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'
Regionale Grenzwerte für Security Hub CSPM-Steuerungen, wenn sie über den Control Tower Tower-Standard aktiviert sind, stimmen möglicherweise nicht mit den regionalen Grenzwerten für die zugrunde liegenden Kontrollen überein.
Wenn in Security Hub CSPM konsolidierte Kontrollergebnisse in Ihrem Konto deaktiviert sind, verwendet das ProductFields.ControlId Feld in den generierten Ergebnissen die standardbasierte Kontroll-ID. Die standardbasierte Kontroll-ID ist als CT formatiert. ControlId(zum Beispiel CT. CodeBuild.1).
Weitere Informationen zu diesem Standard finden Sie unter Security Hub CSPM-Steuerelemente im AWS Control TowerBenutzerhandbuch.
