Exemples d’utilisation de l’AWS CLI avec Security Hub

Pour accepter une invitation d’un compte administrateur

L’exemple accept-administrator-invitation suivant accepte l’invitation spécifiée du compte administrateur spécifié.

aws securityhub accept-invitation \
    --administrator-id 123456789012 \
    --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour accepter une invitation d’un compte administrateur

L’exemple accept-invitation suivant accepte l’invitation spécifiée du compte administrateur spécifié.

aws securityhub accept-invitation \
    --master-id 123456789012 \
    --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour supprimer des règles d’automatisation

L’exemple batch-delete-automation-rules suivant supprime la règle d’automatisation spécifiée. Vous pouvez supprimer une ou plusieurs règles à l’aide d’une seule commande. Seul le compte administrateur Security Hub peut exécuter cette commande.

aws securityhub batch-delete-automation-rules \
    --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'

Sortie :

{
    "ProcessedAutomationRules": [
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
    ],
    "UnprocessedAutomationRules": []
}

Pour plus d’informations, consultez Deleting automation rules dans le Guide de l’utilisateur AWS Security Hub.

Pour désactiver une norme

L’exemple batch-disable-standards suivant désactive la norme associée à l’ARN d’abonnement spécifié.

aws securityhub batch-disable-standards \
    --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"

Sortie :

{
    "StandardsSubscriptions": [
        {
            "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1",
            "StandardsInput": { },
            "StandardsStatus": "DELETING",
            "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
        }
    ]
}

Pour plus d’informations, consultez Désactivation ou activation d’une norme de sécurité dans le Guide de l’utilisateur AWS Security Hub.

Pour activer une norme

L’exemple batch-enable-standards suivant active la norme PCI DSS pour le compte demandeur.

aws securityhub batch-enable-standards \
    --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'

Sortie :

{
    "StandardsSubscriptions": [
        {
            "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1",
            "StandardsInput": { },
            "StandardsStatus": "PENDING",
            "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
        }
    ]
}

Pour plus d’informations, consultez Désactivation ou activation d’une norme de sécurité dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir les détails d’une règle d’automatisation

L’exemple batch-get-automation-rules suivant affiche les détails de la règle d’automatisation spécifiée. Vous pouvez obtenir les détails d’une ou de plusieurs règles d’automatisation à l’aide d’une seule commande.

aws securityhub batch-get-automation-rules \
    --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'

Sortie :

{
    "Rules": [
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "RuleStatus": "ENABLED",
            "RuleOrder": 1,
            "RuleName": "Suppress informational findings",
            "Description": "Suppress GuardDuty findings with Informational severity",
            "IsTerminal": false,
            "Criteria": {
                "ProductName": [
                    {
                        "Value": "GuardDuty",
                        "Comparison": "EQUALS"
                    }
                ],
                "SeverityLabel": [
                    {
                        "Value": "INFORMATIONAL",
                        "Comparison": "EQUALS"
                    }
                ],
                "WorkflowStatus": [
                    {
                        "Value": "NEW",
                        "Comparison": "EQUALS"
                    }
                ],
                "RecordState": [
                    {
                        "Value": "ACTIVE",
                        "Comparison": "EQUALS"
                    }
                ]
            },
            "Actions": [
                {
                    "Type": "FINDING_FIELDS_UPDATE",
                    "FindingFieldsUpdate": {
                        "Note": {
                            "Text": "Automatically suppress GuardDuty findings with Informational severity",
                            "UpdatedBy": "sechub-automation"
                        },
                        "Workflow": {
                            "Status": "SUPPRESSED"
                        }
                    }
                }
            ],
            "CreatedAt": "2023-05-31T17:56:14.837000+00:00",
            "UpdatedAt": "2023-05-31T17:59:38.466000+00:00",
            "CreatedBy": "arn:aws:iam::123456789012:role/Admin"
        }
    ],
    "UnprocessedAutomationRules": []
}

Pour plus d’informations, consultez Viewing automation rules dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir les détails de l’association de configuration d’un lot de cibles

L’exemple batch-get-configuration-policy-associations suivant récupère les détails de l’association des cibles spécifiées. Vous pouvez fournir des ID de compte, des ID d’unité organisationnelle ou l’identifiant racine de la cible.

aws securityhub batch-get-configuration-policy-associations \
    --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Sortie :

{
    "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "TargetId": "ou-6hi7-8j91kl2m",
    "TargetType": "ORGANIZATIONAL_UNIT",
    "AssociationType": "APPLIED",
    "UpdatedAt": "2023-09-26T21:13:01.816000+00:00",
    "AssociationStatus": "SUCCESS",
    "AssociationStatusMessage": "Association applied successfully on this target."
}

Pour plus d’informations, consultez Viewing Security Hub configuration policies dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir les détails des contrôles de sécurité

L’exemple batch-get-security-controls suivant fournit les détails des contrôles de sécurité ACM.1 et IAM.1 dans le compte AWS et la région AWS en cours.

aws securityhub batch-get-security-controls \
    --security-control-ids '["ACM.1", "IAM.1"]'

Sortie :

{
    "SecurityControls": [
        {
            "SecurityControlId": "ACM.1",
            "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1",
            "Title": "Imported and ACM-issued certificates should be renewed after a specified time period",
            "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation",
            "SeverityRating": "MEDIUM",
            "SecurityControlStatus": "ENABLED"
            "UpdateStatus": "READY",
            "Parameters": {
                "daysToExpiration": {
                    "ValueType": CUSTOM,
                    "Value": {
                        "Integer": 15
                    }
                }
            },
            "LastUpdateReason": "Updated control parameter"
        },
        {
            "SecurityControlId": "IAM.1",
            "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1",
            "Title": "IAM policies should not allow full \"*\" administrative privileges",
            "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation",
            "SeverityRating": "HIGH",
            "SecurityControlStatus": "ENABLED"
            "UpdateStatus": "READY",
            "Parameters": {}
        }
    ]
}

Pour plus d’informations, consultez Affichage des détails pour un contrôle dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir le statut d’activation d’un contrôle

L’exemple batch-get-standards-control-associations suivant indique si les contrôles spécifiés sont activés dans les normes spécifiées.

aws securityhub batch-get-standards-control-associations \
    --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'

Sortie :

{
    "StandardsControlAssociationDetails": [
        {
            "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
            "SecurityControlId": "Config.1",
            "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1",
            "AssociationStatus": "ENABLED",
            "RelatedRequirements": [
                "CIS AWS Foundations 2.5"
            ],
            "UpdatedAt": "2022-10-27T16:07:12.960000+00:00",
            "StandardsControlTitle": "Ensure AWS Config is enabled",
            "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.",
            "StandardsControlArns": [
                "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5"
            ]
        },
        {
            "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
            "SecurityControlId": "IAM.6",
            "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6",
            "AssociationStatus": "DISABLED",
            "RelatedRequirements": [],
            "UpdatedAt": "2022-11-22T21:30:35.080000+00:00",
            "UpdatedReason": "test",
            "StandardsControlTitle": "Hardware MFA should be enabled for the root user",
            "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.",
            "StandardsControlArns": [
                "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6"
            ]
        }
    ]
}

Pour plus d’informations, consultez Enabling and disabling controls in specific standards dans le Guide de l’utilisateur AWS Security Hub.

Pour mettre à jour un résultat

L’exemple batch-import-findings suivant met à jour un résultat.

aws securityhub batch-import-findings \
     --findings '
        [{
            "AwsAccountId": "123456789012",
            "CreatedAt": "2020-05-27T17:05:54.832Z",
            "Description": "Vulnerability in a CloudTrail trail",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "LOW",
                    "Original": "10"
                },
                "Types": [
                    "Software and Configuration Checks/Vulnerabilities/CVE"
                ]
            },
            "GeneratorId": "TestGeneratorId",
            "Id": "Id1",
            "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default",
            "Resources": [
                {
                    "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName",
                    "Partition": "aws",
                    "Region": "us-west-1",
                    "Type": "AwsCloudTrailTrail"
                }
            ],
            "SchemaVersion": "2018-10-08",
            "Title": "CloudTrail trail vulnerability",
            "UpdatedAt": "2020-06-02T16:05:54.832Z"
        }]'

Sortie :

{
    "FailedCount": 0,
    "SuccessCount": 1,
    "FailedFindings": []
}

Pour plus d’informations, consultez Utilisation de BatchImportFindings pour créer et mettre à jour des résultats dans le Guide de l’utilisateur AWS Security Hub.

Pour mettre à jour des règles d’automatisation

L’exemple batch-update-automation-rules suivant met à jour la règle d’automatisation spécifiée. Vous pouvez mettre à jour une ou plusieurs règles à l’aide d’une seule commande. Seul le compte administrateur Security Hub peut exécuter cette commande.

aws securityhub batch-update-automation-rules \
    --update-automation-rules-request-items '[ \
        { \
            "Actions": [{ \
                "Type": "FINDING_FIELDS_UPDATE", \
                "FindingFieldsUpdate": { \
                    "Note": { \
                        "Text": "Known issue that is a risk", \
                        "UpdatedBy": "sechub-automation" \
                    }, \
                    "Workflow": { \
                        "Status": "NEW" \
                    } \
                } \
            }], \
            "Criteria": { \
                "SeverityLabel": [{ \
                    "Value": "LOW", \
                    "Comparison": "EQUALS" \
                }] \
            }, \
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \
            "RuleOrder": 1, \
            "RuleStatus": "DISABLED" \
        } \
    ]'

Sortie :

{
    "ProcessedAutomationRules": [
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
    ],
    "UnprocessedAutomationRules": []
}

Pour plus d’informations, consultez Editing automation rules dans le Guide de l’utilisateur AWS Security Hub.

Exemple 1 : pour mettre à jour un résultat

L’exemple batch-update-findings suivant met à jour deux résultats pour ajouter une note, modifier l’étiquette de sévérité et résoudre le cas.

aws securityhub batch-update-findings \
    --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \
    --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \
    --severity '{"Label": "LOW"}' \
    --workflow '{"Status": "RESOLVED"}'

Sortie :

{
    "ProcessedFindings": [
        {
            "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"
        },
        {
            "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"
        }
    ],
    "UnprocessedFindings": []
}

Pour plus d’informations, consultez Utilisation de BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l’utilisateur AWS Security Hub.

Exemple 2 : pour mettre à jour un résultat à l’aide d’une syntaxe abrégée

L’exemple batch-update-findings suivant met à jour deux résultats pour ajouter une note, modifier l’étiquette de sévérité et résoudre le cas à l’aide d’une syntaxe abrégée.

aws securityhub batch-update-findings \
    --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \
    --note Text="Known issue that is not a risk.",UpdatedBy="user1" \
    --severity Label="LOW" \
    --workflow Status="RESOLVED"

Sortie :

{
    "ProcessedFindings": [
        {
            "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"
        },
        {
            "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"
        }
    ],
    "UnprocessedFindings": []
}

Pour plus d’informations, consultez Utilisation de BatchUpdateFindings pour mettre à jour un résultat dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir le statut d’activation d’un contrôle dans des normes activées

L’exemple batch-update-standards-control-associations suivant désactive CloudTrail.1 dans les normes spécifiées.

aws securityhub batch-update-standards-control-associations \
    --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

Cette commande ne produit aucune sortie lorsqu’elle réussit.

Pour plus d’informations, consultez Enabling and disabling controls in specific standards et Activation et désactivation des commandes dans toutes les normes dans le Guide de l’utilisateur AWS Security Hub.

Pour créer une action personnalisée

L’exemple create-action-target suivant crée une action personnalisée. Il fournit le nom, la description et l’identifiant de l’action.

aws securityhub create-action-target \
    --name "Send to remediation" \
    --description "Action to send the finding for remediation tracking" \
    --id "Remediation"

Sortie :

{
    "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
}

Pour plus d’informations, consultez Création d’une action personnalisée et association de celle-ci à une règle CloudWatch Events dans le Guide de l’utilisateur AWS Security Hub.

Pour créer une règle d’automatisation

L’exemple create-automation-rule suivant crée une règle d’automatisation dans le compte AWS et la région AWS en cours. Security Hub filtre vos résultats en fonction des critères spécifiés et applique les actions aux résultats correspondants. Seul le compte administrateur Security Hub peut exécuter cette commande.

aws securityhub create-automation-rule \
    --actions '[{ \
        "Type": "FINDING_FIELDS_UPDATE", \
        "FindingFieldsUpdate": { \
            "Severity": { \
                "Label": "HIGH" \
            }, \
            "Note": { \
                "Text": "Known issue that is a risk. Updated by automation rules", \
                "UpdatedBy": "sechub-automation" \
            } \
        } \
    }]' \
    --criteria '{ \
        "SeverityLabel": [{ \
            "Value": "INFORMATIONAL", \
            "Comparison": "EQUALS" \
        }] \
    }' \
    --description "A sample rule" \
    --no-is-terminal \
    --rule-name "sample rule" \
    --rule-order 1 \
    --rule-status "ENABLED"

Sortie :

{
    "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Pour plus d’informations, consultez Creating automation rules dans le Guide de l’utilisateur AWS Security Hub.

Pour créer une politique de configuration

L’exemple create-configuration-policy suivant crée une politique de configuration avec les paramètres spécifiés.

aws securityhub create-configuration-policy \
    --name "SampleConfigurationPolicy" \
    --description "SampleDescription" \
    --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \
    --tags '{"Environment": "Prod"}'

Sortie :

{
    "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "SampleConfigurationPolicy",
    "Description": "SampleDescription",
    "UpdatedAt": "2023-11-28T20:28:04.494000+00:00",
    "CreatedAt": "2023-11-28T20:28:04.494000+00:00",
    "ConfigurationPolicy": {
        "SecurityHub": {
            "ServiceEnabled": true,
            "EnabledStandardIdentifiers": [
                "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
            ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Pour plus d’informations, consultez Création et association de politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour activer l’agrégation des résultats

L’exemple create-finding-aggregator suivant configure l’agrégation des résultats. Il est exécuté depuis la région USA Est (Virginie), qui est la région d’agrégation. Il indique de ne lier que les régions spécifiées et de ne pas lier automatiquement de nouvelles régions. Il sélectionne USA Ouest (Californie du Nord) et USA Ouest (Oregon) comme régions liées.

aws securityhub create-finding-aggregator \
    --region us-east-1 \
    --region-linking-mode SPECIFIED_REGIONS \
    --regions us-west-1,us-west-2

Sortie :

{
    "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000",
    "FindingAggregationRegion": "us-east-1",
    "RegionLinkingMode": "SPECIFIED_REGIONS",
    "Regions": "us-west-1,us-west-2"
}

Pour plus d’informations, consultez Activation de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.

Pour créer une analyse personnalisée

L’exemple create-insight suivant crée une analyse personnalisée, nommée Critical role findings, qui renvoie les résultats de gravité critique liés aux rôles AWS.

aws securityhub create-insight \
    --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \
    --group-by-attribute "ResourceId" \
    --name "Critical role findings"

Sortie :

{
    "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Pour plus d’informations, consultez Gestion des aperçus personnalisés dans le Guide de l’utilisateur AWS Security Hub.

Pour ajouter des comptes en tant que comptes membres

L’exemple create-members suivant ajoute deux comptes en tant que comptes membres au compte administrateur demandeur.

aws securityhub create-members \
    --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'

Sortie :

{
    "UnprocessedAccounts": []
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour refuser une invitation à devenir compte membre

L’exemple decline-invitations suivant refuse une invitation à devenir compte membre du compte administrateur spécifié. Le compte membre est le compte demandeur.

aws securityhub decline-invitations \
    --account-ids "123456789012"

Sortie :

{
    "UnprocessedAccounts": []
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour supprimer une action personnalisée

L’exemple delete-action-target suivant supprime l’action personnalisée identifiée par l’ARN spécifié.

aws securityhub delete-action-target \
    --action-target-arn "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"

Sortie :

{
    "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"
}

Pour plus d’informations, consultez Création d’une action personnalisée et association de celle-ci à une règle CloudWatch Events dans le Guide de l’utilisateur AWS Security Hub.

Pour supprimer une politique de configuration

L’exemple delete-configuration-policy suivant supprime la politique de configuration spécifiée.

aws securityhub delete-configuration-policy \
    --identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Suppression et dissociation des politiques de configuration de Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour arrêter l’agrégation des résultats

L’exemple delete-finding-aggregator suivant arrête l’agrégation des résultats. Il est exécuté depuis la région USA Est (Virginie), qui est la région d’agrégation.

aws securityhub delete-finding-aggregator \
    --region us-east-1 \
    --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Arrêt de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.

Pour supprimer une analyse personnalisée

L’exemple delete-insight suivant supprime l’analyse personnalisée possédant l’ARN spécifié.

aws securityhub delete-insight \
    --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{
   "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Pour plus d’informations, consultez Gestion des aperçus personnalisés dans le Guide de l’utilisateur AWS Security Hub.

Pour supprimer une invitation à devenir un compte membre

L’exemple delete-invitations suivant supprime une invitation à devenir un compte membre du compte administrateur spécifié. Le compte membre est le compte demandeur.

aws securityhub delete-invitations \
    --account-ids "123456789012"

Sortie :

{
    "UnprocessedAccounts": []
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour supprimer des comptes membres

L’exemple delete-members suivant supprime les comptes membres spécifiés du compte administrateur demandeur.

aws securityhub delete-members \
    --account-ids "123456789111" "123456789222"

Sortie :

{
    "UnprocessedAccounts": []
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les détails d’actions personnalisées

L’exemple describe-action-targets suivant récupère les détails de l’action personnalisée identifiée par l’ARN spécifié.

aws securityhub describe-action-targets \
    --action-target-arns "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"

Sortie :

{
    "ActionTargets": [
        {
            "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation",
            "Description": "Action to send the finding for remediation tracking",
            "Name": "Send to remediation"
        }
    ]
}

Pour plus d’informations, consultez Création d’une action personnalisée et association de celle-ci à une règle CloudWatch Events dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir les informations sur une ressource Hub

L’exemple describe-hub suivant renvoie la date d’abonnement de la ressource Hub spécifiée. La ressource Hub est identifiée par son ARN.

aws securityhub describe-hub \
    --hub-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default"

Sortie :

{
    "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default",
    "SubscribedAt": "2019-11-19T23:15:10.046Z"
}

Pour plus d’informations, consultez AWS::SecurityHub::Hub dans le Guide de l’utilisateur AWS CloudFormation.

Pour afficher la configuration Security Hub d’une organisation

L’exemple describe-organization-configuration suivant renvoie les informations sur la manière dont une organisation est configurée dans Security Hub. Dans cet exemple, l’organisation utilise la configuration centrale. Seul le compte administrateur Security Hub peut exécuter cette commande.

aws securityhub describe-organization-configuration

Sortie :

{
    "AutoEnable": false,
    "MemberAccountLimitReached": false,
    "AutoEnableStandards": "NONE",
    "OrganizationConfiguration": {
        "ConfigurationType": "LOCAL",
        "Status": "ENABLED",
        "StatusMessage": "Central configuration has been enabled successfully"
    }
}

Pour plus d’informations, consultez Gestion de comptes avec AWS Organizations dans le Guide de l’utilisateur AWS Security Hub.

Pour renvoyer les informations sur les intégrations de produits disponibles

L’exemple describe-products suivant renvoie les intégrations de produits disponibles une par une.

aws securityhub describe-products \
    --max-results 1

Sortie :

{
    "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==",
    "Products": [
        {
            "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon",
            "ProductName": "CrowdStrike Falcon",
            "CompanyName": "CrowdStrike",
            "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.",
            "Categories": [
                "Endpoint Detection and Response (EDR)",
                "AV Scanning and Sandboxing",
                "Threat Intelligence Feeds and Reports",
                "Endpoint Forensics",
                "Network Forensics"
            ],
            "IntegrationTypes": [
                "SEND_FINDINGS_TO_SECURITY_HUB"
            ],
            "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation",
            "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}"
        }
   ]
}

Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.

Pour afficher la liste des contrôles d’une norme activée

L’exemple describe-standards-controls suivant demande la liste des contrôles figurant dans l’abonnement du compte demandeur à la norme PCI DSS. La demande renvoie deux contrôles à la fois.

aws securityhub describe-standards-controls \
    --standards-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" \
    --max-results 2

Sortie :

{
    "Controls": [
        {
            "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1",
            "ControlStatus": "ENABLED",
            "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00",
            "ControlId": "PCI.AutoScaling.1",
            "Title": "Auto scaling groups associated with a load balancer should use health checks",
            "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation",
            "SeverityRating": "LOW",
            "RelatedRequirements": [
                "PCI DSS 2.2"
            ]
        },
        {
            "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1",
            "ControlStatus": "ENABLED",
            "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00",
            "ControlId": "PCI.CW.1",
            "Title": "A log metric filter and alarm should exist for usage of the \"root\" user",
            "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation",
            "SeverityRating": "MEDIUM",
            "RelatedRequirements": [
                "PCI DSS 7.2.1"
            ]
        }
    ],
    "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW"
}

Pour plus d’informations, consultez Affichage des détails des contrôles dans le Guide de l’utilisateur AWS Security Hub.

Pour renvoyer la liste des normes disponibles

L’exemple describe-standards suivant renvoie la liste des normes disponibles.

aws securityhub describe-standards

Sortie :

{
    "Standards": [
        {
            "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0",
            "Name": "AWS Foundational Security Best Practices v1.0.0",
            "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.",
            "EnabledByDefault": true
        },
        {
            "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
            "Name": "CIS AWS Foundations Benchmark v1.2.0",
            "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.",
            "EnabledByDefault": true
        },
        {
            "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1",
            "Name": "PCI DSS v3.2.1",
            "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.",
            "EnabledByDefault": false
        }
    ]
}

Pour plus d’informations, consultez Normes de sécurité dans AWS Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour ne plus recevoir les résultats d’une intégration de produits

L’exemple disable-import-findings-for-product suivant désactive le flux de résultats de l’abonnement spécifié à une intégration de produits.

aws securityhub disable-import-findings-for-product \
    --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.

Pour supprimer un compte administrateur Security Hub

L’exemple disable-organization-admin-account suivant révoque l’attribution de compte administrateur Security Hub pour AWS Organizations au compte spécifié.

aws securityhub disable-organization-admin-account \
    --admin-account-id 777788889999

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Désignation d’un compte administrateur Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour désactiver AWS Security Hub

L’exemple disable-security-hub suivant désactive AWS Security Hub pour le compte demandeur.

aws securityhub disable-security-hub

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Désactivation d’AWS Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour se dissocier d’un compte administrateur

L’exemple disassociate-from-administrator-account suivant dissocie le compte demandeur de son compte administrateur en cours.

aws securityhub disassociate-from-administrator-account

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour se dissocier d’un compte administrateur

L’exemple disassociate-from-master-account suivant dissocie le compte demandeur de son compte administrateur en cours.

aws securityhub disassociate-from-master-account

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour dissocier des comptes membres

L’exemple disassociate-members suivant dissocie les comptes membres spécifiés du compte administrateur demandeur.

aws securityhub disassociate-members  \
    --account-ids "123456789111" "123456789222"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour commencer à recevoir les résultats d’une intégration de produits

L’exemple enable-import-findings-for-product suivant active le flux de résultats de l’intégration de produits spécifiée.

aws securityhub enable-import-findings-for-product \
    --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"

Sortie :

{
    "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"
}

Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.

Pour désigner un compte de l’organisation en tant que compte administrateur Security Hub

L’exemple enable-organization-admin-account suivant désigne le compte spécifié en tant que compte administrateur Security Hub.

aws securityhub enable-organization-admin-account \
    --admin-account-id 777788889999

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Désignation d’un compte administrateur Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour activer AWS Security Hub

L’exemple enable-security-hub suivant active AWS Security Hub pour le compte demandeur. Il configure Security Hub afin qu’il active les normes par défaut. Pour la ressource Hub, il attribue la valeur Security à la balise Department.

aws securityhub enable-security-hub \
    --enable-default-standards \
    --tags '{"Department": "Security"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Activation de Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les informations sur un compte administrateur

L’exemple get-administrator-account suivant récupère les informations sur le compte administrateur du compte demandeur.

aws securityhub get-administrator-account

Sortie :

{
   "Master": {
      "AccountId": "123456789012",
      "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb",
      "InvitedAt": 2020-06-01T20:21:18.042000+00:00,
      "MemberStatus": "ASSOCIATED"
   }
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir les détails de l’association de configuration d’une cible

L’exemple get-configuration-policy-association suivant récupère les détails de l’association de la cible spécifiée. Vous pouvez fournir un ID de compte, un ID d’unité organisationnelle ou l’identifiant racine de la cible.

aws securityhub get-configuration-policy-association \
    --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Sortie :

{
    "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "TargetId": "ou-6hi7-8j91kl2m",
    "TargetType": "ORGANIZATIONAL_UNIT",
    "AssociationType": "APPLIED",
    "UpdatedAt": "2023-09-26T21:13:01.816000+00:00",
    "AssociationStatus": "SUCCESS",
    "AssociationStatusMessage": "Association applied successfully on this target."
}

Pour plus d’informations, consultez Viewing Security Hub configuration policies dans le Guide de l’utilisateur AWS Security Hub.

Pour afficher les détails d’une politique de configuration

L’exemple get-configuration-policy suivant récupère les détails de la politique de configuration spécifiée.

aws securityhub get-configuration-policy \
   --identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{
    "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b",
    "Name": "SampleConfigurationPolicy",
    "Description": "SampleDescription",
    "UpdatedAt": "2023-11-28T20:28:04.494000+00:00",
    "CreatedAt": "2023-11-28T20:28:04.494000+00:00",
    "ConfigurationPolicy": {
        "SecurityHub": {
            "ServiceEnabled": true,
            "EnabledStandardIdentifiers": [
                "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
            ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Pour plus d’informations, consultez Viewing Security Hub configuration policies dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les informations sur une norme activée

L’exemple get-enabled-standards suivant récupère les informations sur la norme PCI DSS.

aws securityhub get-enabled-standards \
    --standards-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"

Sortie :

{
    "StandardsSubscriptions": [
        {
            "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1",
            "StandardsInput": { },
            "StandardsStatus": "READY",
            "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"
        }
    ]
}

Pour plus d’informations, consultez Normes de sécurité dans AWS Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer la configuration en cours de l’agrégation des résultats

L’exemple get-finding-aggregator suivant récupère la configuration en cours de l’agrégation des résultats.

aws securityhub get-finding-aggregator \
    --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000

Sortie :

{
    "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000",
    "FindingAggregationRegion": "us-east-1",
    "RegionLinkingMode": "SPECIFIED_REGIONS",
    "Regions": "us-west-1,us-west-2"
}

Pour plus d’informations, consultez Affichage de la configuration actuelle de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.

Pour accéder à l’historique d’un résultat

L’exemple get-finding-history suivant obtient l’historique du résultat spécifié sur les 90 derniers jours. Dans cet exemple, les résultats sont limités à deux enregistrements de l’historique du résultat.

aws securityhub get-finding-history \
    --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"

Sortie :

{
    "Records": [
        {
            "FindingIdentifier": {
                "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub"
            },
            "UpdateTime": "2023-06-02T03:15:25.685000+00:00",
            "FindingCreated": false,
            "UpdateSource": {
                "Type": "BATCH_IMPORT_FINDINGS",
                "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub"
            },
            "Updates": [
                {
                    "UpdatedField": "Compliance.RelatedRequirements",
                    "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]",
                    "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]"
                },
                {
                    "UpdatedField": "LastObservedAt",
                    "OldValue": "2023-06-01T09:15:38.587Z",
                    "NewValue": "2023-06-02T03:15:22.946Z"
                },
                {
                    "UpdatedField": "UpdatedAt",
                    "OldValue": "2023-06-01T09:15:31.049Z",
                    "NewValue": "2023-06-02T03:15:14.861Z"
                },
                {
                    "UpdatedField": "ProcessedAt",
                    "OldValue": "2023-06-01T09:15:41.058Z",
                    "NewValue": "2023-06-02T03:15:25.685Z"
                }
            ]
        },
        {
            "FindingIdentifier": {
                "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub"
            },
            "UpdateTime": "2023-05-23T02:06:51.518000+00:00",
            "FindingCreated": "true",
            "UpdateSource": {
                "Type": "BATCH_IMPORT_FINDINGS",
                "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub"
            },
            "Updates": []
        }
    ]
}

Pour plus d’informations, consultez Historique du résultat dans le Guide de l’utilisateur AWS Security Hub.

Exemple 1 : pour renvoyer les résultats générés pour une norme spécifique

L’exemple get-findings suivant renvoie les résultats de la norme PCI DSS.

aws securityhub get-findings \
    --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \
    --max-items 1

Sortie :

{
    "Findings": [
        {
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub",
            "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
            ],
            "FindingProviderFields": {
                "Severity": {
                    "Original": 0,
                    "Label": "INFORMATIONAL"
                },
                "Types": [
                    "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"
                ]
            },
            "FirstObservedAt": "2020-06-02T14:02:49.159Z",
            "LastObservedAt": "2020-06-02T14:02:52.397Z",
            "CreatedAt": "2020-06-02T14:02:49.159Z",
            "UpdatedAt": "2020-06-02T14:02:52.397Z",
            "Severity": {
                "Original": 0,
                "Label": "INFORMATIONAL",
                "Normalized": 0
            },
            "Title": "PCI.Lambda.2 Lambda functions should be in a VPC",
            "Description": "This AWS control checks whether a Lambda function is in a VPC.",
            "Remediation": {
                "Recommendation": {
                    "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.",
                    "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation"
                }
            },
            "ProductFields": {
                "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1",
                "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1",
                "ControlId": "PCI.Lambda.2",
                "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation",
                "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b",
                "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
                "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2",
                "aws/securityhub/SeverityLabel": "INFORMATIONAL",
                "aws/securityhub/ProductName": "Security Hub",
                "aws/securityhub/CompanyName": "AWS",
                "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
        },
            "Resources": [
                {
                    "Type": "AwsAccount",
                    "Id": "AWS::::Account:123456789012",
                    "Partition": "aws",
                    "Region": "us-west-1"
                }
            ],
            "Compliance": {
                "Status": "PASSED",
                "RelatedRequirements": [
                    "PCI DSS 1.2.1",
                    "PCI DSS 1.3.1",
                    "PCI DSS 1.3.2",
                    "PCI DSS 1.3.4"
                ]
            },
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ARCHIVED"
        }
    ],
    "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
}

Exemple 2 : pour renvoyer les résultats de gravité critique dont le statut du flux de travail est NOTIFIED

L’exemple get-findings suivant renvoie les résultats dont la valeur de l’étiquette de sévérité est CRITICAL et le statut du flux de travail est NOTIFIED. Les résultats sont triés par ordre décroissant en fonction de la valeur de confiance.

aws securityhub get-findings \
    --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \
    --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \
    --max-items 1

Sortie :

{
    "Findings": [
        {
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub",
            "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
            ],
            "FindingProviderFields" {
                "Severity": {
                    "Original": 90,
                    "Label": "CRITICAL"
                },
                "Types": [
                    "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark"
                ]
            },
            "FirstObservedAt": "2020-05-21T20:16:34.752Z",
            "LastObservedAt": "2020-06-09T08:16:37.171Z",
            "CreatedAt": "2020-05-21T20:16:34.752Z",
            "UpdatedAt": "2020-06-09T08:16:36.430Z",
            "Severity": {
                "Original": 90,
                "Label": "CRITICAL",
                "Normalized": 90
            },
            "Title": "1.13 Ensure MFA is enabled for the \"root\" account",
            "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.",
            "Remediation": {
                "Recommendation": {
                    "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.",
                    "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation"
                }
            },
            "ProductFields": {
                "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
                "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0",
                "RuleId": "1.13",
                "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation",
                "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha",
                "RelatedAWSResources:0/type": "AWS::Config::ConfigRule",
                "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13",
                "aws/securityhub/SeverityLabel": "CRITICAL",
                "aws/securityhub/ProductName": "Security Hub",
                "aws/securityhub/CompanyName": "AWS",
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
            },
            "Resources": [
                {
                    "Type": "AwsAccount",
                    "Id": "AWS::::Account:123456789012",
                    "Partition": "aws",
                    "Region": "us-west-1"
                }
            ],
            "Compliance": {
                "Status": "FAILED"
            },
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NOTIFIED"
            },
            "RecordState": "ACTIVE"
        }
    ]
}

Pour plus d’informations, consultez Filtrage et regroupement des résultats dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les résultats d’une analyse

L’exemple get-insight-results suivant renvoie la liste des résultats de l’analyse possédant l’ARN spécifié.

aws securityhub get-insight-results \
    --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{
    "InsightResults": {
        "GroupByAttribute": "ResourceId",
        "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "ResultValues": [
            {
                "Count": 10,
                "GroupByAttributeValue": "AWS::::Account:123456789111"
            },
            {
                "Count": 3,
                "GroupByAttributeValue": "AWS::::Account:123456789222"
            }
        ]
    }
}

Pour plus d’informations, consultez Affichage des résultats et actions à effectuer dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les détails d’une analyse

L’exemple get-insights récupère les détails de la configuration de l’analyse possédant l’ARN spécifié.

aws securityhub get-insights \
    --insight-arns "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Sortie :

{
    "Insights": [
        {
            "Filters": {
               "ResourceType": [
                    {
                        "Comparison": "EQUALS",
                        "Value": "AwsIamRole"
                    }
                ],
                "SeverityLabel": [
                    {
                        "Comparison": "EQUALS",
                        "Value": "CRITICAL"
                    }
                ],
            },
            "GroupByAttribute": "ResourceId",
            "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "Name": "Critical role findings"
        }
    ]
}

Pour plus d’informations, consultez Analyses d’AWS Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer le nombre d’invitations qui n’ont pas été acceptées

L’exemple get-invitations-count suivant récupère le nombre d’invitations que le compte demandeur a refusées ou auxquelles il n’a pas répondu.

aws securityhub get-invitations-count

Sortie :

{
  "InvitationsCount": 3
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les informations sur un compte administrateur

L’exemple get-master-account suivant récupère les informations sur le compte administrateur du compte demandeur.

aws securityhub get-master-account

Sortie :

{
   "Master": {
      "AccountId": "123456789012",
      "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb",
      "InvitedAt": 2020-06-01T20:21:18.042000+00:00,
      "MemberStatus": "ASSOCIATED"
   }
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les informations sur les comptes membres sélectionnés

L’exemple get-members suivant récupère les informations sur les comptes membres spécifiés.

aws securityhub get-members \
    --account-ids "444455556666" "777788889999"

Sortie :

{
    "Members": [
        {
            "AccountId": "123456789111",
            "AdministratorId": "123456789012",
            "InvitedAt": 2020-06-01T20:15:15.289000+00:00,
            "MasterId": "123456789012",
            "MemberStatus": "ASSOCIATED",
            "UpdatedAt": 2020-06-01T20:15:15.289000+00:00
        },
        {
            "AccountId": "123456789222",
            "AdministratorId": "123456789012",
            "InvitedAt": 2020-06-01T20:15:15.289000+00:00,
            "MasterId": "123456789012",
            "MemberStatus": "ASSOCIATED",
            "UpdatedAt": 2020-06-01T20:15:15.289000+00:00
        }
    ],
    "UnprocessedAccounts": [ ]
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les détails de la définition d’un contrôle de sécurité

L’exemple get-security-control-definition suivant récupère les détails de la définition d’un contrôle de sécurité Security Hub. Ces détails incluent le titre, la description, la région et les paramètres du contrôle, ainsi que d’autres informations.

aws securityhub get-security-control-definition \
    --security-control-id ACM.1

Sortie :

{
    "SecurityControlDefinition": {
        "SecurityControlId": "ACM.1",
        "Title": "Imported and ACM-issued certificates should be renewed after a specified time period",
        "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.",
        "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation",
        "SeverityRating": "MEDIUM",
        "CurrentRegionAvailability": "AVAILABLE",
        "ParameterDefinitions": {
            "daysToExpiration": {
                "Description": "Number of days within which the ACM certificate must be renewed",
                "ConfigurationOptions": {
                    "Integer": {
                        "DefaultValue": 30,
                        "Min": 14,
                        "Max": 365
                    }
                }
            }
        }
    }
}

Pour plus d’informations, consultez Paramètres de contrôle personnalisés dans le Guide de l’utilisateur AWS Security Hub.

Pour envoyer une invitation à des comptes membres

L’exemple invite-members suivant envoie des invitations aux comptes membres spécifiés.

aws securityhub invite-members \
    --account-ids "123456789111" "123456789222"

Sortie :

{
    "UnprocessedAccounts": []
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour afficher la liste des règles d’automatisation

L’exemple list-automation-rules suivant répertorie les règles d’automatisation d’un compte AWS. Seul le compte administrateur Security Hub peut exécuter cette commande.

aws securityhub list-automation-rules \
    --max-results 3 \
    --next-token NULL

Sortie :

{
    "AutomationRulesMetadata": [
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "RuleStatus": "ENABLED",
            "RuleOrder": 1,
            "RuleName": "Suppress informational findings",
            "Description": "Suppress GuardDuty findings with Informational severity",
            "IsTerminal": false,
            "CreatedAt": "2023-05-31T17:56:14.837000+00:00",
            "UpdatedAt": "2023-05-31T17:59:38.466000+00:00",
            "CreatedBy": "arn:aws:iam::123456789012:role/Admin"
        },
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "RuleStatus": "ENABLED",
            "RuleOrder": 1,
            "RuleName": "sample rule",
            "Description": "A sample rule",
            "IsTerminal": false,
            "CreatedAt": "2023-07-15T23:37:20.223000+00:00",
            "UpdatedAt": "2023-07-15T23:37:20.223000+00:00",
            "CreatedBy": "arn:aws:iam::123456789012:role/Admin"
        },
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
            "RuleStatus": "ENABLED",
            "RuleOrder": 1,
            "RuleName": "sample rule",
            "Description": "A sample rule",
            "IsTerminal": false,
            "CreatedAt": "2023-07-15T23:45:25.126000+00:00",
            "UpdatedAt": "2023-07-15T23:45:25.126000+00:00",
            "CreatedBy": "arn:aws:iam::123456789012:role/Admin"
        }
    ]
}

Pour plus d’informations, consultez Viewing automation rules dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir un résumé des politiques de configuration

L’exemple list-configuration-policies suivant résume les politiques de configuration de l’organisation.

aws securityhub list-configuration-policies \
    --max-items 3

Sortie :

{
    "ConfigurationPolicySummaries": [
        {
            "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "Name": "SampleConfigurationPolicy1",
            "Description": "SampleDescription1",
            "UpdatedAt": "2023-09-26T21:08:36.214000+00:00",
            "ServiceEnabled": true
        },
        {
            "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "Name": "SampleConfigurationPolicy2",
            "Description": "SampleDescription2"
            "UpdatedAt": "2023-11-28T19:26:25.207000+00:00",
            "ServiceEnabled": true
        },
        {
            "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
            "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
            "Name": "SampleConfigurationPolicy3",
            "Description": "SampleDescription3",
            "UpdatedAt": "2023-11-28T20:28:04.494000+00:00",
            "ServiceEnabled": true
        }
}

Pour plus d’informations, consultez Viewing Security Hub configuration policies dans le Guide de l’utilisateur AWS Security Hub.

Pour répertorier les associations de configuration

L’exemple list-configuration-policy-associations suivant résume les associations de configuration de l’organisation. La réponse inclut des associations avec des politiques de configuration et des comportements autogérés.

aws securityhub list-configuration-policy-associations \
    --filters '{"AssociationType": "APPLIED"}' \
    --max-items 4

Sortie :

{
    "ConfigurationPolicyAssociationSummaries": [
        {
            "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "TargetId": "r-1ab2",
            "TargetType": "ROOT",
            "AssociationType": "APPLIED",
            "UpdatedAt": "2023-11-28T19:26:49.417000+00:00",
            "AssociationStatus": "FAILED",
            "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed."
        },
        {
            "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "TargetId": "ou-1ab2-c3de4f5g",
            "TargetType": "ORGANIZATIONAL_UNIT",
            "AssociationType": "APPLIED",
            "UpdatedAt": "2023-09-26T21:14:05.283000+00:00",
            "AssociationStatus": "FAILED",
            "AssociationStatusMessage": "One or more children under this target failed association."
        },
        {
            "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
            "TargetId": "ou-6hi7-8j91kl2m",
            "TargetType": "ORGANIZATIONAL_UNIT",
            "AssociationType": "APPLIED",
            "UpdatedAt": "2023-09-26T21:13:01.816000+00:00",
            "AssociationStatus": "SUCCESS",
            "AssociationStatusMessage": "Association applied successfully on this target."
        },
        {
            "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB",
            "TargetId": "111122223333",
            "TargetType": "ACCOUNT",
            "AssociationType": "APPLIED",
            "UpdatedAt": "2023-11-28T22:01:26.409000+00:00",
            "AssociationStatus": "SUCCESS"
    }
}

Pour plus d’informations, consultez Viewing configuration policy status and details dans le Guide de l’utilisateur AWS Security Hub.

Pour renvoyer la liste des intégrations de produits activées

L’exemple list-enabled-products-for-import suivant renvoie la liste des ARN d’abonnement des intégrations de produits actuellement activées.

aws securityhub list-enabled-products-for-import

Sortie :

{
    "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ]
}

Pour plus d’informations, consultez Gestion des intégrations de produits dans le Guide de l’utilisateur AWS Security Hub.

Pour répertorier les widgets disponibles

L’exemple list-finding-aggregators suivant renvoie l’ARN de la configuration de l’agrégation des résultats.

aws securityhub list-finding-aggregators

Sortie :

{
    "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000"
}

Pour plus d’informations, consultez Affichage de la configuration actuelle de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.

Pour afficher la liste des invitations

L’exemple list-invitations suivant récupère la liste des invitations envoyées au compte demandeur.

aws securityhub list-invitations

Sortie :

{
    "Invitations": [
        {
            "AccountId": "123456789012",
            "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb",
            "InvitedAt": 2020-06-01T20:21:18.042000+00:00,
            "MemberStatus": "ASSOCIATED"
        }
    ],
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer la liste des comptes membres

L’exemple list-members suivant renvoie la liste des comptes membres du compte administrateur demandeur.

aws securityhub list-members

Sortie :

{
    "Members": [
        {
            "AccountId": "123456789111",
            "AdministratorId": "123456789012",
            "InvitedAt": 2020-06-01T20:15:15.289000+00:00,
            "MasterId": "123456789012",
            "MemberStatus": "ASSOCIATED",
            "UpdatedAt": 2020-06-01T20:15:15.289000+00:00
        },
        {
            "AccountId": "123456789222",
            "AdministratorId": "123456789012",
            "InvitedAt": 2020-06-01T20:15:15.289000+00:00,
            "MasterId": "123456789012",
            "MemberStatus": "ASSOCIATED",
            "UpdatedAt": 2020-06-01T20:15:15.289000+00:00
        }
    ],
}

Pour plus d’informations, consultez Gestion des comptes administrateur et des comptes membres dans le Guide de l’utilisateur AWS Security Hub.

Pour répertorier les comptes administrateur Security Hub désignés

L’exemple list-organization-admin-accounts suivant répertorie les comptes administrateur Security Hub d’une organisation.

aws securityhub list-organization-admin-accounts

Sortie :

{
    AdminAccounts": [
        { "AccountId": "777788889999" },
        { "Status": "ENABLED" }
    ]
}

Pour plus d’informations, consultez Désignation d’un compte administrateur Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Exemple 1 : pour répertorier tous les contrôles de sécurité disponibles

L’exemple list-security-control-definitions suivant répertorie les contrôles de sécurité disponibles de toutes les normes Security Hub. Cet exemple limite les résultats à trois contrôles.

aws securityhub list-security-control-definitions \
    --max-items 3

Sortie :

{
    "SecurityControlDefinitions": [
        {
            "SecurityControlId": "ACM.1",
            "Title": "Imported and ACM-issued certificates should be renewed after a specified time period",
            "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation",
            "SeverityRating": "MEDIUM",
            "CurrentRegionAvailability": "AVAILABLE",
            "CustomizableProperties": [
                "Parameters"
            ]
        },
        {
            "SecurityControlId": "ACM.2",
            "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits",
            "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation",
            "SeverityRating": "HIGH",
            "CurrentRegionAvailability": "AVAILABLE",
            "CustomizableProperties": []
        },
        {
            "SecurityControlId": "APIGateway.1",
            "Title": "API Gateway REST and WebSocket API execution logging should be enabled",
            "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation",
            "SeverityRating": "MEDIUM",
            "CurrentRegionAvailability": "AVAILABLE",
            "CustomizableProperties": [
                "Parameters"
            ]
        }
    ],
    "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg=="
}

Pour plus d’informations, consultez Viewing details for a standard dans le Guide de l’utilisateur AWS Security Hub.

Exemple 2 : pour répertorier les contrôles de sécurité disponibles d’une norme spécifique

L’exemple list-security-control-definitions suivant répertorie les contrôles de sécurité disponibles de la norme CIS AWS Foundations Benchmark v1.4.0. Cet exemple limite les résultats à trois contrôles.

aws securityhub list-security-control-definitions \
    --standards-arn "arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0" \
    --max-items 3

Sortie :

{
    "SecurityControlDefinitions": [
        {
            "SecurityControlId": "CloudTrail.1",
            "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events",
            "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation",
            "SeverityRating": "HIGH",
            "CurrentRegionAvailability": "AVAILABLE",
            "CustomizableProperties": []
        },
        {
            "SecurityControlId": "CloudTrail.2",
            "Title": "CloudTrail should have encryption at-rest enabled",
            "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation",
            "SeverityRating": "MEDIUM",
            "CurrentRegionAvailability": "AVAILABLE",
            "CustomizableProperties": []
        },
        {
            "SecurityControlId": "CloudTrail.4",
            "Title": "CloudTrail log file validation should be enabled",
            "Description": "This AWS control checks whether CloudTrail log file validation is enabled.",
            "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation",
            "SeverityRating": "MEDIUM",
            "CurrentRegionAvailability": "AVAILABLE",
            "CustomizableProperties": []
        }
    ],
    "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ=="
}

Pour plus d’informations, consultez Viewing details for a standard dans le Guide de l’utilisateur AWS Security Hub.

Pour obtenir le statut d’activation d’un contrôle dans chaque norme activée

L’exemple list-standards-control-associations suivant répertorie le statut d’activation de CloudTrail.1 dans chaque norme activée.

aws securityhub list-standards-control-associations \
    --security-control-id CloudTrail.1

Sortie :

{
    "StandardsControlAssociationSummaries": [
        {
            "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0",
            "SecurityControlId": "CloudTrail.1",
            "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1",
            "AssociationStatus": "ENABLED",
            "RelatedRequirements": [
                "NIST.800-53.r5 AC-2(4)",
                "NIST.800-53.r5 AC-4(26)",
                "NIST.800-53.r5 AC-6(9)",
                "NIST.800-53.r5 AU-10",
                "NIST.800-53.r5 AU-12",
                "NIST.800-53.r5 AU-2",
                "NIST.800-53.r5 AU-3",
                "NIST.800-53.r5 AU-6(3)",
                "NIST.800-53.r5 AU-6(4)",
                "NIST.800-53.r5 AU-14(1)",
                "NIST.800-53.r5 CA-7",
                "NIST.800-53.r5 SC-7(9)",
                "NIST.800-53.r5 SI-3(8)",
                "NIST.800-53.r5 SI-4(20)",
                "NIST.800-53.r5 SI-7(8)",
                "NIST.800-53.r5 SA-8(22)"
            ],
            "UpdatedAt": "2023-05-15T17:52:21.304000+00:00",
            "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events",
            "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events."
        },
        {
            "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0",
            "SecurityControlId": "CloudTrail.1",
            "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1",
            "AssociationStatus": "ENABLED",
            "RelatedRequirements": [
                "CIS AWS Foundations 2.1"
            ],
            "UpdatedAt": "2020-02-10T21:22:53.998000+00:00",
            "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions",
            "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service."
        },
        {
            "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0",
            "SecurityControlId": "CloudTrail.1",
            "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1",
            "AssociationStatus": "DISABLED",
            "RelatedRequirements": [],
            "UpdatedAt": "2023-05-15T19:31:52.671000+00:00",
            "UpdatedReason": "Alternative compensating controls are in place",
            "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events",
            "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events."
        },
        {
            "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0",
            "SecurityControlId": "CloudTrail.1",
            "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1",
            "AssociationStatus": "ENABLED",
            "RelatedRequirements": [
                "CIS AWS Foundations Benchmark v1.4.0/3.1"
            ],
            "UpdatedAt": "2022-11-10T15:40:36.021000+00:00",
            "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions",
            "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)."
        }
    ]
}

Pour plus d’informations, consultez Enabling and disabling controls in specific standards dans le Guide de l’utilisateur AWS Security Hub.

Pour récupérer les balises attribuées à une ressource

L’exemple list-tags-for-resource suivant renvoie toutes les balises attribuées à la ressource Hub spécifiée.

aws securityhub list-tags-for-resource \
    --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default"

Sortie :

{
    "Tags": {
        "Department" : "Operations",
        "Area" : "USMidwest"
    }
}

Pour plus d’informations, consultez AWS::SecurityHub::Hub dans le Guide de l’utilisateur AWS CloudFormation.

Exemple 1 : pour associer une politique de configuration

L’exemple start-configuration-policy-association suivant associe la politique de configuration spécifiée à l’unité organisationnelle spécifiée. Une configuration peut être associée à un compte cible, à une unité organisationnelle ou à la racine.

aws securityhub start-configuration-policy-association \
    --configuration-policy-identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" \
    --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Sortie :

{
    "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "TargetId": "ou-6hi7-8j91kl2m",
    "TargetType": "ORGANIZATIONAL_UNIT",
    "AssociationType": "APPLIED",
    "UpdatedAt": "2023-11-29T17:40:52.468000+00:00",
    "AssociationStatus": "PENDING"
}

Pour plus d’informations, consultez Création et association de politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Exemple 2 : pour associer une configuration autogérée

L’exemple start-configuration-policy-association suivant associe une configuration autogérée au compte spécifié.

aws securityhub start-configuration-policy-association \
    --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
    --target '{"OrganizationalUnitId": "123456789012"}'

Sortie :

{
    "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB",
    "TargetId": "123456789012",
    "TargetType": "ACCOUNT",
    "AssociationType": "APPLIED",
    "UpdatedAt": "2023-11-29T17:40:52.468000+00:00",
    "AssociationStatus": "PENDING"
}

Pour plus d’informations, consultez Création et association de politiques de configuration Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Exemple 1 : pour dissocier une politique de configuration

L’exemple start-configuration-policy-disassociation suivant dissocie la politique de configuration spécifiée de l’unité organisationnelle spécifiée. Une configuration peut être dissociée d’un compte cible, d’une unité organisationnelle ou de la racine.

aws securityhub start-configuration-policy-disassociation \
    --configuration-policy-identifier "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333" \
    --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Dissociation d’une configuration de comptes ou d’unités organisationnelles dans le Guide de l’utilisateur AWS Security Hub.

Exemple 2 : pour dissocier une configuration autogérée

L’exemple start-configuration-policy-disassociation suivant dissocie une configuration autogérée du compte spécifié.

aws securityhub start-configuration-policy-disassociation \
    --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
    --target '{"AccountId": "123456789012"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Dissociation d’une configuration de comptes ou d’unités organisationnelles dans le Guide de l’utilisateur AWS Security Hub.

Pour attribuer une balise à une ressource

L’exemple tag-resource suivant attribue les valeurs des balises Department et Area à la ressource Hub spécifiée.

aws securityhub tag-resource \
    --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default" \
    --tags '{"Department":"Operations", "Area":"USMidwest"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez AWS::SecurityHub::Hub dans le Guide de l’utilisateur AWS CloudFormation.

Pour supprimer une valeur de balise d’une ressource

L’exemple untag-resource suivant supprime la balise Department de la ressource Hub spécifiée.

aws securityhub untag-resource \
    --resource-arn "arn:aws:securityhub:us-west-1:123456789012:hub/default" \
    --tag-keys "Department"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez AWS::SecurityHub::Hub dans le Guide de l’utilisateur AWS CloudFormation.

Pour mettre à jour une action personnalisée

L’exemple update-action-target suivant met à jour le nom de l’action personnalisée identifiée par l’ARN spécifié.

aws securityhub update-action-target \
    --action-target-arn "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" \
    --name "Send to remediation"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Création d’une action personnalisée et association de celle-ci à une règle CloudWatch Events dans le Guide de l’utilisateur AWS Security Hub.

Pour mettre à jour une politique de configuration

L’exemple update-configuration-policy suivant met à jour une politique de configuration existante afin qu’elle utilise les paramètres spécifiés.

aws securityhub update-configuration-policy \
    --identifier "arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e" \
    --name "SampleConfigurationPolicyUpdated" \
    --description "SampleDescriptionUpdated" \
    --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \
    --updated-reason "Disabling CloudWatch.1 and changing parameter value"

Sortie :

{
    "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "SampleConfigurationPolicyUpdated",
    "Description": "SampleDescriptionUpdated",
    "UpdatedAt": "2023-11-28T20:28:04.494000+00:00",
    "CreatedAt": "2023-11-28T20:28:04.494000+00:00",
    "ConfigurationPolicy": {
        "SecurityHub": {
            "ServiceEnabled": true,
            "EnabledStandardIdentifiers": [
                "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
            ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 21
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Pour plus d’informations, consultez Mise à jour des politiques de configuration de Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Pour mettre à jour la configuration en cours de l’agrégation des résultats

L’exemple update-finding-aggregator suivant modifie la configuration de l’agrégation des résultats pour associer cette dernière aux régions sélectionnées. Il est exécuté depuis la région USA Est (Virginie), qui est la région d’agrégation. Il sélectionne USA Ouest (Californie du Nord) et USA Ouest (Oregon) comme régions liées.

aws securityhub update-finding-aggregator \
    --region us-east-1 \
    --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 \
    --region-linking-mode SPECIFIED_REGIONS \
    --regions us-west-1,us-west-2

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Mise à jour de la configuration de l’agrégation des résultats dans le Guide de l’utilisateur AWS Security Hub.

Exemple 1 : pour modifier le filtre d’une analyse personnalisée

L’exemple update-insight suivant modifie le filtre d’une analyse personnalisée. L’analyse personnalisée mise à jour recherche les résultats de gravité élevée liés aux rôles AWS.

aws securityhub update-insight \
    --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
    --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \
    --name "High severity role findings"

Exemple 2 : pour modifier l’attribut de regroupement d’une analyse personnalisée

L’exemple update-insight suivant modifie l’attribut de regroupement de l’analyse personnalisée possédant l’ARN spécifié. Le nouvel attribut de regroupement est l’ID de la ressource.

aws securityhub update-insight \
    --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
    --group-by-attribute "ResourceId" \
    --name "Critical role findings"

Sortie :

{
    "Insights": [
        {
            "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "Name": "Critical role findings",
            "Filters": {
                "SeverityLabel": [
                    {
                        "Value": "CRITICAL",
                        "Comparison": "EQUALS"
                    }
                ],
                "ResourceType": [
                    {
                        "Value": "AwsIamRole",
                        "Comparison": "EQUALS"
                    }
                ]
            },
            "GroupByAttribute": "ResourceId"
        }
    ]
}

Pour plus d’informations, consultez Gestion des aperçus personnalisés dans le Guide de l’utilisateur AWS Security Hub.

Pour mettre à jour la configuration Security Hub d’une organisation

L’exemple update-organization-configuration suivant indique que Security Hub doit utiliser la configuration centrale pour configurer une organisation. Après avoir exécuté cette commande, l’administrateur délégué Security Hub peut créer et gérer des politiques de configuration pour configurer l’organisation. L’administrateur délégué peut également utiliser cette commande pour passer de la configuration centrale à la configuration locale. Si la configuration est locale, l’administrateur délégué peut choisir d’activer automatiquement Security Hub et les normes de sécurité par défaut dans les nouveaux comptes de l’organisation.

aws securityhub update-organization-configuration \
    --no-auto-enable \
    --organization-configuration '{"ConfigurationType": "CENTRAL"}'

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Gestion de comptes avec AWS Organizations dans le Guide de l’utilisateur AWS Security Hub.

Pour mettre à jour les propriétés d’un contrôle de sécurité

L’exemple update-security-control suivant spécifie les valeurs personnalisées d’un paramètre de contrôle de sécurité Security Hub.

aws securityhub update-security-control \
    --security-control-id ACM.1 \
    --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
    --last-update-reason "Internal compliance requirement"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Paramètres de contrôle personnalisés dans le Guide de l’utilisateur AWS Security Hub.

Pour mettre à jour la configuration de Security Hub

L’exemple update-security-hub-configuration suivant configure Security Hub afin qu’il active automatiquement de nouveaux contrôles pour les normes activées.

aws securityhub update-security-hub-configuration \
    --auto-enable-controls

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Enabling new controls automatically dans le Guide de l’utilisateur AWS Security Hub.

Exemple 1 : pour désactiver un contrôle

L’exemple update-standards-control suivant désactive le contrôle PCI.AutoScaling.1.

aws securityhub update-standards-control \
    --standards-control-arn "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1" \
    --control-status "DISABLED" \
    --disabled-reason "Not applicable for my service"

Cette commande ne produit aucune sortie.

Exemple 2 : pour activer un contrôle

L’exemple update-standards-control suivant active le contrôle PCI.AutoScaling.1.

aws securityhub update-standards-control \
    --standards-control-arn "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1" \
    --control-status "ENABLED"

Cette commande ne produit aucune sortie.

Pour plus d’informations, consultez Désactivation et activation des contrôles individuels dans le Guide de l’utilisateur AWS Security Hub.