Memahami parameter kontrol di Security Hub CSPM - AWS Security Hub
Pengaruh memodifikasi nilai parameter kontrolKontrol yang mendukung parameter kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami parameter kontrol di Security Hub CSPM

Beberapa kontrol di AWS Security Hub Cloud Security Posture Management (CSPM) menggunakan parameter yang memengaruhi cara kontrol dievaluasi. Biasanya, kontrol tersebut dievaluasi terhadap nilai parameter default yang didefinisikan oleh Security Hub CSPM. Namun, untuk subset dari kontrol ini, Anda dapat memodifikasi nilai parameter. Saat Anda mengubah nilai parameter kontrol, Security Hub CSPM mulai mengevaluasi kontrol terhadap nilai yang Anda tentukan. Jika sumber daya yang mendasari kontrol memenuhi nilai kustom, Security Hub CSPM menghasilkan temuan. PASSED Jika sumber daya tidak memenuhi nilai kustom, Security Hub CSPM akan menghasilkan temuan. FAILED

Dengan menyesuaikan parameter kontrol, Anda dapat menyempurnakan praktik terbaik keamanan yang direkomendasikan dan dipantau oleh Security Hub CSPM agar sesuai dengan persyaratan bisnis dan harapan keamanan Anda. Alih-alih menekan temuan untuk kontrol, Anda dapat menyesuaikan satu atau lebih parameternya untuk mendapatkan temuan yang sesuai dengan kebutuhan keamanan Anda.

Berikut adalah beberapa contoh kasus penggunaan untuk memodifikasi parameter kontrol dan menyetel nilai kustom:

  • [CloudWatch.16] — grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu

    Anda dapat menentukan periode waktu retensi.

  • [IAM.7] — Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat

    Anda dapat menentukan parameter yang terkait dengan kekuatan kata sandi.

  • [EC2.18] - Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi

    Anda dapat menentukan port mana yang diizinkan untuk mengizinkan lalu lintas masuk yang tidak dibatasi.

  • [Lambda.5] - Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone

    Anda dapat menentukan jumlah minimum Availability Zones yang menghasilkan temuan yang diteruskan.

Bagian ini mencakup hal-hal yang perlu dipertimbangkan ketika Anda memodifikasi parameter kontrol.

Pengaruh memodifikasi nilai parameter kontrol

Saat Anda mengubah nilai parameter, Anda juga memicu pemeriksaan keamanan baru yang mengevaluasi kontrol berdasarkan nilai baru. Security Hub CSPM kemudian menghasilkan temuan kontrol baru berdasarkan nilai baru. Selama pembaruan berkala untuk mengontrol temuan, Security Hub CSPM juga menggunakan nilai parameter baru. Jika Anda mengubah nilai parameter untuk kontrol, tetapi belum mengaktifkan standar apa pun yang menyertakan kontrol, Security Hub CSPM tidak melakukan pemeriksaan keamanan apa pun menggunakan nilai baru. Anda harus mengaktifkan setidaknya satu standar yang relevan untuk Security Hub CSPM untuk mengevaluasi kontrol berdasarkan nilai parameter baru.

Kontrol dapat memiliki satu atau lebih parameter yang dapat disesuaikan. Jenis data yang mungkin untuk setiap parameter kontrol meliputi yang berikut:

  • Boolean

  • Ganda

  • Enum

  • EnumList

  • Bilangan Bulat

  • IntegerList

  • String

  • StringList

Nilai parameter kustom berlaku di seluruh standar yang diaktifkan. Anda tidak dapat menyesuaikan parameter untuk kontrol yang tidak didukung di Wilayah Anda saat ini. Untuk daftar batas Regional untuk kontrol individu, lihatBatas regional pada kontrol CSPM Security Hub.

Untuk beberapa kontrol, nilai parameter yang dapat diterima harus jatuh ke dalam rentang tertentu agar valid. Dalam kasus ini, Security Hub CSPM menyediakan rentang yang dapat diterima.

Security Hub CSPM memilih nilai parameter default dan terkadang memperbaruinya. Setelah Anda menyesuaikan parameter kontrol, nilainya terus menjadi nilai yang Anda tentukan untuk parameter kecuali Anda mengubahnya. Artinya, parameter berhenti melacak pembaruan ke nilai CSPM Security Hub default, bahkan jika nilai kustom parameter cocok dengan nilai default saat ini yang ditentukan oleh Security Hub CSPM. Berikut adalah contoh untuk kontrol [ACM.1] - Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Dalam contoh sebelumnya, daysToExpiration parameter memiliki nilai kustom. 30 Nilai default saat ini untuk parameter ini juga30. Jika Security Hub CSPM mengubah nilai default menjadi14, parameter dalam contoh ini tidak akan melacak perubahan tersebut. Ini akan mempertahankan nilai30.

Jika Anda ingin melacak pemutakhiran ke nilai CSPM Security Hub default untuk parameter, setel ValueType bidang ke DEFAULT bukan. CUSTOM Untuk informasi selengkapnya, lihat Mengembalikan ke parameter kontrol default dalam satu akun dan Wilayah.

Kontrol yang mendukung parameter kustom

Untuk daftar kontrol keamanan yang mendukung parameter kustom, lihat halaman Kontrol konsol CSPM Security Hub atau. Referensi kontrol untuk Security Hub CSPM Untuk mengambil daftar ini secara terprogram, Anda dapat menggunakan operasi. ListSecurityControlDefinitions Dalam respons, CustomizableProperties objek menunjukkan kontrol mana yang mendukung parameter yang dapat disesuaikan.