Esempi per Centrale di sicurezza con AWS CLI
Gli esempi di codice seguenti mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface con Centrale di sicurezza.
Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Sebbene le operazioni mostrino come richiamare le singole funzioni del servizio, è possibile visualizzarle contestualizzate negli scenari correlati.
Ogni esempio include un link al codice sorgente completo, dove è possibile trovare le istruzioni su come configurare ed eseguire il codice nel contesto.
Argomenti
Operazioni
L’esempio di codice seguente mostra come utilizzare accept-administrator-invitation.
- AWS CLI
-
Come accettare un invito da un account amministratore
L’esempio
accept-administrator-invitationseguente accetta l’invito dall’account amministratore specificato.aws securityhub accept-invitation \ --administrator-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta AcceptAdministratorInvitation
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare accept-invitation.
- AWS CLI
-
Come accettare un invito da un account amministratore
L’esempio
accept-invitationseguente accetta l’invito dall’account amministratore specificato.aws securityhub accept-invitation \ --master-id123456789012\ --invitation-id7ab938c5d52d7904ad09f9e7c20cc4ebQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta AcceptInvitation
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-delete-automation-rules.
- AWS CLI
-
Come eliminare le regole di automazione
Nell’esempio seguente
batch-delete-automation-ruleselimina la regola di automazione specificata. È possibile eliminare una o più regole con un solo comando. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, consulta Deleting automation rules nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchDeleteAutomationRules
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-disable-standards.
- AWS CLI
-
Come disabilitare uno standard
L’esempio
batch-disable-standardsseguente disabilita lo standard associato all’ARN della sottoscrizione specificata.aws securityhub batch-disable-standards \ --standards-subscription-arns"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:eu-central-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "DELETING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, consulta Disabilitazione o abilitazione di uno standard di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchDisableStandards
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-enable-standards.
- AWS CLI
-
Come abilitare uno standard
L’esempio
batch-enable-standardsseguente abilita lo standard PCI DSS per l’account richiedente.aws securityhub batch-enable-standards \ --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1"}'Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "PENDING", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, consulta Disabilitazione o abilitazione di uno standard di sicurezza nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchEnableStandards
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-get-automation-rules.
- AWS CLI
-
Come ottenere i dettagli sulle regole di automazione
L’esempio
batch-get-automation-rulesseguente ottiene i dettagli per la regola di automazione specificata. È possibile ottenere dettagli per una o più regole con un solo comando.aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]'Output:
{ "Rules": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "Criteria": { "ProductName": [ { "Value": "GuardDuty", "Comparison": "EQUALS" } ], "SeverityLabel": [ { "Value": "INFORMATIONAL", "Comparison": "EQUALS" } ], "WorkflowStatus": [ { "Value": "NEW", "Comparison": "EQUALS" } ], "RecordState": [ { "Value": "ACTIVE", "Comparison": "EQUALS" } ] }, "Actions": [ { "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Automatically suppress GuardDuty findings with Informational severity", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "SUPPRESSED" } } } ], "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, consulta Viewing automation rules nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchGetAutomationRules
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-get-configuration-policy-associations.
- AWS CLI
-
Come ottenere i dettagli dell’associazione di configurazione per un batch di destinazioni
Nell’esempio seguente
batch-get-configuration-policy-associationsrecupera i dettagli dell’associazione per le destinazioni specificate. È possibile fornire gli ID degli account, gli ID delle unità organizzative o l’ID root per la destinazione.aws securityhub batch-get-configuration-policy-associations \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Per ulteriori informazioni, consulta Viewing Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchGetConfigurationPolicyAssociations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-get-security-controls.
- AWS CLI
-
Come ottenere i dettagli del controllo di sicurezza
L’esempio
batch-get-security-controlsseguente ottiene i dettagli per i controlli di sicurezza ACM.1 e IAM.1 nell’accountAWS e nella Regione AWS correnti.aws securityhub batch-get-security-controls \ --security-control-ids '["ACM.1", "IAM.1"]'Output:
{ "SecurityControls": [ { "SecurityControlId": "ACM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": { "daysToExpiration": { "ValueType": CUSTOM, "Value": { "Integer": 15 } } }, "LastUpdateReason": "Updated control parameter" }, { "SecurityControlId": "IAM.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/IAM.1", "Title": "IAM policies should not allow full \"*\" administrative privileges", "Description": "This AWS control checks whether the default version of AWS Identity and Access Management (IAM) policies (also known as customer managed policies) do not have administrator access with a statement that has \"Effect\": \"Allow\" with \"Action\": \"*\" over \"Resource\": \"*\". It only checks for the Customer Managed Policies that you created, but not inline and AWS Managed Policies.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/IAM.1/remediation", "SeverityRating": "HIGH", "SecurityControlStatus": "ENABLED" "UpdateStatus": "READY", "Parameters": {} } ] }Per ulteriori informazioni, consulta Viewing details for a control nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchGetSecurityControls
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-get-standards-control-associations.
- AWS CLI
-
Come ottenere lo stato di abilitazione di un controllo
L’esempio
batch-get-standards-control-associationsseguente identifica se i controlli specificati sono abilitati negli standard indicati.aws securityhub batch-get-standards-control-associations \ --standards-control-association-ids '[{"SecurityControlId": "Config.1","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:ruleset/cis-aws-foundations-benchmark/v/1.2.0"}, {"SecurityControlId": "IAM.6","StandardsArn": "arn:aws:securityhub:us-east-1:123456789012:standards/aws-foundational-security-best-practices/v/1.0.0"}]'Output:
{ "StandardsControlAssociationDetails": [ { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "Config.1", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/Config.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.5" ], "UpdatedAt": "2022-10-27T16:07:12.960000+00:00", "StandardsControlTitle": "Ensure AWS Config is enabled", "StandardsControlDescription": "AWS Config is a web service that performs configuration management of supported AWS resources within your account and delivers log files to you. The recorded information includes the configuration item (AWS resource), relationships between configuration items (AWS resources), and any configuration changes between resources. It is recommended to enable AWS Config in all regions.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/cis-aws-foundations-benchmark/v/1.2.0/2.5" ] }, { "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "IAM.6", "SecurityControlArn": "arn:aws:securityhub:us-east-1:068873283051:security-control/IAM.6", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2022-11-22T21:30:35.080000+00:00", "UpdatedReason": "test", "StandardsControlTitle": "Hardware MFA should be enabled for the root user", "StandardsControlDescription": "This AWS control checks whether your AWS account is enabled to use a hardware multi-factor authentication (MFA) device to sign in with root user credentials.", "StandardsControlArns": [ "arn:aws:securityhub:us-east-1:068873283051:control/aws-foundational-security-best-practices/v/1.0.0/IAM.6" ] } ] }Per ulteriori informazioni, consulta Enabling and disabling controls in specific standards nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchGetStandardsControlAssociations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-import-findings.
- AWS CLI
-
Come aggiornare un esito
Nell’esempio seguente
batch-import-findingsaggiorna un esito.aws securityhub batch-import-findings \ --findings '[{ "AwsAccountId": "123456789012", "CreatedAt": "2020-05-27T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "LOW", "Original": "10" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'Output:
{ "FailedCount": 0, "SuccessCount": 1, "FailedFindings": [] }Per ulteriori informazioni, consulta Using BatchImportFindings to create and update findings nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchImportFindings
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-update-automation-rules.
- AWS CLI
-
Come aggiornare le regole di automazione
L’esempio
batch-update-automation-rulesseguente aggiornala regola di automazione specificata. È possibile aggiornare una o più regole con un solo comando. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ \ { \ "Actions": [{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Note": { \ "Text": "Known issue that is a risk", \ "UpdatedBy": "sechub-automation" \ }, \ "Workflow": { \ "Status": "NEW" \ } \ } \ }], \ "Criteria": { \ "SeverityLabel": [{ \ "Value": "LOW", \ "Comparison": "EQUALS" \ }] \ }, \ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", \ "RuleOrder": 1, \ "RuleStatus": "DISABLED" \ } \ ]'Output:
{ "ProcessedAutomationRules": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" ], "UnprocessedAutomationRules": [] }Per ulteriori informazioni, consulta Editing automation rules nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchUpdateAutomationRules
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-update-findings.
- AWS CLI
-
Esempio 1: aggiornare un esito
L’esempio
batch-update-findingsseguente aggiorna due esiti per aggiungere una nota, modificare l’etichetta di gravità e risolvere il flusso di lavoro.aws securityhub batch-update-findings \ --finding-identifiers '[{"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}, {"Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub"}]' \ --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' \ --severity '{"Label": "LOW"}' \ --workflow '{"Status": "RESOLVED"}'Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Per ulteriori informazioni, consulta Using BatchUpdateFindings to update a finding nella Guida per l’utente di Centrale di sicurezza AWS.
Esempio 2: aggiornare un esito utilizzando la sintassi abbreviata
L’esempio
batch-update-findingsseguente aggiorna due esiti per aggiungere una nota, modificare l’etichetta di gravità e risolvere il flusso di lavoro utilizzando la sintassi abbreviata.aws securityhub batch-update-findings \ --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" \ --note Text="Known issue that is not a risk.",UpdatedBy="user1" \ --severity Label="LOW" \ --workflow Status="RESOLVED"Output:
{ "ProcessedFindings": [ { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" }, { "Id": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub" } ], "UnprocessedFindings": [] }Per ulteriori informazioni, consulta Using BatchUpdateFindings to update a finding nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchUpdateFindings
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare batch-update-standards-control-associations.
- AWS CLI
-
Come aggiornare lo stato di abilitazione di un controllo negli standard abilitati
L’esempio
batch-update-standards-control-associationsseguente disabilita CloudTrail.1 negli standard specificati.aws securityhub batch-update-standards-control-associations \ --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'Questo comando non produce alcun output se ha esito positivo.
Per ulteriori informazioni, consulta Enabling and disabling controls in specific standards e Enabling and disabling controls in all standards nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta BatchUpdateStandardsControlAssociations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-action-target.
- AWS CLI
-
Come creare un’azione personalizzata
Nell’esempio seguente
create-action-targetcrea un’operazione personalizzata. Fornisce il nome, la descrizione e l’identificatore dell’operazione.aws securityhub create-action-target \ --name"Send to remediation"\ --description"Action to send the finding for remediation tracking"\ --id"Remediation"Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Per ulteriori informazioni, consulta Creating a custom action and associating it with a CloudWatch Events rule nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta CreateActionTarget
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-automation-rule.
- AWS CLI
-
Come creare una regola di automazione
L’esempio
create-automation-ruleseguente crea una regola di automazione nell’account AWS e nella Regione AWS correnti. Centrale di sicurezza filtra gli esiti in base ai criteri specificati e applica le operazioni agli esiti corrispondenti. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub create-automation-rule \ --actions '[{ \ "Type": "FINDING_FIELDS_UPDATE", \ "FindingFieldsUpdate": { \ "Severity": { \ "Label": "HIGH" \ }, \ "Note": { \ "Text": "Known issue that is a risk. Updated by automation rules", \ "UpdatedBy": "sechub-automation" \ } \ } \ }]' \ --criteria '{ \ "SeverityLabel": [{ \ "Value": "INFORMATIONAL", \ "Comparison": "EQUALS" \ }] \ }' \ --description"A sample rule"\ --no-is-terminal \ --rule-name"sample rule"\ --rule-order1\ --rule-status"ENABLED"Output:
{ "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Creating automation rules nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta CreateAutomationRule
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-configuration-policy.
- AWS CLI
-
Come creare una policy di configurazione
L’esempio
create-configuration-policyseguente crea una policy di configurazione con le impostazioni specificate.aws securityhub create-configuration-policy \ --name"SampleConfigurationPolicy"\ --description"SampleDescription"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' \ --tags '{"Environment": "Prod"}'Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Per ulteriori informazioni, consulta Creating and associating Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta CreateConfigurationPolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-finding-aggregator.
- AWS CLI
-
Come abilitare l’aggregazione degli esiti
L’esempio
create-finding-aggregatorseguente configura l’aggregazione degli esiti. Il comando viene eseguito dagli Stati Uniti orientali (Virginia) e designa gli Stati Uniti orientali (Virginia) come Regione di aggregazione. Indica di collegare solo Regioni specifiche e di non collegare automaticamente nuove Regioni. Seleziona Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon) come Regioni collegate.aws securityhub create-finding-aggregator \ --regionus-east-1\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Per ulteriori informazioni, consulta Enabling finding aggregation nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta CreateFindingAggregator
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-insight.
- AWS CLI
-
Come creare un approfondimento personalizzato
L’esempio
create-insightseguente crea un approfondimento personalizzato denominato Critical role findings che restituisce esiti critici correlati ai ruoli AWS.aws securityhub create-insight \ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' \ --group-by-attribute"ResourceId"\ --name"Critical role findings"Output:
{ "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Gestione di informazioni dettagliate personalizzate nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta CreateInsight
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare create-members.
- AWS CLI
-
Come aggiungere account come account membri
L’esempio
create-membersseguente aggiunge due account come account membri all’account amministratore richiedente.aws securityhub create-members \ --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta CreateMembers
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare decline-invitations.
- AWS CLI
-
Come rifiutare un invito a diventare un account membro
L’esempio
decline-invitationsseguente rifiuta un invito a diventare un account membro dell’account amministratore specificato. L’account membro è l’account richiedente.aws securityhub decline-invitations \ --account-ids"123456789012"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DeclineInvitations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-action-target.
- AWS CLI
-
Come eliminare un’azione personalizzata
L’esempio
delete-action-targetseguente elimina l’operazione identificata dall’ARN specificato.aws securityhub delete-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Output:
{ "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation" }Per ulteriori informazioni, consulta Creating a custom action and associating it with a CloudWatch Events rule nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DeleteActionTarget
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-configuration-policy.
- AWS CLI
-
Come eliminare una policy di configurazione
Nell’esempio seguente
delete-configuration-policyelimina la policy di configurazione specificata.aws securityhub delete-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Deleting and disassociating Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DeleteConfigurationPolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-finding-aggregator.
- AWS CLI
-
Come arrestare l’aggregazione di esiti
L’esempio
delete-finding-aggregatorseguente arresta l’aggregazione degli esiti. Il comando viene eseguito dagli Stati Uniti orientali (Virginia), ovvero la Regione di aggregazione.aws securityhub delete-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Stopping finding aggregation nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DeleteFindingAggregator
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-insight.
- AWS CLI
-
Come eliminare un approfondimento personalizzato
L’esempio
delete-insightseguente elimina l’approfondimento personalizzato con l’ARN specificato.aws securityhub delete-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "InsightArn": "arn:aws:securityhub:eu-central-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }Per ulteriori informazioni, consulta Gestione di informazioni dettagliate personalizzate nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DeleteInsight
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-invitations.
- AWS CLI
-
Come eliminare un invito a diventare un account membro
L’esempio
delete-invitationsseguente elimina un invito a diventare un account membro per l’account amministratore specificato. L’account membro è l’account richiedente.aws securityhub delete-invitations \ --account-ids"123456789012"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DeleteInvitations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare delete-members.
- AWS CLI
-
Come eliminare account membri
L’esempio
delete-membersseguente elimina gli account membri specificati dall’account amministratore richiedente.aws securityhub delete-members \ --account-ids"123456789111""123456789222"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DeleteMembers
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-action-targets.
- AWS CLI
-
Come recuperare dettagli sulle operazioni personalizzate
L’esempio
describe-action-targetsseguente recupera informazioni sull’operazione personalizzata identificata dall’ARN specificato.aws securityhub describe-action-targets \ --action-target-arns"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"Output:
{ "ActionTargets": [ { "ActionTargetArn": "arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation", "Description": "Action to send the finding for remediation tracking", "Name": "Send to remediation" } ] }Per ulteriori informazioni, consulta Creating a custom action and associating it with a CloudWatch Events rule nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DescribeActionTargets
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-hub.
- AWS CLI
-
Come ottenere informazioni su una risorsa hub
L’esempio
describe-hubseguente restituisce la data di sottoscrizione per la risorsa hub specificata. La risorsa hub viene identificata mediante il rispettivo ARN.aws securityhub describe-hub \ --hub-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Output:
{ "HubArn": "arn:aws:securityhub:us-west-1:123456789012:hub/default", "SubscribedAt": "2019-11-19T23:15:10.046Z" }Per ulteriori informazioni, consulta AWS::SecurityHub::Hub nella Guida per l’utente di AWS CloudFormation.
-
Per informazioni dettagliate sull’API, consulta DescribeHub
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-organization-configuration.
- AWS CLI
-
Come visualizzare la configurazione di Centrale di sicurezza per un’organizzazione
L’esempio
describe-organization-configurationseguente restituisce informazioni sul modo in cui un’organizzazione è configurata in Centrale di sicurezza. In questo esempio, l’organizzazione utilizza una configurazione centrale. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub describe-organization-configurationOutput:
{ "AutoEnable": false, "MemberAccountLimitReached": false, "AutoEnableStandards": "NONE", "OrganizationConfiguration": { "ConfigurationType": "LOCAL", "Status": "ENABLED", "StatusMessage": "Central configuration has been enabled successfully" } }Per ulteriori informazioni, consulta Managing accounts with AWS Organizations nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DescribeOrganizationConfiguration
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-products.
- AWS CLI
-
Come restituire informazioni sulle integrazioni di prodotti disponibili
L’esempio
describe-productsseguente restituisce singolarmente le integrazioni di prodotti disponibili.aws securityhub describe-products \ --max-results1Output:
{ "NextToken": "U2FsdGVkX18vvPlOqb7RDrWRWVFBJI46MOIAb+nZmRJmR15NoRi2gm13sdQEn3O/pq/78dGs+bKpgA+7HMPHO0qX33/zoRI+uIG/F9yLNhcOrOWzFUdy36JcXLQji3Rpnn/cD1SVkGA98qI3zPOSDg==", "Products": [ { "ProductArn": "arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon", "ProductName": "CrowdStrike Falcon", "CompanyName": "CrowdStrike", "Description": "CrowdStrike Falcon's single lightweight sensor unifies next-gen antivirus, endpoint detection and response, and 24/7 managed hunting, via the cloud.", "Categories": [ "Endpoint Detection and Response (EDR)", "AV Scanning and Sandboxing", "Threat Intelligence Feeds and Reports", "Endpoint Forensics", "Network Forensics" ], "IntegrationTypes": [ "SEND_FINDINGS_TO_SECURITY_HUB" ], "MarketplaceUrl": "https://aws.amazon.com/marketplace/seller-profile?id=a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ActivationUrl": "https://falcon.crowdstrike.com/support/documentation", "ProductSubscriptionResourcePolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789333\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}},{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"123456789012\"},\"Action\":[\"securityhub:BatchImportFindings\"],\"Resource\":\"arn:aws:securityhub:us-west-1:123456789333:product/crowdstrike/crowdstrike-falcon\",\"Condition\":{\"StringEquals\":{\"securityhub:TargetAccount\":\"123456789012\"}}}]}" } ] }Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DescribeProducts
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-standards-controls.
- AWS CLI
-
Come richiedere l’elenco di controlli in uno standard abilitato
L’esempio
describe-standards-controlsseguente richiede l’elenco dei controlli nella sottoscrizione dell’account richiedente allo standard PCI DSS. La richiesta restituisce due controlli alla volta.aws securityhub describe-standards-controls \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"\ --max-results2Output:
{ "Controls": [ { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.473000+00:00", "ControlId": "PCI.AutoScaling.1", "Title": "Auto scaling groups associated with a load balancer should use health checks", "Description": "This AWS control checks whether your Auto Scaling groups that are associated with a load balancer are using Elastic Load Balancing health checks.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.AutoScaling.1/remediation", "SeverityRating": "LOW", "RelatedRequirements": [ "PCI DSS 2.2" ] }, { "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.CW.1", "ControlStatus": "ENABLED", "ControlStatusUpdatedAt": "2020-05-15T18:49:04.498000+00:00", "ControlId": "PCI.CW.1", "Title": "A log metric filter and alarm should exist for usage of the \"root\" user", "Description": "This control checks for the CloudWatch metric filters using the following pattern { $.userIdentity.type = \"Root\" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != \"AwsServiceEvent\" } It checks that the log group name is configured for use with active multi-region CloudTrail, that there is at least one Event Selector for a Trail with IncludeManagementEvents set to true and ReadWriteType set to All, and that there is at least one active subscriber to an SNS topic associated with the alarm.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.CW.1/remediation", "SeverityRating": "MEDIUM", "RelatedRequirements": [ "PCI DSS 7.2.1" ] } ], "NextToken": "U2FsdGVkX1+eNkPoZHVl11ip5HUYQPWSWZGmftcmJiHL8JoKEsCDuaKayiPDyLK+LiTkShveoOdvfxXCkOBaGhohIXhsIedN+LSjQV/l7kfCfJcq4PziNC1N9xe9aq2pjlLVZnznTfSImrodT5bRNHe4fELCQq/z+5ka+5Lzmc11axcwTd5lKgQyQqmUVoeriHZhyIiBgWKf7oNYdBVG8OEortVWvSkoUTt+B2ThcnC7l43kI0UNxlkZ6sc64AsW" }Per ulteriori informazioni, consulta Visualizzazione dei dettagli per i controlli nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DescribeStandardsControls
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare describe-standards.
- AWS CLI
-
Come restituire un elenco di standard disponibili
L’esempio
describe-standardsseguente restituisce l’elenco degli standard disponibili.aws securityhub describe-standardsOutput:
{ "Standards": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/aws-foundational-security-best-practices/v/1.0.0", "Name": "AWS Foundational Security Best Practices v1.0.0", "Description": "The AWS Foundational Security Best Practices standard is a set of automated security checks that detect when AWS accounts and deployed resources do not align to security best practices. The standard is defined by AWS security experts. This curated set of controls helps improve your security posture in AWS, and cover AWS's most popular and foundational services.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "Name": "CIS AWS Foundations Benchmark v1.2.0", "Description": "The Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 is a set of security configuration best practices for AWS. This Security Hub standard automatically checks for your compliance readiness against a subset of CIS requirements.", "EnabledByDefault": true }, { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "Name": "PCI DSS v3.2.1", "Description": "The Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 is an information security standard for entities that store, process, and/or transmit cardholder data. This Security Hub standard automatically checks for your compliance readiness against a subset of PCI DSS requirements.", "EnabledByDefault": false } ] }Per ulteriori informazioni, consulta Security standards in AWS Security Hub nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DescribeStandards
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare disable-import-findings-for-product.
- AWS CLI
-
Come interrompere la ricezione di esiti da un’integrazione di prodotti
L’esempio
disable-import-findings-for-productseguente disabilita il flusso di esiti per la sottoscrizione specificata a un’integrazione di prodotti.aws securityhub disable-import-findings-for-product \ --product-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DisableImportFindingsForProduct
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare disable-organization-admin-account.
- AWS CLI
-
Come rimuovere un account amministratore di Centrale di sicurezza
L’esempio
disable-organization-admin-accountseguente revoca l’assegnazione dell’account specificato come account amministratore di Centrale di sicurezza per AWS Organizations.aws securityhub disable-organization-admin-account \ --admin-account-id777788889999Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Designating a Security Hub administrator account nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DisableOrganizationAdminAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare disable-security-hub.
- AWS CLI
-
Come disabilitare Centrale di sicurezza AWS
L’esempio
disable-security-hubseguente disabilita Centrale di sicurezza AWS per l’account richiedente.aws securityhub disable-security-hubQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Disabling AWS Security Hub nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DisableSecurityHub
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare disassociate-from-administrator-account.
- AWS CLI
-
Come annullare l’associazione da un account amministratore
L’esempio
disassociate-from-administrator-accountseguente annulla l’associazione tra l’account richiedente e il relativo account amministratore corrente.aws securityhub disassociate-from-administrator-accountQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DisassociateFromAdministratorAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare disassociate-from-master-account.
- AWS CLI
-
Come annullare l’associazione da un account amministratore
L’esempio
disassociate-from-master-accountseguente annulla l’associazione tra l’account richiedente e il relativo account amministratore corrente.aws securityhub disassociate-from-master-accountQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DisassociateFromMasterAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare disassociate-members.
- AWS CLI
-
Come annullare l’associazione di account membri
L’esempio
disassociate-membersseguente annulla l’associazione tra gli account membri specificati e l’account amministratore richiedente.aws securityhub disassociate-members \ --account-ids"123456789111""123456789222"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta DisassociateMembers
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare enable-import-findings-for-product.
- AWS CLI
-
Come iniziare a ricevere gli esiti da un’integrazione di prodotti
L’esempio
enable-import-findings-for-productseguente abilita il flusso di esiti dall’integrazione di prodotti.aws securityhub enable-import-findings-for-product \ --product-arn"arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"Output:
{ "ProductSubscriptionArn": "arn:aws:securityhub:us-east-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon" }Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta EnableImportFindingsForProduct
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare enable-organization-admin-account.
- AWS CLI
-
Come designare un account dell’organizzazione come account amministratore di Centrale di sicurezza
L’esempio
enable-organization-admin-accountseguente designa l’account specificato come account amministratore di Centrale di sicurezza.aws securityhub enable-organization-admin-account \ --admin-account-id777788889999Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Designating a Security Hub administrator account nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta EnableOrganizationAdminAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare enable-security-hub.
- AWS CLI
-
Come abilitare Centrale di sicurezza AWS
L’esempio
enable-security-hubseguente abilita Centrale di sicurezza AWS per l’account richiedente. Il comando configura Centrale di sicurezza per abilitare gli standard predefiniti. Per la risorsa hub, assegna il valoreSecurityal tagDepartment.aws securityhub enable-security-hub \ --enable-default-standards \ --tags '{"Department": "Security"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Enabling Security Hub nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta EnableSecurityHub
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-administrator-account.
- AWS CLI
-
Come recuperare informazioni su un account amministratore
L’esempio
get-administrator-accountseguente recupera informazioni sull’account amministratore per l’account richiedente.aws securityhub get-administrator-accountOutput:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetAdministratorAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-configuration-policy-association.
- AWS CLI
-
Come ottenere i dettagli dell’associazione di configurazione per una destinazione
Nell’esempio seguente
get-configuration-policy-associationrecupera i dettagli dell’associazione per la destinazione specificata. È possibile fornire un ID account, l’ID delle unità organizzative o l’ID root per la destinazione.aws securityhub get-configuration-policy-association \ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }Per ulteriori informazioni, consulta Viewing Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetConfigurationPolicyAssociation
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-configuration-policy.
- AWS CLI
-
Come visualizzare i dettagli della policy di configurazione
Nell’esempio seguente
get-configuration-policyrecupera i dettagli sulla policy di configurazione specificata.aws securityhub get-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "ce5ed1e7-9639-4e2f-9313-fa87fcef944b", "Name": "SampleConfigurationPolicy", "Description": "SampleDescription", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }Per ulteriori informazioni, consulta Viewing Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetConfigurationPolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-enabled-standards.
- AWS CLI
-
Come recuperare informazioni su uno standard abilitato
Nell’esempio seguente
get-enabled-standardsrecupera le informazioni sullo standard PCI DSS.aws securityhub get-enabled-standards \ --standards-subscription-arn"arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1"Output:
{ "StandardsSubscriptions": [ { "StandardsArn": "arn:aws:securityhub:us-west-1::standards/pci-dss/v/3.2.1", "StandardsInput": { }, "StandardsStatus": "READY", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1" } ] }Per ulteriori informazioni, consulta Security standards in AWS Security Hub nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetEnabledStandards
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-finding-aggregator.
- AWS CLI
-
Come recuperare la configurazione di aggregazione degli esiti corrente
L’esempio
get-finding-aggregatorseguente recupera la configurazione di aggregazione degli esiti corrente.aws securityhub get-finding-aggregator \ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000Output:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000", "FindingAggregationRegion": "us-east-1", "RegionLinkingMode": "SPECIFIED_REGIONS", "Regions": "us-west-1,us-west-2" }Per ulteriori informazioni, consulta Viewing the current finding aggregation configuration nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetFindingAggregator
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-finding-history.
- AWS CLI
-
Come visualizzare la cronologia degli esiti
L’esempio
get-finding-historyseguente recupera gli ultimi 90 giorni della cronologia per l’esito specificato. In questo esempio, i risultati sono limitati a due record della cronologia degli esiti.aws securityhub get-finding-history \ --finding-identifier Id="arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-east-1::product/aws/securityhub"Output:
{ "Records": [ { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-06-02T03:15:25.685000+00:00", "FindingCreated": false, "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [ { "UpdatedField": "Compliance.RelatedRequirements", "OldValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 SC-12(3)\",\"NIST.800-53.r5 SC-12(6)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\"]", "NewValue": "[\"NIST.800-53.r5 SC-12(2)\",\"NIST.800-53.r5 CM-3(6)\",\"NIST.800-53.r5 SC-13\",\"NIST.800-53.r5 SC-28\",\"NIST.800-53.r5 SC-28(1)\",\"NIST.800-53.r5 SC-7(10)\",\"NIST.800-53.r5 CA-9(1)\",\"NIST.800-53.r5 SI-7(6)\",\"NIST.800-53.r5 AU-9\"]" }, { "UpdatedField": "LastObservedAt", "OldValue": "2023-06-01T09:15:38.587Z", "NewValue": "2023-06-02T03:15:22.946Z" }, { "UpdatedField": "UpdatedAt", "OldValue": "2023-06-01T09:15:31.049Z", "NewValue": "2023-06-02T03:15:14.861Z" }, { "UpdatedField": "ProcessedAt", "OldValue": "2023-06-01T09:15:41.058Z", "NewValue": "2023-06-02T03:15:25.685Z" } ] }, { "FindingIdentifier": { "Id": "arn:aws:securityhub:us-east-1:123456789012:security-control/S3.17/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "UpdateTime": "2023-05-23T02:06:51.518000+00:00", "FindingCreated": "true", "UpdateSource": { "Type": "BATCH_IMPORT_FINDINGS", "Identity": "arn:aws:securityhub:us-east-1::product/aws/securityhub" }, "Updates": [] } ] }Per ulteriori informazioni, consulta Cronologia degli esiti nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetFindingHistory
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-findings.
- AWS CLI
-
Esempio 1: restituire gli esiti generati per uno standard specifico
L’esempio
get-findingsseguente restituisce gli esiti per lo standard PCI DSS.aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "pci-dss","Comparison":"PREFIX"}]}' \ --max-items1Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-1::product/aws/securityhub", "GeneratorId": "pci-dss/v/3.2.1/PCI.Lambda.2", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ], "FindingProviderFields": { "Severity": { "Original": 0, "Label": "INFORMATIONAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS" ] }, "FirstObservedAt": "2020-06-02T14:02:49.159Z", "LastObservedAt": "2020-06-02T14:02:52.397Z", "CreatedAt": "2020-06-02T14:02:49.159Z", "UpdatedAt": "2020-06-02T14:02:52.397Z", "Severity": { "Original": 0, "Label": "INFORMATIONAL", "Normalized": 0 }, "Title": "PCI.Lambda.2 Lambda functions should be in a VPC", "Description": "This AWS control checks whether a Lambda function is in a VPC.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub PCI DSS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation" } }, "ProductFields": { "StandardsArn": "arn:aws:securityhub:::standards/pci-dss/v/3.2.1", "StandardsSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1", "ControlId": "PCI.Lambda.2", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/PCI.Lambda.2/remediation", "RelatedAWSResources:0/name": "securityhub-lambda-inside-vpc-0e904a3b", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.Lambda.2", "aws/securityhub/SeverityLabel": "INFORMATIONAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/securityhub/arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "PASSED", "RelatedRequirements": [ "PCI DSS 1.2.1", "PCI DSS 1.3.1", "PCI DSS 1.3.2", "PCI DSS 1.3.4" ] }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED" } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ==" }Esempio 2: restituire gli esiti con gravità critica con stato NOTIFIED del flusso di lavoro
L’esempio
get-findingsseguente restituisce gli esiti con un valore dell’etichetta di gravità pari a CRITICAL e lo stato del flusso di lavoro impostato su NOTIFIED. I risultati vengono ordinati in ordine decrescente in base al valore di Confidence.aws securityhub get-findings \ --filters '{"SeverityLabel":[{"Value": "CRITICAL","Comparison":"EQUALS"}],"WorkflowStatus": [{"Value":"NOTIFIED","Comparison":"EQUALS"}]}' \ --sort-criteria '{ "Field": "Confidence", "SortOrder": "desc"}' \ --max-items1Output:
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:securityhub:us-west-1: 123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/securityhub", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ], "FindingProviderFields" { "Severity": { "Original": 90, "Label": "CRITICAL" }, "Types": [ "Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark" ] }, "FirstObservedAt": "2020-05-21T20:16:34.752Z", "LastObservedAt": "2020-06-09T08:16:37.171Z", "CreatedAt": "2020-05-21T20:16:34.752Z", "UpdatedAt": "2020-06-09T08:16:36.430Z", "Severity": { "Original": 90, "Label": "CRITICAL", "Normalized": 90 }, "Title": "1.13 Ensure MFA is enabled for the \"root\" account", "Description": "The root account is the most privileged user in an AWS account. MFA adds an extra layer of protection on top of a user name and password. With MFA enabled, when a user signs in to an AWS website, they will be prompted for their user name and password as well as for an authentication code from their AWS MFA device.", "Remediation": { "Recommendation": { "Text": "For directions on how to fix this issue, please consult the AWS Security Hub CIS documentation.", "Url": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation" } }, "ProductFields": { "StandardsGuideArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "StandardsGuideSubscriptionArn": "arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0", "RuleId": "1.13", "RecommendationUrl": "https://docs.aws.amazon.com/console/securityhub/standards-cis-1.13/remediation", "RelatedAWSResources:0/name": "securityhub-root-account-mfa-enabled-5pftha", "RelatedAWSResources:0/type": "AWS::Config::ConfigRule", "StandardsControlArn": "arn:aws:securityhub:us-west-1:123456789012:control/cis-aws-foundations-benchmark/v/1.2.0/1.13", "aws/securityhub/SeverityLabel": "CRITICAL", "aws/securityhub/ProductName": "Security Hub", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-1::product/aws/securityhub/arn:aws:securityhub:us-west-1:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0/1.13/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "Resources": [ { "Type": "AwsAccount", "Id": "AWS::::Account:123456789012", "Partition": "aws", "Region": "us-west-1" } ], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NOTIFIED" }, "RecordState": "ACTIVE" } ] }Per ulteriori informazioni, consulta Filtro e raggruppamento dei risultati nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetFindings
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-insight-results.
- AWS CLI
-
Come recuperare i risultati per un approfondimento
L’esempio
get-insight-resultsseguente restituisce l’elenco dei risultati di approfondimento con l’ARN specificato.aws securityhub get-insight-results \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "InsightResults": { "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "ResultValues": [ { "Count": 10, "GroupByAttributeValue": "AWS::::Account:123456789111" }, { "Count": 3, "GroupByAttributeValue": "AWS::::Account:123456789222" } ] } }Per ulteriori informazioni, consulta Visualizzazione e azioni su esiti e risultati di informazione dettagliata nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetInsightResults
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-insights.
- AWS CLI
-
Come recuperare i dettagli su un approfondimento
L’esempio
get-insightsseguente recupera i dettagli di configurazione per l’approfondimento con l’ARN specificato.aws securityhub get-insights \ --insight-arns"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"Output:
{ "Insights": [ { "Filters": { "ResourceType": [ { "Comparison": "EQUALS", "Value": "AwsIamRole" } ], "SeverityLabel": [ { "Comparison": "EQUALS", "Value": "CRITICAL" } ], }, "GroupByAttribute": "ResourceId", "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings" } ] }Per ulteriori informazioni, consulta Insights in AWS Security Hub nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetInsights
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-invitations-count.
- AWS CLI
-
Come recuperare il numero di inviti non accettati
L’esempio
get-invitations-countseguente recupera il numero di inviti rifiutati o senza risposta da parte dell’account richiedente.aws securityhub get-invitations-countOutput:
{ "InvitationsCount": 3 }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetInvitationsCount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-master-account.
- AWS CLI
-
Come recuperare informazioni su un account amministratore
L’esempio
get-master-accountseguente recupera informazioni sull’account amministratore per l’account richiedente.aws securityhub get-master-accountOutput:
{ "Master": { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetMasterAccount
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-members.
- AWS CLI
-
Come recuperare informazioni sugli account membri selezionati
L’esempio
get-membersseguente recupera le informazioni relative agli account membri specificati.aws securityhub get-members \ --account-ids"444455556666""777788889999"Output:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], "UnprocessedAccounts": [ ] }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetMembers
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare get-security-control-definition.
- AWS CLI
-
Come ottenere i dettagli della definizione del controllo di sicurezza
L’esempio
get-security-control-definitionseguente recupera i dettagli della definizione per un controllo di Centrale di sicurezza. I dettagli includono il titolo e la descrizione del controllo, la disponibilità della Regione, i parametri e altre informazioni.aws securityhub get-security-control-definition \ --security-control-idACM.1Output:
{ "SecurityControlDefinition": { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "ParameterDefinitions": { "daysToExpiration": { "Description": "Number of days within which the ACM certificate must be renewed", "ConfigurationOptions": { "Integer": { "DefaultValue": 30, "Min": 14, "Max": 365 } } } } } }Per ulteriori informazioni, consulta Custom control parameters nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta GetSecurityControlDefinition
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare invite-members.
- AWS CLI
-
Come inviare inviti agli account membro
L’esempio
invite-membersseguente invia gli inviti agli account membri specificati.aws securityhub invite-members \ --account-ids"123456789111""123456789222"Output:
{ "UnprocessedAccounts": [] }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta InviteMembers
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-automation-rules.
- AWS CLI
-
Come visualizzare un elenco di regole di automazione
L’esempio
list-automation-rulesseguente elenca le regole di automazione per un account AWS. Solo l’account amministratore di Centrale di sicurezza può eseguire questo comando.aws securityhub list-automation-rules \ --max-results3\ --next-tokenNULLOutput:
{ "AutomationRulesMetadata": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "Suppress informational findings", "Description": "Suppress GuardDuty findings with Informational severity", "IsTerminal": false, "CreatedAt": "2023-05-31T17:56:14.837000+00:00", "UpdatedAt": "2023-05-31T17:59:38.466000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:37:20.223000+00:00", "UpdatedAt": "2023-07-15T23:37:20.223000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "RuleStatus": "ENABLED", "RuleOrder": 1, "RuleName": "sample rule", "Description": "A sample rule", "IsTerminal": false, "CreatedAt": "2023-07-15T23:45:25.126000+00:00", "UpdatedAt": "2023-07-15T23:45:25.126000+00:00", "CreatedBy": "arn:aws:iam::123456789012:role/Admin" } ] }Per ulteriori informazioni, consulta Viewing automation rules nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListAutomationRules
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-configuration-policies.
- AWS CLI
-
Come elencare i riepiloghi delle policy di configurazione
L’esempio
list-configuration-policiesseguente elenca un riepilogo delle policy di configurazione per l’organizzazione.aws securityhub list-configuration-policies \ --max-items3Output:
{ "ConfigurationPolicySummaries": [ { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicy1", "Description": "SampleDescription1", "UpdatedAt": "2023-09-26T21:08:36.214000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "Name": "SampleConfigurationPolicy2", "Description": "SampleDescription2" "UpdatedAt": "2023-11-28T19:26:25.207000+00:00", "ServiceEnabled": true }, { "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "Name": "SampleConfigurationPolicy3", "Description": "SampleDescription3", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "ServiceEnabled": true } }Per ulteriori informazioni, consulta Viewing Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListConfigurationPolicies
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-configuration-policy-associations.
- AWS CLI
-
Come elencare le associazioni di configurazione
L’esempio
list-configuration-policy-associationsseguente elenca un riepilogo delle associazioni di configurazione per l’organizzazione. La risposta include associazioni con policy di configurazione e comportamenti autogestiti.aws securityhub list-configuration-policy-associations \ --filters '{"AssociationType": "APPLIED"}' \ --max-items4Output:
{ "ConfigurationPolicyAssociationSummaries": [ { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "TargetId": "r-1ab2", "TargetType": "ROOT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T19:26:49.417000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "Policy association failed because 2 organizational units or accounts under this root failed." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "TargetId": "ou-1ab2-c3de4f5g", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:14:05.283000+00:00", "AssociationStatus": "FAILED", "AssociationStatusMessage": "One or more children under this target failed association." }, { "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-09-26T21:13:01.816000+00:00", "AssociationStatus": "SUCCESS", "AssociationStatusMessage": "Association applied successfully on this target." }, { "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "111122223333", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-28T22:01:26.409000+00:00", "AssociationStatus": "SUCCESS" } }Per ulteriori informazioni, consulta Viewing configuration policy status and details nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListConfigurationPolicyAssociations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-enabled-products-for-import.
- AWS CLI
-
Come restituire l’elenco delle integrazioni di prodotti abilitate
L’esempio
list-enabled-products-for-importseguente restituisce l’elenco degli ARN delle sottoscrizioni per le integrazioni di prodotti attualmente abilitate.aws securityhub list-enabled-products-for-importOutput:
{ "ProductSubscriptions": [ "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon", "arn:aws:securityhub:us-west-1:123456789012:product-subscription/aws/securityhub" ] }Per ulteriori informazioni, consulta Gestione delle integrazioni di prodotti nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListEnabledProductsForImport
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-finding-aggregators.
- AWS CLI
-
Come elencare i widget disponibili
L’esempio
list-finding-aggregatorsseguente restituisce l’ARN della configurazione di aggregazione degli esiti.aws securityhub list-finding-aggregatorsOutput:
{ "FindingAggregatorArn": "arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000" }Per ulteriori informazioni, consulta Viewing the current finding aggregation configuration nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListFindingAggregators
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-invitations.
- AWS CLI
-
Come visualizzare un elenco di inviti
L’esempio
list-invitationsseguente recupera l’elenco degli inviti inviati all’account richiedente.aws securityhub list-invitationsOutput:
{ "Invitations": [ { "AccountId": "123456789012", "InvitationId": "7ab938c5d52d7904ad09f9e7c20cc4eb", "InvitedAt": 2020-06-01T20:21:18.042000+00:00, "MemberStatus": "ASSOCIATED" } ], }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListInvitations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-members.
- AWS CLI
-
Come recuperare un elenco di account membri
L’esempio
list-membersseguente restituisce l’elenco di account membri per l’account amministratore richiedente.aws securityhub list-membersOutput:
{ "Members": [ { "AccountId": "123456789111", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 }, { "AccountId": "123456789222", "AdministratorId": "123456789012", "InvitedAt": 2020-06-01T20:15:15.289000+00:00, "MasterId": "123456789012", "MemberStatus": "ASSOCIATED", "UpdatedAt": 2020-06-01T20:15:15.289000+00:00 } ], }Per ulteriori informazioni, consulta Managing administrator and member accounts nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListMembers
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-organization-admin-accounts.
- AWS CLI
-
Come elencare gli account amministrativi designati per Centrale di sicurezza
L’esempio
list-organization-admin-accountsseguente elenca gli account amministratore di Centrale di sicurezza per un’organizzazione.aws securityhub list-organization-admin-accountsOutput:
{ AdminAccounts": [ { "AccountId": "777788889999" }, { "Status": "ENABLED" } ] }Per ulteriori informazioni, consulta Designating a Security Hub administrator account nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListOrganizationAdminAccounts
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-security-control-definitions.
- AWS CLI
-
Esempio 1: elencare tutti i controlli di sicurezza disponibili
L’esempio
list-security-control-definitionsseguente elenca i controlli di sicurezza disponibili in tutti gli standard di Centrale di sicurezza. Questo esempio limita i risultati a tre controlli.aws securityhub list-security-control-definitions \ --max-items3Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "ACM.1", "Title": "Imported and ACM-issued certificates should be renewed after a specified time period", "Description": "This control checks whether an AWS Certificate Manager (ACM) certificate is renewed within the specified time period. It checks both imported certificates and certificates provided by ACM. The control fails if the certificate isn't renewed within the specified time period. Unless you provide a custom parameter value for the renewal period, Security Hub uses a default value of 30 days.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] }, { "SecurityControlId": "ACM.2", "Title": "RSA certificates managed by ACM should use a key length of at least 2,048 bits", "Description": "This control checks whether RSA certificates managed by AWS Certificate Manager use a key length of at least 2,048 bits. The control fails if the key length is smaller than 2,048 bits.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/ACM.2/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "APIGateway.1", "Title": "API Gateway REST and WebSocket API execution logging should be enabled", "Description": "This control checks whether all stages of an Amazon API Gateway REST or WebSocket API have logging enabled. The control fails if the 'loggingLevel' isn't 'ERROR' or 'INFO' for all stages of the API. Unless you provide custom parameter values to indicate that a specific log type should be enabled, Security Hub produces a passed finding if the logging level is either 'ERROR' or 'INFO'.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/APIGateway.1/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [ "Parameters" ] } ], "NextToken": "U2FsdGVkX1/UprCPzxVbkDeHikDXbDxfgJZ1w2RG1XWsFPTMTIQPVE0m/FduIGxS7ObRtAbaUt/8/RCQcg2PU0YXI20hH/GrhoOTgv+TSm0qvQVFhkJepWmqh+NYawjocVBeos6xzn/8qnbF9IuwGg==" }Per ulteriori informazioni, consulta Viewing details for a standard nella Guida per l’utente di Centrale di sicurezza AWS.
Esempio 2: elencare i controlli di sicurezza disponibili per uno standard specifico
L’esempio
list-security-control-definitionsseguente elenca i controlli di sicurezza disponibili per CIS AWS Foundations Benchmark v1.4.0. Questo esempio limita i risultati a tre controlli.aws securityhub list-security-control-definitions \ --standards-arn"arn:aws:securityhub:us-east-1::standards/cis-aws-foundations-benchmark/v/1.4.0"\ --max-items3Output:
{ "SecurityControlDefinitions": [ { "SecurityControlId": "CloudTrail.1", "Title": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "Description": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.1/remediation", "SeverityRating": "HIGH", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.2", "Title": "CloudTrail should have encryption at-rest enabled", "Description": "This AWS control checks whether AWS CloudTrail is configured to use the server side encryption (SSE) AWS Key Management Service (AWS KMS) customer master key (CMK) encryption. The check will pass if the KmsKeyId is defined.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.2/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] }, { "SecurityControlId": "CloudTrail.4", "Title": "CloudTrail log file validation should be enabled", "Description": "This AWS control checks whether CloudTrail log file validation is enabled.", "RemediationUrl": "https://docs.aws.amazon.com/console/securityhub/CloudTrail.4/remediation", "SeverityRating": "MEDIUM", "CurrentRegionAvailability": "AVAILABLE", "CustomizableProperties": [] } ], "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAzfQ==" }Per ulteriori informazioni, consulta Viewing details for a standard nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListSecurityControlDefinitions
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-standards-control-associations.
- AWS CLI
-
Come ottenere lo stato di abilitazione di un controllo in ogni standard abilitato
L’esempio
list-standards-control-associationsseguente elenca lo stato di abilitazione di CloudTrail.1 in ogni standard abilitato.aws securityhub list-standards-control-associations \ --security-control-idCloudTrail.1Output:
{ "StandardsControlAssociationSummaries": [ { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/nist-800-53/v/5.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "NIST.800-53.r5 AC-2(4)", "NIST.800-53.r5 AC-4(26)", "NIST.800-53.r5 AC-6(9)", "NIST.800-53.r5 AU-10", "NIST.800-53.r5 AU-12", "NIST.800-53.r5 AU-2", "NIST.800-53.r5 AU-3", "NIST.800-53.r5 AU-6(3)", "NIST.800-53.r5 AU-6(4)", "NIST.800-53.r5 AU-14(1)", "NIST.800-53.r5 CA-7", "NIST.800-53.r5 SC-7(9)", "NIST.800-53.r5 SI-3(8)", "NIST.800-53.r5 SI-4(20)", "NIST.800-53.r5 SI-7(8)", "NIST.800-53.r5 SA-8(22)" ], "UpdatedAt": "2023-05-15T17:52:21.304000+00:00", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations 2.1" ], "UpdatedAt": "2020-02-10T21:22:53.998000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/aws-foundational-security-best-practices/v/1.0.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "DISABLED", "RelatedRequirements": [], "UpdatedAt": "2023-05-15T19:31:52.671000+00:00", "UpdatedReason": "Alternative compensating controls are in place", "StandardsControlTitle": "CloudTrail should be enabled and configured with at least one multi-Region trail that includes read and write management events", "StandardsControlDescription": "This AWS control checks that there is at least one multi-region AWS CloudTrail trail includes read and write management events." }, { "StandardsArn": "arn:aws:securityhub:us-east-2::standards/cis-aws-foundations-benchmark/v/1.4.0", "SecurityControlId": "CloudTrail.1", "SecurityControlArn": "arn:aws:securityhub:us-east-2:123456789012:security-control/CloudTrail.1", "AssociationStatus": "ENABLED", "RelatedRequirements": [ "CIS AWS Foundations Benchmark v1.4.0/3.1" ], "UpdatedAt": "2022-11-10T15:40:36.021000+00:00", "StandardsControlTitle": "Ensure CloudTrail is enabled in all regions", "StandardsControlDescription": "AWS CloudTrail is a web service that records AWS API calls for your account and delivers log files to you. The recorded information includes the identity of the API caller, the time of the API call, the source IP address of the API caller, the request parameters, and the response elements returned by the AWS service. CloudTrail provides a history of AWS API calls for an account, including API calls made via the Management Console, SDKs, command line tools, and higher-level AWS services (such as CloudFormation)." } ] }Per ulteriori informazioni, consulta Enabling and disabling controls in specific standards nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta ListStandardsControlAssociations
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare list-tags-for-resource.
- AWS CLI
-
Come recuperare i tag assegnati a una risorsa
L’esempio
list-tags-for-resourceseguente restituisce i tag associati alla risorsa hub specificata.aws securityhub list-tags-for-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"Output:
{ "Tags": { "Department" : "Operations", "Area" : "USMidwest" } }Per ulteriori informazioni, consulta AWS::SecurityHub::Hub nella Guida per l’utente di AWS CloudFormation.
-
Per informazioni dettagliate sull’API, consulta ListTagsForResource
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare start-configuration-policy-association.
- AWS CLI
-
Esempio 1: associare una policy di configurazione
L’esempio
start-configuration-policy-associationseguente associa la policy di configurazione specificata all’unità organizzativa indicata. Una configurazione può essere associata a un account di destinazione, a un’unità organizzativa o alla radice.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Output:
{ "ConfigurationPolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "TargetId": "ou-6hi7-8j91kl2m", "TargetType": "ORGANIZATIONAL_UNIT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Per ulteriori informazioni, consulta Creating and associating Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
Esempio 2: associare una configurazione autogestita
L’esempio
start-configuration-policy-associationseguente associa una configurazione autogestita all’account specificato.aws securityhub start-configuration-policy-association \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"OrganizationalUnitId": "123456789012"}'Output:
{ "ConfigurationPolicyId": "SELF_MANAGED_SECURITY_HUB", "TargetId": "123456789012", "TargetType": "ACCOUNT", "AssociationType": "APPLIED", "UpdatedAt": "2023-11-29T17:40:52.468000+00:00", "AssociationStatus": "PENDING" }Per ulteriori informazioni, consulta Creating and associating Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta StartConfigurationPolicyAssociation
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare start-configuration-policy-disassociation.
- AWS CLI
-
Esempio 1: annullare l’associazione per una policy di configurazione
L’esempio
start-configuration-policy-disassociationseguente annulla l’associazione tra la policy di configurazione e l’unità organizzativa specificata. Per una configurazione, l’associazione può essere annullata da un account di destinazione, da un’unità organizzativa o dalla radice.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"\ --target '{"OrganizationalUnitId": "ou-6hi7-8j91kl2m"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Disassociating a configuration from accounts and OUs nella Guida per l’utente di Centrale di sicurezza AWS.
Esempio 2: annullare l’associazione per una configurazione autogestita
L’esempio
start-configuration-policy-disassociationseguente annulla l’associazione tra una configurazione autogestita e l’account specificato.aws securityhub start-configuration-policy-disassociation \ --configuration-policy-identifier"SELF_MANAGED_SECURITY_HUB"\ --target '{"AccountId": "123456789012"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Disassociating a configuration from accounts and OUs nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta StartConfigurationPolicyDisassociation
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare tag-resource.
- AWS CLI
-
Come assegnare un tag a una risorsa
L’esempio
tag-resourceseguente assegna valori per i tag Department e Area alla risorsa hub specificata.aws securityhub tag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tags '{"Department":"Operations", "Area":"USMidwest"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta AWS::SecurityHub::Hub nella Guida per l’utente di AWS CloudFormation.
-
Per informazioni dettagliate sull’API, consulta TagResource
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare untag-resource.
- AWS CLI
-
Come rimuovere un tag da una risorsa
L’esempio
untag-resourceseguente rimuove il tag Department dalla risorsa hub specificata.aws securityhub untag-resource \ --resource-arn"arn:aws:securityhub:us-west-1:123456789012:hub/default"\ --tag-keys"Department"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta AWS::SecurityHub::Hub nella Guida per l’utente di AWS CloudFormation.
-
Per informazioni dettagliate sull’API, consulta UntagResource
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-action-target.
- AWS CLI
-
Come aggiornare un’operazione personalizzata
L’esempio
update-action-targetseguente elimina il nome dell’operazione personalizzata identificata dall’ARN specificato.aws securityhub update-action-target \ --action-target-arn"arn:aws:securityhub:us-west-1:123456789012:action/custom/Remediation"\ --name"Send to remediation"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Creating a custom action and associating it with a CloudWatch Events rule nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateActionTarget
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-configuration-policy.
- AWS CLI
-
Come aggiornare una policy di configurazione
L’esempio
update-configuration-policyseguente aggiorna una policy di configurazione esistente per utilizzare le impostazioni specificate.aws securityhub update-configuration-policy \ --identifier"arn:aws:securityhub:eu-central-1:508236694226:configuration-policy/09f37766-57d8-4ede-9d33-5d8b0fecf70e"\ --name"SampleConfigurationPolicyUpdated"\ --description"SampleDescriptionUpdated"\ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 21}}}}]}}}' \ --updated-reason"Disabling CloudWatch.1 and changing parameter value"Output:
{ "Arn": "arn:aws:securityhub:eu-central-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "SampleConfigurationPolicyUpdated", "Description": "SampleDescriptionUpdated", "UpdatedAt": "2023-11-28T20:28:04.494000+00:00", "CreatedAt": "2023-11-28T20:28:04.494000+00:00", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:eu-central-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudWatch.1" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 21 } } } } ] } } } }Per ulteriori informazioni, consulta Updating Security Hub configuration policies nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateConfigurationPolicy
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-finding-aggregator.
- AWS CLI
-
Come aggiornare la configurazione di aggregazione degli esiti corrente
L’esempio
update-finding-aggregatorseguente modifica la configurazione dell’aggregazione degli esiti in base al collegamento da Regioni selezionate. Il comando viene eseguito dagli Stati Uniti orientali (Virginia), ovvero la Regione di aggregazione. Seleziona Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon) come Regioni collegate.aws securityhub update-finding-aggregator \ --regionus-east-1\ --finding-aggregator-arnarn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000\ --region-linking-modeSPECIFIED_REGIONS\ --regionsus-west-1,us-west-2Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Updating the finding aggregation configuration nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateFindingAggregator
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-insight.
- AWS CLI
-
Esempio 1: modificare il filtro per un approfondimento personalizzato
L’esempio
update-insightseguente modifica il filtro per un approfondimento personalizzato. L’approfondimento aggiornato cerca esiti con una severità elevata correlati ai ruoli AWS.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' \ --name"High severity role findings"Esempio 2: modificare l’attributo di raggruppamento per un approfondimento personalizzato
L’esempio
update-insightseguente modifica l’attributo di raggruppamento per l’approfondimento personalizzato con l’ARN specificato. Il nuovo attributo di raggruppamento è l’ID della risorsa.aws securityhub update-insight \ --insight-arn"arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"\ --group-by-attribute"ResourceId"\ --name"Critical role findings"Output:
{ "Insights": [ { "InsightArn": "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Name": "Critical role findings", "Filters": { "SeverityLabel": [ { "Value": "CRITICAL", "Comparison": "EQUALS" } ], "ResourceType": [ { "Value": "AwsIamRole", "Comparison": "EQUALS" } ] }, "GroupByAttribute": "ResourceId" } ] }Per ulteriori informazioni, consulta Gestione di informazioni dettagliate personalizzate nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateInsight
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-organization-configuration.
- AWS CLI
-
Come aggiornare la configurazione di Centrale di sicurezza per un’organizzazione
L’esempio
update-organization-configurationseguente specifica che Centrale di sicurezza deve utilizzare la configurazione centrale per un’organizzazione. Dopo aver eseguito questo comando, l’amministratore di Centrale di sicurezza delegato può creare e gestire le policy di configurazione per configurare l’organizzazione. L’amministratore può utilizzare questo comando anche per passare dalla configurazione centrale a quella locale. Se il tipo di configurazione è locale, l’amministratore può scegliere se abilitare automaticamente Centrale di sicurezza e gli standard di sicurezza predefiniti nei nuovi account dell’organizzazione.aws securityhub update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Managing accounts with AWS Organizations nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateOrganizationConfiguration
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-security-control.
- AWS CLI
-
Come aggiornare le proprietà del controllo di sicurezza
L’esempio
update-security-controlseguente specifica valori personalizzati per un parametro di controllo di sicurezza di Centrale di sicurezza.aws securityhub update-security-control \ --security-control-idACM.1\ --parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \ --last-update-reason"Internal compliance requirement"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Custom control parameters nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateSecurityControl
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-security-hub-configuration.
- AWS CLI
-
Come aggiornare la configurazione di Centrale di sicurezza
L’esempio
update-security-hub-configurationseguente configura Centrale di sicurezza per abilitare automaticamente nuovi controlli per gli standard abilitati.aws securityhub update-security-hub-configuration \ --auto-enable-controlsQuesto comando non produce alcun output.
Per ulteriori informazioni, consulta Enabling new controls automatically nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateSecurityHubConfiguration
in AWS CLI Command Reference.
-
L’esempio di codice seguente mostra come utilizzare update-standards-control.
- AWS CLI
-
Esempio 1: disabilitare un controllo
L’esempio
update-standards-controlseguente disabilita il controllo PCI.AutoScaling.1.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"DISABLED"\ --disabled-reason"Not applicable for my service"Questo comando non produce alcun output.
Esempio 2: abilitare un controllo
L’esempio
update-standards-controlseguente abilita il controllo PCI.AutoScaling.1.aws securityhub update-standards-control \ --standards-control-arn"arn:aws:securityhub:us-west-1:123456789012:control/pci-dss/v/3.2.1/PCI.AutoScaling.1"\ --control-status"ENABLED"Questo comando non produce alcun output.
Per ulteriori informazioni, consulta Disabilitazione e abilitazione dei controlli individuali nella Guida per l’utente di Centrale di sicurezza AWS.
-
Per informazioni dettagliate sull’API, consulta UpdateStandardsControl
in AWS CLI Command Reference.
-
