Comprensione dei parametri di controllo in Security Hub CSPM - AWS Security Hub
Effetto della modifica dei valori dei parametri di controlloControlli che supportano parametri personalizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprensione dei parametri di controllo in Security Hub CSPM

Alcuni controlli in AWS Security Hub Cloud Security Posture Management (CSPM) utilizzano parametri che influiscono sul modo in cui il controllo viene valutato. In genere, tali controlli vengono valutati in base ai valori dei parametri predefiniti definiti da Security Hub CSPM. Tuttavia, per un sottoinsieme di questi controlli, è possibile modificare i valori dei parametri. Quando si modifica il valore di un parametro di controllo, Security Hub CSPM inizia a valutare il controllo rispetto al valore specificato. Se la risorsa alla base del controllo soddisfa il valore personalizzato, Security Hub CSPM genera un risultato. PASSED Se la risorsa non soddisfa il valore personalizzato, Security Hub CSPM genera un FAILED risultato.

Personalizzando i parametri di controllo, è possibile affinare le best practice di sicurezza consigliate e monitorate da Security Hub CSPM per allinearle ai requisiti aziendali e alle aspettative di sicurezza. Invece di sopprimere i risultati di un controllo, è possibile personalizzare uno o più dei relativi parametri per ottenere risultati adatti alle proprie esigenze di sicurezza.

Ecco alcuni esempi di casi d'uso per modificare i parametri di controllo e impostare valori personalizzati:

  • [CloudWatch.16] — i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato

    È possibile specificare il periodo di conservazione.

  • [IAM.7] — Le policy relative alle password per gli utenti IAM devono avere configurazioni solide

    È possibile specificare parametri relativi alla complessità della password.

  • [EC2.18] — I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate

    È possibile specificare quali porte sono autorizzate a consentire il traffico in entrata senza restrizioni.

  • [Lambda.5] — Le funzioni VPC Lambda devono funzionare in più zone di disponibilità

    È possibile specificare il numero minimo di zone di disponibilità che generano un risultato superato.

Questa sezione descrive gli aspetti da considerare quando si modificano i parametri di controllo.

Effetto della modifica dei valori dei parametri di controllo

Quando modificate il valore di un parametro, attivate anche un nuovo controllo di sicurezza che valuta il controllo in base al nuovo valore. Security Hub CSPM genera quindi nuovi risultati di controllo in base al nuovo valore. Durante gli aggiornamenti periodici per controllare i risultati, Security Hub CSPM utilizza anche il nuovo valore del parametro. Se modifichi i valori dei parametri per un controllo, ma non hai abilitato nessuno standard che includa il controllo, Security Hub CSPM non esegue alcun controllo di sicurezza utilizzando i nuovi valori. È necessario abilitare almeno uno standard pertinente affinché Security Hub CSPM valuti il controllo in base al nuovo valore del parametro.

Un controllo può avere uno o più parametri personalizzabili. I tipi di dati possibili per ogni parametro di controllo includono:

  • Booleano

  • Doppio

  • Enum

  • EnumList

  • Numero intero

  • IntegerList

  • Stringa

  • StringList

I valori dei parametri personalizzati si applicano a tutti gli standard abilitati. Non puoi personalizzare i parametri per un controllo che non è supportato nella tua regione attuale. Per un elenco dei limiti regionali per i singoli controlli, consultaLimiti regionali sui controlli CSPM di Security Hub.

Per alcuni controlli, i valori dei parametri accettabili devono rientrare in un intervallo specificato per essere validi. In questi casi, Security Hub CSPM fornisce l'intervallo accettabile.

Security Hub CSPM sceglie i valori dei parametri predefiniti e potrebbe occasionalmente aggiornarli. Dopo aver personalizzato un parametro di controllo, il suo valore continua a essere il valore specificato per il parametro, a meno che non venga modificato. Vale a dire, il parametro interrompe il tracciamento degli aggiornamenti al valore CSPM predefinito di Security Hub, anche se il valore personalizzato del parametro corrisponde al valore predefinito corrente definito da Security Hub CSPM. Ecco un esempio del controllo [ACM.1]: i certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Nell'esempio precedente, il daysToExpiration parametro ha un valore personalizzato di. 30 Inoltre, il valore predefinito corrente per questo parametro è30. Se Security Hub CSPM modifica il valore predefinito in14, il parametro in questo esempio non terrà traccia di tale modifica. Manterrà il valore di. 30

Se desideri tenere traccia degli aggiornamenti al valore CSPM predefinito di Security Hub per un parametro, imposta il ValueType campo su DEFAULT invece di. CUSTOM Per ulteriori informazioni, consulta Ripristino dei parametri di controllo predefiniti in un unico account e regione.

Controlli che supportano parametri personalizzati

Per un elenco dei controlli di sicurezza che supportano i parametri personalizzati, vedere la pagina Controlli della console CSPM di Security Hub o il. Riferimento di controllo per Security Hub CSPM Per recuperare questo elenco a livello di codice, è possibile utilizzare l'operazione. ListSecurityControlDefinitions Nella risposta, l'CustomizablePropertiesoggetto indica quali controlli supportano parametri personalizzabili.