Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Standard di gestione dei servizi: AWS Control Tower

Questa sezione fornisce informazioni su Service-Managed Standard:. AWS Control Tower

Che cos'è Service-Managed Standard:? AWS Control Tower

Service-Managed Standard: AWS Control Tower è uno standard gestito dai servizi che AWS Control Tower gestisce che supporta un sottoinsieme di controlli Security Hub. Questo standard è progettato per gli utenti di AWS Security Hub CSPM e. AWS Control Tower Consente di configurare i controlli di rilevamento di Security Hub CSPM dal AWS Control Tower servizio.

I controlli investigativi rilevano la non conformità delle risorse (ad esempio, configurazioni errate) all'interno dell'azienda. Account AWS

Quando abiliti un controllo CSPM di Security Hub tramiteAWS Control Tower, Control Tower abilita anche Security Hub CSPM per te in quegli account e regioni specifici, se non è già abilitato. Nella console e nell'API di Security Hub CSPM, puoi visualizzare Service-Managed Standard: insieme ad altri standard CSPM di AWS Control Tower Security Hub, una volta abilitato lo standard da. AWS Control Tower

Per ulteriori informazioni su questo standard, consulta i controlli CSPM di Security Hub nella Guida per l'AWS Control Towerutente.

Creazione dello standard

Questo standard è disponibile in Security Hub CSPM solo se si abilitano i controlli CSPM di Security Hub da. AWS Control Tower AWS Control Towercrea lo standard quando si abilita per la prima volta un controllo applicabile utilizzando uno dei seguenti metodi:

Quando abiliti un controllo CSPM di Security Hub tramiteAWS Control Tower, se non hai già abilitato Security Hub CSPM, abilita anche AWS Control Tower Security Hub CSPM per te in quegli account e regioni specifici.

Per identificare un controllo CSPM di Security Hub tramite l'ID di controllo in Control Catalog, puoi utilizzare il campo Implementation.Identifier in. AWS Control Tower Questo campo è mappato all'ID di controllo CSPM di Security Hub e può essere utilizzato per filtrare un ID di controllo specifico. Per recuperare i metadati di controllo per uno specifico controllo CSPM di Security Hub (ad esempio, "CodeBuild.1") inAWS Control Tower, puoi utilizzare l'API: ListControls

aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'

Non puoi visualizzare o accedere a questo standard nella console CSPM di Security Hub, nell'API CSPM di Security Hub o AWS CLI senza prima configurare e abilitare i controlli CSPM di AWS Control Tower Security Hub AWS Control Tower utilizzando uno dei metodi precedenti.

Questo standard è disponibile solo dove è disponibile. Regioni AWSAWS Control Tower

Abilitazione e disabilitazione dei controlli nello standard

Dopo aver abilitato i controlli CSPM di Security Hub AWS Control Tower e aver creato lo standard Service-Managed AWS Control Tower Standard: è possibile visualizzare lo standard e i relativi controlli disponibili in Security Hub CSPM.

Quando Security Hub CSPM aggiunge nuovi controlli al Service-Managed Standard: AWS Control Tower standard, questi non vengono abilitati automaticamente per i clienti che hanno lo standard abilitato. È necessario abilitare e disabilitare i controlli per lo standard AWS Control Tower utilizzando uno dei seguenti metodi:

Quando si modifica lo stato di attivazione di un controllo inAWS Control Tower, la modifica si riflette anche in Security Hub CSPM.

Tuttavia, la disabilitazione di un controllo in Security Hub CSPM abilitato in AWS Control Tower comporta una deriva del controllo. Lo stato del controllo in viene visualizzato come. AWS Control Tower Drifted È possibile risolvere questa deriva utilizzando l'ResetEnabledControlAPI per reimpostare il controllo in corso, selezionando Registra nuovamente l'unità organizzativa nella AWS Control Tower console o disabilitando e riabilitando il controllo AWS Control Tower utilizzando uno dei metodi precedenti.

Il completamento delle azioni di attivazione e disabilitazione in consente di evitare la deriva del controllo. AWS Control Tower

Quando abiliti o disabiliti i controlli inAWS Control Tower, l'azione si applica a tutti gli account e alle regioni governati da. AWS Control Tower Se abiliti e disabiliti i controlli in Security Hub CSPM (non consigliato per questo standard), l'azione si applica solo all'account e alla regione correnti.

Visualizzazione dello stato di attivazione e dello stato di controllo

È possibile visualizzare lo stato di attivazione di un controllo utilizzando uno dei seguenti metodi:

Un controllo che disabiliti AWS Control Tower ha lo stato di attivazione in Security Hub CSPM, Disabled a meno che non abiliti esplicitamente tale controllo in Security Hub CSPM.

Security Hub CSPM calcola lo stato del controllo in base allo stato del flusso di lavoro e allo stato di conformità dei risultati del controllo. Per ulteriori informazioni sullo stato di attivazione e sullo stato di controllo, vedere. Revisione dei dettagli dei controlli in Security Hub CSPM

In base agli stati di controllo, Security Hub CSPM calcola un punteggio di sicurezza per Service-Managed Standard:. AWS Control Tower Questo punteggio è disponibile solo in Security Hub CSPM. Inoltre, è possibile visualizzare i risultati del controllo solo in Security Hub CSPM. Il punteggio di sicurezza standard e i risultati del controllo non sono disponibili in. AWS Control Tower

Eliminazione dello standard

È possibile eliminare questo standard gestito AWS Control Tower dal servizio disabilitando tutti i controlli applicabili utilizzando uno dei seguenti metodi:

La disabilitazione di tutti i controlli elimina lo standard in tutti gli account gestiti e nelle regioni governate in. AWS Control Tower L'eliminazione dello standard lo AWS Control Tower rimuove dalla pagina Standard della console CSPM di Security Hub e non è più possibile accedervi utilizzando l'API CSPM di Security Hub o. AWS CLI

La disattivazione del servizio CSPM Security Hub rimuove Service-Managed Standard AWS Control Tower e tutti gli altri standard che hai abilitato.

Trova il formato dei campi per Service-Managed Standard: AWS Control Tower

Quando crei Service-Managed Standard: AWS Control Tower e ne abiliti i controlli, inizierai a ricevere i risultati del controllo in Security Hub CSPM. Security Hub CSPM riporta i risultati del controllo in. AWSFormato ASFF (Security Finding Format) Questi sono i valori ASFF per Amazon Resource Name (ARN) di questo standard e: GeneratorId

Per un esempio di risultato per Service-Managed Standard:AWS Control Tower, vedere. Esempi di risultati di controllo

Controlli che si applicano a Service-Managed Standard: AWS Control Tower

Service-Managed Standard: AWS Control Tower supporta un sottoinsieme di controlli che fanno parte dello standard AWS Foundational Security Best Practices (FSBP). Scegliete un controllo per visualizzarne le informazioni, incluse le procedure di correzione in caso di risultati non riusciti.

Per vedere da cosa sono supportati i controlli CSPM di Security HubAWS Control Tower, puoi utilizzare uno dei seguenti metodi:

I limiti regionali sui controlli CSPM di Security Hub, se abilitati tramite lo standard Control Tower, potrebbero non corrispondere ai limiti regionali sui controlli sottostanti.

In Security Hub CSPM, se i risultati del controllo consolidato sono disattivati nel tuo account, il ProductFields.ControlId campo dei risultati generati utilizza l'ID di controllo standard. L'ID di controllo basato su standard è formattato come CT. ControlId(ad esempio, CT. CodeBuild.1).

Per ulteriori informazioni su questo standard, consulta i controlli CSPM di Security Hub nella Guida per l'AWS Control Towerutente.