Noções básicas sobre os parâmetros de controles no CSPM do Security Hub - AWSSecurity Hub
Efeito da modificação dos valores dos parâmetros de controleControles que oferecem suporte a parâmetros personalizados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Noções básicas sobre os parâmetros de controles no CSPM do Security Hub

Alguns controles no AWS Security Hub CSPM usam parâmetros que afetam a forma como o controle é avaliado. Normalmente, esses controles são avaliados em relação aos valores de parâmetros padrão definidos pelo CSPM do Security Hub. Porém, para um subconjunto desses controles, você pode personalizar os valores dos parâmetros. Quando você modifica o valor de um parâmetro de controle, o CSPM do Security Hub começa a avaliar o controle em relação ao valor especificado. Se o recurso subjacente ao controle satisfizer o valor personalizado, o CSPM do Security Hub gerará uma descoberta PASSED. Se o recurso não satisfizer o valor personalizado, o CSPM do Security Hub gerará uma descoberta FAILED.

Ao personalizar os parâmetros de controle, é possível refinar as melhores práticas recomendadas de segurança e monitoradas pelo CSPM do Security Hub para se alinharem aos requisitos de sua empresa e às expectativas de segurança. Em vez de suprimir as descobertas de um controle, é possível personalizar um ou mais de seus parâmetros para obter descobertas que atendam às suas necessidades de segurança.

Aqui estão alguns exemplos de casos de uso de modificação de parâmetros de controles e definição de valores personalizados:

  • [CloudWatch.16] — os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

    É possível especificar o período de tempo de retenção.

  • [IAM.7]: as políticas de senha para usuários do IAM devem ter configurações fortes

    É possível especificar parâmetros relacionados à força da senha.

  • [EC2.18] — Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

    É possível especificar quais portas estão autorizadas a permitir tráfego de entrada irrestrito.

  • [Lambda.5]: as funções do Lambda da VPC devem operar em várias zonas de disponibilidade

    É possível especificar o número mínimo de zonas de disponibilidade que produzem uma descoberta aprovada.

Esta seção aborda o que deverá ser considerado quando você modificar os parâmetros de controle.

Efeito da modificação dos valores dos parâmetros de controle

Ao alterar o valor de um parâmetro, você também aciona uma nova verificação de segurança que avaliará o controle com base no novo valor. Em seguida, o CSPM do Security Hub gerará novas descobertas de controle com base no novo valor. Durante atualizações periódicas para controlar as descobertas, o CSPM do Security Hub também usará o novo valor do parâmetro. Se você alterar os valores dos parâmetros de um controle, mas não tiver habilitado nenhum padrão que inclua o controle, o CSPM do Security Hub não realizará nenhuma verificação de segurança usando os novos valores. Você precisa habilitar pelo menos um padrão relevante para que o CSPM do Security Hub avalie o controle com base no novo valor do parâmetro.

Um controle pode ter um ou mais parâmetros personalizáveis. Os possíveis tipos de dados para cada parâmetro de controle incluem o seguinte:

  • Booleano

  • Duplo

  • Enum

  • EnumList

  • Inteiro

  • IntegerList

  • String

  • StringList

Valores de parâmetros personalizados se aplicam a todos os padrões habilitados. Você não pode personalizar os parâmetros de um controle que não seja compatível com sua região atual. Para obter uma lista de limites regionais para controles individuais, consulte Limites regionais em controles do CSPM do Security Hub.

Em alguns controles, os valores aceitáveis dos parâmetros devem estar em intervalo especificado para serem válidos. Nesses casos, o CSPM do Security Hub fornece o intervalo aceitável.

O CSPM do Security Hub escolhe valores de parâmetros padrão e pode ocasionalmente atualizá-los. Depois de personalizar um parâmetro de controle, seu valor continua sendo o valor que você especificou para o parâmetro, a menos que você o altere. Ou seja, o parâmetro interrompe o rastreamento de atualizações no valor padrão do CSPM do Security Hub, mesmo que o valor personalizado do parâmetro corresponda ao valor padrão atual definido pelo CSPM do Security Hub. Aqui está um exemplo para o controle [ACM.1]: certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

No exemplo anterior, o parâmetro daysToExpiration tem um valor personalizado de 30. O valor padrão atual desse parâmetro também é 30. Se o CSPM do Security Hub alterar o valor padrão para 14, o parâmetro neste exemplo não rastreará essa alteração. Ele manterá um valor de 30.

Se você quiser rastrear as atualizações do valor padrão do CSPM do Security Hub para um parâmetro, defina o campo ValueType como DEFAULT em vez de CUSTOM. Para obter mais informações, consulte Reverter os parâmetros de controles ao padrão em uma única conta e região.

Controles que oferecem suporte a parâmetros personalizados

Para obter uma lista de controles de segurança que oferecem suporte a parâmetros personalizados, consulte a página Controles no console do CSPM do Security Hub ou a Referência de controle para o CSPM do Security Hub. Para recuperar essa lista programaticamente, é possível usar a operação ListSecurityControlDefinitions. Na resposta, o objeto CustomizableProperties indica quais controles oferecem suporte a parâmetros personalizáveis.