Desabilitar um controle em todos os padrões - AWS Security Hub
Desabilitação de vários padrões, em várias contas e regiõesDesabilitação de vários padrões em uma única conta e região

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desabilitar um controle em todos os padrões

Recomendamos desativar um controle de gerenciamento de postura AWS de segurança (CSPM) do Security Hub Cloud em todos os padrões para manter o alinhamento em toda a organização. Se você desabilitar um controle somente em padrões específicos, continuará recebendo descobertas para o controle se ele estiver habilitado em outros padrões.

Desabilitação de vários padrões, em várias contas e regiões

Para desativar um controle de segurança em vários Contas da AWS e Regiões da AWS, você deve usar a configuração central.

Quando você usa a configuração central, o administrador delegado pode criar políticas de configuração CSPM do Security Hub que desabilitam os controles especificados nos padrões habilitados. Em seguida, você pode associar a política de configuração a OUs contas específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, você pode optar por desativar todos os AWS CloudTrail controles em uma OU e pode optar por desativar todos os controles do IAM em outra OU. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que desabilite controles específicos em padrões, consulte Criação e associação de políticas de configuração.

nota

O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão Gerenciado por Serviços:. AWS Control Tower Os controles desse padrão devem ser configurados no AWS Control Tower serviço.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

Desabilitação de vários padrões em uma única conta e região

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar controles de forma centralizada em várias contas e regiões. No entanto, você pode desativar um controle em uma única conta e região.

Security Hub CSPM console
Para desabilitar um controle em padrões em uma conta e região

  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

  2. No painel de navegação, escolha Controles.

  3. Escolha a opção ao lado de um controle.

  4. Escolha Desativar controle. Essa opção não aparece em um controle que já está desativado.

  5. Forneça um motivo para desativar o controle e confirme escolhendo Desativar.

  6. Repita em cada região na qual deseja desabilitar o controle.

Security Hub CSPM API
Para desabilitar um controle em padrões em uma conta e região

  1. Invoque a API ListStandardsControlAssociations. Forneça uma ID de controle de segurança.

    Exemplo de solicitação:

    {
    "SecurityControlId": "IAM.1"
}

  2. Invoque a API BatchUpdateStandardsControlAssociations. Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute DescribeStandards.

  3. Defina o parâmetro AssociationStatus igual a DISABLED. Se você seguir essas etapas para um controle que já está desativado, a API retornará uma resposta do código de status HTTP 200.

    Exemplo de solicitação:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}

  4. Repita em cada região na qual deseja desabilitar o controle.

AWS CLI
Para desabilitar um controle em padrões em uma conta e região

  1. Execute o comando list-standards-control-associations. Forneça uma ID de controle de segurança.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Execute o comando batch-update-standards-control-associations. Forneça o ARN de quaisquer padrões nos quais o controle não esteja habilitado. Para obter o padrão ARNs, execute o describe-standards comando.

  3. Defina o parâmetro AssociationStatus igual a DISABLED. Se você seguir essas etapas para um controle que já está desativado, o comando retornará uma resposta do código de status HTTP 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

  4. Repita em cada região na qual deseja desabilitar o controle.