Desabilitação de controles no CSPM do Security Hub

Para reduzir o ruído de descobertas, pode ser útil desabilitar os controles que não sejam relevantes para o seu ambiente. No CSPM do AWS Security Hub, é possível desabilitar um controle em todos os padrões de segurança ou somente em padrões de segurança específicos.

Se você desabilita um controle em todos os padrões, ocorre o seguinte:

Se você desabilitar um controle somente para padrões específicos, o CSPM do Security Hub interromperá a execução de verificações de segurança para o controle somente para esses padrões. Isso também removerá o controle dos cálculos da pontuação de segurança de cada um desses padrões. Se o controle estiver habilitado em outros padrões, o CSPM do Security Hub reterá a regra do AWS Config associada, se aplicável, e continuará executando verificações de segurança para o controle dos outros padrões. O CSPM do Security Hub também inclui o controle ao calcular a pontuação de segurança para cada um dos outros padrões, o que afeta sua pontuação de segurança resumida.

Se você desabilitar um padrão, todos os controles que se aplicam ao padrão serão desabilitados automaticamente. No entanto, os controles podem continuar estando habilitados em outros padrões. Quando você desabilita um padrão, o CSPM do Security Hub não rastreia quais controles foram desabilitados pra o padrão. Como consequência, se você voltar a habilitar o mesmo padrão posteriormente, todos os controles aplicáveis a ele serão automaticamente habilitados. Para informações sobre como desativar um padrão, consulte Desabilitar um padrão.

Desabilitar um controle não é uma ação permanente. Suponha que você desabilite um controle e, em seguida, habilite um padrão que inclua o controle. O controle será, então, habilitado para esse padrão. Quando você habilita um padrão no CSPM do Security Hub, todos os controles que se aplicam ao padrão são automaticamente habilitados. Para obter informações sobre a habilitação de um padrão, consulte Habilitar um padrão.