Desabilitar um padrão de segurança - AWSSecurity Hub
Desativando um padrão em várias contas e Regiões da AWSDesativando um padrão em uma única conta e Região da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desabilitar um padrão de segurança

Quando você desabilita um padrão de segurança no CSPM do AWS Security Hub, ocorre o seguinte:

  • Todos os controles que se aplicam ao padrão são desabilitados, a menos que estejam associados a um outro padrão que esteja habilitado no momento.

  • As verificações para os controles desabilitados não serão mais executadas, e nenhuma descoberta adicional será gerada para eles.

  • As descobertas existentes para controles desabilitados são arquivadas automaticamente dentro de, aproximadamente, 3 a 5 dias.

  • AWS Configas regras que o Security Hub CSPM criou para os controles desativados são excluídas.

A exclusão das AWS Config regras apropriadas geralmente ocorre alguns minutos após a desativação de um padrão. No entanto, isso pode levar mais tempo. Se a primeira solicitação falhar ao excluir as regras, o CSPM do Security Hub tentará novamente a cada 12 horas. Entretanto, se você desabilitou o CSPM do Security Hub ou não tem nenhum outro padrão habilitado, o CSPM do Security Hub não poderá tentar novamente, o que significa que ele não poderá excluir as regras. Se isso ocorrer e você precisar excluir as regras, entre em contatoAWS Support.

Desativando um padrão em várias contas e Regiões da AWS

Para desativar um padrão de segurança em várias contas e Regiões da AWS use a configuração central. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que desabilitem um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região inicial, também chamada de região de agregação, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, é possível optar por desabilitar o Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS) em uma UO. Para outra UO, é possível optar por desabilitar os padrões PCI DSS e o National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Para obter informações sobre como criar uma política de configuração que habilite ou desabilite padrões individuais especificados, consulte Criação e associação de políticas de configuração.

nota

O administrador do CSPM do Security Hub pode usar políticas de configuração para desabilitar qualquer padrão, exceto o padrão gerenciado por serviço AWS Control Tower. Para desativar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para desativar ou ativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas configurem ou desabilitem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como contas autogerenciadas. As contas autogerenciadas devem desabilitar padrões separadamente em cada região.

Desativando um padrão em uma única conta e Região da AWS

Se você não usar a configuração central ou se você tiver uma conta autogerenciada, não será possível usar políticas de configuração para desabilitar padrões de forma centralizada em várias contas ou Regiões da AWS. Contudo, será possível desabilitar um padrão em uma única conta e região. Também é possível fazer isso usando o console do CSPM do Security Hub ou a API do CSPM do Security Hub.

Security Hub CSPM console

Siga estas etapas para desabilitar um padrão em uma conta e região usando o console do CSPM do Security Hub.

Para desabilitar um padrão em uma conta e região

  1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar o padrão.

  3. No painel de navegação, escolha Padrões de segurança.

  4. Na seção do padrão que deseja desabilitar, escolha Desabilitar padrão.

Para desabilitar o padrão em regiões adicionais, repita as etapas anteriores para cada região adicional.

Security Hub CSPM API

Para desabilitar um padrão programaticamente em uma única conta e região, use a operação BatchDisableStandards. Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o batch-disable-standardscomando.

Em sua solicitação, use o parâmetro StandardsSubscriptionArns para especificar o nome do recurso da Amazon (ARN) do padrão que você deseja desabilitar. Se você estiver usando oAWS CLI, use o standards-subscription-arns parâmetro para especificar o ARN. Especifique também a região à qual a sua solicitação se aplica. Por exemplo, o comando a seguir desativa o padrão AWS Foundational Security Best Practices (FSBP) para uma conta (): 123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

Onde arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 está o ARN do padrão FSBP para a conta na região Leste dos EUA (Norte da Virgínia) e us-east-1 a região na qual desativá-la.

Para obter o ARN de um padrão, é possível usar a operação GetEnabledStandards. Essa operação recupera informações sobre os padrões atualmente habilitados em sua conta. Se você estiver usando oAWS CLI, você pode executar o get-enabled-standardscomando para recuperar essas informações.

Depois de desabilitar um padrão, o CSPM do Security Hub começará a executar tarefas para desabilitar o padrão na conta e na região especificada. Isso inclui desabilitar todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, é possível verificar o status do padrão para a conta e a região.