Desabilitar um padrão de segurança - AWS Security Hub
Desativando um padrão em várias contas e Regiões da AWSDesativando um padrão em uma única conta e Região da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desabilitar um padrão de segurança

Quando você desativa um padrão de segurança no AWS Security Hub Cloud Security Posture Management (CSPM), ocorre o seguinte:

  • Todos os controles que se aplicam ao padrão estão desativados, a menos que estejam associados a outro padrão que esteja ativado no momento.

  • As verificações de segurança dos controles desativados não são mais realizadas e nenhuma descoberta adicional é gerada para os controles desativados.

  • As descobertas existentes para os controles desativados são arquivadas automaticamente após aproximadamente 3 a 5 dias.

  • AWS Config as regras que o Security Hub CSPM criou para os controles desativados são excluídas.

A exclusão das AWS Config regras apropriadas geralmente ocorre alguns minutos após a desativação de um padrão. No entanto, pode levar mais tempo. Se a primeira solicitação não conseguir excluir as regras, o Security Hub CSPM tentará novamente a cada 12 horas. No entanto, se você desativou o CSPM do Security Hub ou não tem nenhum outro padrão habilitado, o Security Hub CSPM não pode tentar novamente, o que significa que ele não pode excluir as regras. Se isso ocorrer e você precisar excluir as regras, entre em contato AWS Support.

Desativando um padrão em várias contas e Regiões da AWS

Para desativar um padrão de segurança em várias contas e Regiões da AWS use a configuração central. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que desabilitam um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região de origem, também chamada de região de agregação, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, você pode optar por desativar o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) em uma OU. Para outra OU, você pode optar por desativar o padrão PCI DSS e o padrão SP 800-53 Rev. 5 do Instituto Nacional de Padrões e Tecnologia (NIST). Para obter informações sobre a criação de uma política de configuração que habilite ou desabilite padrões individuais que você especificar, consulteCriação e associação de políticas de configuração.

nota

O administrador do CSPM do Security Hub pode usar políticas de configuração para desativar qualquer padrão, exceto o padrão gerenciado pelo AWS Control Tower serviço. Para desativar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para desativar ou ativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas configurem ou desabilitem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como contas autogerenciadas. As contas autogerenciadas devem desativar os padrões separadamente em cada região.

Desativando um padrão em uma única conta e Região da AWS

Se você não usa a configuração central ou tem uma conta autogerenciada, não pode usar políticas de configuração para desabilitar centralmente os padrões de segurança em várias contas ou. Regiões da AWS No entanto, você pode desativar um padrão em uma única conta e região. Você pode fazer isso usando o console CSPM do Security Hub ou a API CSPM do Security Hub.

Security Hub CSPM console

Siga estas etapas para desativar um padrão em uma conta e região usando o console CSPM do Security Hub.

Para desabilitar um padrão em uma conta e região

  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja desativar o padrão.

  3. No painel de navegação, escolha Padrões de segurança.

  4. Na seção do padrão que você deseja desativar, escolha Desativar padrão.

Para desativar o padrão em regiões adicionais, repita as etapas anteriores em cada região adicional.

Security Hub CSPM API

Para desativar um padrão programaticamente em uma única conta e região, use a BatchDisableStandardsoperação. Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o batch-disable-standardscomando.

Em sua solicitação, use o StandardsSubscriptionArns parâmetro para especificar o Amazon Resource Name (ARN) do padrão que você deseja desativar. Se você estiver usando o AWS CLI, use o standards-subscription-arns parâmetro para especificar o ARN. Especifique também a região à qual sua solicitação se aplica. Por exemplo, o comando a seguir desativa o padrão AWS Foundational Security Best Practices (FSBP) para uma conta (): 123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

Onde arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 está o ARN do padrão FSBP para a conta na região Leste dos EUA (Norte da Virgínia) e us-east-1 a região na qual desativá-la.

Para obter o ARN de um padrão, você pode usar a GetEnabledStandardsoperação. Essa operação recupera informações sobre os padrões atualmente habilitados em sua conta. Se você estiver usando o AWS CLI, você pode executar o get-enabled-standardscomando para recuperar essas informações.

Depois de desativar um padrão, o Security Hub CSPM começa a executar tarefas para desabilitar o padrão na conta e na região especificada. Isso inclui desativar todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, você pode verificar o status do padrão para a conta e a região.