Habilitar um controle em todos os padrões - AWS Security Hub
Habilitação em vários padrões em ambientes com várias contas e várias regiõesHabilitação em vários padrões em uma única conta e região

Habilitar um controle em todos os padrões

Recomendamos habilitar um controle do CSPM do AWS Security Hub em todos os padrões aos quais ele se aplica. Se você ativar as descobertas de controles consolidadas, receberá uma descoberta por verificação de controle, mesmo que um controle pertença a mais de um padrão.

Habilitação em vários padrões em ambientes com várias contas e várias regiões

Para habilitar um controle de segurança em várias Contas da AWS e Regiões da AWS, é necessário fazer login na conta de administrador delegado do CSPM do Security Hub e usar a configuração central.

Na configuração central, o administrador delegado pode criar políticas de configuração do CSPM do Security Hub que habilitem controles específicos em todos os padrões habilitados. Em seguida, é possível associar a política de configuração a contas e unidades organizacionais (UOs) específicas ou à raiz. Uma política de configuração entra em vigor na sua região inicial (também chamada de região de agregação) e em todas as regiões vinculadas.

As políticas de configuração oferecem personalização. Por exemplo, é possível optar por habilitar todos os controles em uma UO e optar por habilitar somente os controles do Amazon Elastic Compute Cloud (EC2) em outra UO. O nível de granularidade depende das metas pretendidas para a cobertura de segurança em sua organização. Para obter instruções sobre como criar uma política de configuração que habilite controles específicos em padrões, consulte Criação e associação de políticas de configuração.

nota

O administrador delegado pode criar políticas de configuração para gerenciar controles em todos os padrões, exceto o Padrão gerenciado por serviço: AWS Control Tower. Os controles desse padrão devem ser configurados no serviço AWS Control Tower.

Se você quiser que algumas contas configurem seus próprios controles em vez do administrador delegado, o administrador delegado pode designar essas contas como autogerenciadas. As contas autogerenciadas devem configurar controles separadamente em cada região.

Habilitação em vários padrões em uma única conta e região

Se você não usar a configuração central ou se for uma conta autogerenciada, não será possível usar políticas de configuração para habilitar controles de forma centralizada em várias contas e regiões. Contudo, é possível usar as etapas a seguir para habilitar um controle em uma única conta e região.

Security Hub CSPM console
Para habilitar um controle em padrões em uma conta e região

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, escolha Controles.

  3. Escolha a guia Desativado.

  4. Escolha a opção ao lado de um controle.

  5. Escolha Ativar controle (essa opção não aparece para um controle que já está ativado).

  6. Repita em cada região na qual deseja habilitar o controle.

Security Hub CSPM API
Para habilitar um controle em padrões em uma conta e região

  1. Invoque a API ListStandardsControlAssociations. Forneça uma ID de controle de segurança.

    Exemplo de solicitação:

    {
    "SecurityControlId": "IAM.1"
}

  2. Invoque a API BatchUpdateStandardsControlAssociations. Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter ARNs padrão, execute DescribeStandards.

  3. Defina o parâmetro AssociationStatus igual a ENABLED. Se você seguir essas etapas para um controle que já está ativado, a API retornará uma resposta do código de status HTTP 200.

    Exemplo de solicitação:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. Repita em cada região na qual deseja habilitar o controle.

AWS CLI
Para habilitar um controle em padrões em uma conta e região

  1. Execute o comando list-standards-control-associations. Forneça uma ID de controle de segurança.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. Execute o comando batch-update-standards-control-associations. Forneça o Nome do recurso da Amazon (ARN) de quaisquer padrões nos quais o controle não esteja habilitado. Para obter ARNs padrão, execute o comando describe-standards.

  3. Defina o parâmetro AssociationStatus igual a ENABLED. Se você seguir essas etapas para um controle que já está ativado, o comando retornará uma resposta do código de status HTTP 200.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. Repita em cada região na qual deseja habilitar o controle.