Revertendo para valores de parâmetros de controle padrão - AWS Security Hub
Para reverter os parâmetros de controles ao padrão em várias contas e regiõesReverter os parâmetros de controles ao padrão em uma única conta e região

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Revertendo para valores de parâmetros de controle padrão

Um parâmetro de controle pode ter um valor padrão definido pelo AWS Security Hub Cloud Security Posture Management (CSPM). Ocasionalmente, o Security Hub CSPM atualiza o valor padrão de um parâmetro para refletir as práticas recomendadas de segurança em evolução. Se você não especificou um valor personalizado para um parâmetro de controle, o controle acompanhará automaticamente essas atualizações e usará o novo valor padrão.

É possível voltar a usar valores de parâmetros padrão para um controle. As instruções para reversão dependem de você usar a configuração central no CSPM do Security Hub. A configuração central é um recurso que o administrador delegado do CSPM do Security Hub pode usar para configurar os recursos do CSPM do Security Hub em contas e unidades Regiões da AWS organizacionais (). OUs

nota

Nem todos os parâmetros de controle têm um valor CSPM padrão do Security Hub. Nesses casos, quando ValueType definido comoDEFAULT, não há um valor padrão específico que o Security Hub CSPM use. Em vez disso, o Security Hub CSPM ignora o parâmetro na ausência de um valor personalizado.

Para reverter os parâmetros de controles ao padrão em várias contas e regiões

Se você usar a configuração central, poderá reverter os parâmetros de controle para várias contas gerenciadas centralmente e na região de origem e OUs nas regiões vinculadas.

Escolha seu método preferido e siga as etapas para voltar aos valores de parâmetros padrão em várias contas e regiões usando a configuração central.

Security Hub CSPM console
Para reverter os parâmetros aos valores padrão em várias contas e regiões (console)

  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

    Faça login usando as credenciais da conta delegada de administrador CSPM do Security Hub na região de origem.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas.

  4. Selecione uma política e escolha Editar.

  5. Em Política personalizada, a seção Controles mostrará uma lista de controles para os quais você especificou parâmetros personalizados.

  6. Encontre o controle que tem um ou mais valores de parâmetros a serem revertidos. Em seguida, escolha Remover para reverter aos valores padrão.

  7. Na seção Contas, verifique as contas às OUs quais você deseja aplicar a política.

  8. Escolha Próximo.

  9. Revise suas alterações e verifique se estão corretas. Ao terminar, escolha Salvar política e aplicar. Na sua região de origem e em todas as regiões vinculadas, essa ação substitui as configurações existentes das contas e OUs que estão associadas a essa política de configuração. Contas e OUs podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um pai.

Security Hub CSPM API
Para reverter os parâmetros aos valores padrão em várias contas e regiões (API)

  1. Invoque a API UpdateConfigurationPolicy a partir da conta de administrador delegado na região inicial.

  2. No campo Identifier, forneça o nome do recurso da Amazon (ARN) ou o ID da política que deseja atualizar.

  3. Para o objeto SecurityControlCustomParameters, forneça o identificador de cada controle para o qual você deseja reverter um ou mais parâmetros.

  4. No objeto Parameters, para cada parâmetro que você desejar reverter, forneça DEFAULT para o campo ValueType. Quando ValueType estiver definido como DEFAULT, você não precisará fornecer um valor para o campo Value. Se um valor for incluído na sua solicitação, o CSPM do Security Hub o ignorará. Se sua solicitação omitir um parâmetro com suporte pelo controle, esse parâmetro reterá seu valor atual.

Atenção

Se você omitir um objeto de controle do SecurityControlCustomParameters campo, o CSPM do Security Hub reverterá todos os parâmetros personalizados do controle para seus valores padrão. Uma lista completamente vazia para SecurityControlCustomParameters reverterá os parâmetros personalizados de todos os controles para seus valores padrão.

Por exemplo, o AWS CLI comando a seguir reverte o parâmetro de daysToExpiration controle ACM.1 para seu valor padrão na política de configuração especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

Reverter os parâmetros de controles ao padrão em uma única conta e região

Se você não usa a configuração central ou tem uma conta autogerenciada, pode reverter para o uso dos valores padrão dos parâmetros para sua conta em uma região por vez

Escolha seu método preferido e siga as etapas para voltar aos valores padrão dos parâmetros para sua conta em uma única região. Para reverter aos valores padrão dos parâmetros em regiões adicionais, repita essas etapas em cada região adicional.

nota

Se você desabilitar o CSPM do Security Hub, seus parâmetros de controle personalizados serão redefinidos. Se você habilitar o Security Hub CSPM novamente no futuro, todos os controles usarão valores de parâmetros padrão para começar.

Security Hub CSPM console
Para reverter os parâmetros de controles aos valores padrão em uma única conta e região (console)

  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

  2. No painel de navegação, escolha Controles. Escolha o controle que você deseja reverter para os valores padrão dos parâmetros.

  3. Na guia Parameters, escolha Personalizado ao lado de um parâmetro de controle. Em seguida, escolha Remover personalização. Esse parâmetro agora usa o valor CSPM padrão do Security Hub e rastreia futuras atualizações para o valor padrão.

  4. Repita a etapa anterior para cada valor de parâmetro que desejar reverter.

Security Hub CSPM API
Para reverter os parâmetros de controles aos valores padrão em uma única conta e região (API)

  1. Invoque a API UpdateSecurityControl.

  2. Em SecurityControlId, forneça o ARN ou ID do controle cujos parâmetros você deseja reverter.

  3. No objeto Parameters, para cada parâmetro que você desejar reverter, forneça DEFAULT para o campo ValueType. Quando ValueType estiver definido como DEFAULT, você não precisará fornecer um valor para o campo Value. Se um valor for incluído na sua solicitação, o CSPM do Security Hub o ignorará.

  4. Opcionalmente, em LastUpdateReason, forneça um motivo para reverter aos valores padrão dos parâmetros.

Por exemplo, o AWS CLI comando a seguir reverte o parâmetro daysToExpiration de controle ACM.1 para seu valor padrão. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"