Desabilitação do CSPM do Security Hub
É possível desabilitar o CSPM do AWS Security Hub por meio do console do CSPM do Security Hub ou da API do Security Hub. Se você desabilitar o CSPM do Security Hub, será possível habilitá-lo novamente mais tarde.
Se a sua organização usar a configuração central, o administrador delegado do CSPM do Security Hub poderá criar políticas de configuração que desabilitem o CSPM do Security Hub em contas e unidades organizacionais (UOs) específicas e o mantenham habilitado em outras. As políticas de configuração afetam a região inicial e todas as regiões vinculadas. Para obter mais informações, consulte Noções básicas sobre a configuração central no CSPM do Security Hub.
Se você desabilitar o CSPM do Security Hub para uma conta, ocorre o seguinte:
-
Todos os padrões e controles do CSPM do Security Hub são desabilitados para a conta.
-
O CSPM do Security Hub para de gerar, atualizar e ingerir descobertas para a conta.
-
Depois de 30 dias, o CSPM do Security Hub exclui permanentemente todas as descobertas arquivadas existentes da conta. As descobertas não poderão ser recuperadas usando o CSPM do Security Hub.
-
Depois de 90 dias, o CSPM do Security Hub exclui permanentemente todas as descobertas ativas existentes da conta. As descobertas não poderão ser recuperadas usando o CSPM do Security Hub.
-
Depois de 90 dias, o CSPM do Security Hub exclui permanentemente todos os insights existentes e as definições de configuração do CSPM do Security Hub da conta. Os dados e as configurações não poderão ser recuperados.
Para reter as descobertas existentes, é possível exportá-las para um bucket do S3 antes de desabilitar o CSPM do Security Hub. É possível fazer isso usando uma ação personalizada com uma regra do Amazon EventBridge. Para obter mais informações, consulte Usar o EventBridge para resposta e correção automatizada.
Se você reabilitar o CSPM do Security Hub dentro de 90 dias após desabilitá-lo para uma conta, você recuperará o acesso às descobertas ativas existentes, bem como aos insights e às configurações do CSPM do Security Hub para a conta. Se você reabilitar o CSPM do Security Hub em 30 dias, também recuperará o acesso às descobertas arquivadas existentes da conta. No entanto, as descobertas existentes poderão ser imprecisas, pois refletirão o estado do seu ambiente da AWS quando você desabilitou o CSPM do Security Hub. Além disso, à medida que você reabilita padrões e controles individuais, o CSPM do Security Hub pode inicialmente gerar descobertas duplicadas para recursos específicos da AWS, dependendo dos padrões e controles que você habilitar. Por esses motivos, recomendamos que você faça o seguinte:
-
Altere o status do fluxo de trabalho de todas as descobertas existentes para
RESOLVEDantes de desabilitar o CSPM do Security Hub. Para obter mais informações, consulte Definir o status do fluxo de trabalho das descobertas. -
Desabilite todos os padrões pelo menos seis dias antes de desabilitar o CSPM do Security Hub. Em seguida, o CSPM do Security Hub arquivará todas as descobertas existentes com base em melhor esforço, normalmente dentro de três a cinco dias. Para obter mais informações, consulte Desabilitar um padrão.
Você não pode desabilitar o CSPM do Security Hub nos casos a seguir:
-
Sua conta é uma conta de administrador do CSPM do Security Hub delegado para sua organização. Se você usar a configuração central, não poderá associar uma política de configuração que desabilite o CSPM do Security Hub à conta do administrador delegado. A associação pode ser ter êxito para outras contas, mas o CSPM do Security Hub não aplica a política à conta do administrador delegado.
-
Sua a conta é uma conta de administrador do CSPM do Security Hub por convite, e você tem contas de membro. Antes de poder desabilitar o CSPM do Security Hub, será necessário desassociar todas as contas de membro. Para saber como, consulte Desassociação de contas de membro no CSPM do Security Hub.
Antes que o proprietário de uma conta de membro possa desabilitar o CSPM do Security Hub, a conta deverá ser desassociada da sua conta de administrador. Para uma conta da organização, somente a conta do administrador pode desassociar as contas de membros. Para obter mais informações, consulte Desassociação das contas de membro do CSPM do Security Hub da sua organização. Para uma conta convidada manualmente, a conta do administrador ou a conta de membro podem desassociar a conta. Para ter mais informações, consulte Desassociação de contas de membro no CSPM do Security Hub ou Desassociação de uma conta de administrador do CSPM do Security Hub. A desassociação não será necessária se você usar a configuração central, pois o administrador do CSPM do Security Hub pode criar uma política que desabilite o CSPM do Security Hub em contas de membro específicas.
Quando você desabilita o CSPM do Security Hub para uma conta, ele é desabilitado somente na Região da AWS atual. Entretanto, se você usar a configuração central para desabilitar o CSPM do Security Hub em contas específicas, ele será desabilitado na região inicial e em todas as regiões vinculadas.
Para desabilitar o CSPM do Security Hub, escolha seu método preferido e siga as etapas.
