Gerenciando a configuração de contas de membros em uma AWS organização - AWS Security Hub
Catálogo de configurações do Security HubHabilitando uma configuração com um tipo de políticaHabilitando uma configuração com um tipo de implantaçãoEditando uma política de configuraçãoExcluindo uma política de configuração

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando a configuração de contas de membros em uma AWS organização

O administrador delegado de uma AWS organização pode configurar recursos de segurança em todas as contas e regiões dos membros. Há dois tipos de configurações disponíveis: políticas e implantações. As políticas geram políticas de AWS Organizations para contas e regiões para o AWS Security Hub e o Amazon Inspector. As implantações são uma ação única para habilitar um recurso de segurança em contas e regiões selecionadas para o Amazon GuardDuty e o AWS Security Hub CSPM. Ao contrário das políticas, você não pode visualizar ou editar implantações e as implantações não se aplicarão às contas recém-ativadas. Como alternativa, recursos de ativação automática para novas contas de membros estão disponíveis no Amazon GuardDuty e no AWS Security Hub CSPM.

Catálogo de configurações do Security Hub

O catálogo de configuração do Security Hub oferece várias opções para ajudar a configurar as contas AWS da sua organização para os recursos de segurança fornecidos pelo.

A seguir estão as opções disponíveis no catálogo de configuração do Security Hub.

Security Hub (recursos essenciais e adicionais)

Essa é a configuração recomendada para implantação no Security Hub.

Tipo: Política e implantações

Descrição: Essa configuração ativa os recursos essenciais de gerenciamento de segurança, gerenciamento de postura, análise de ameaças e gerenciamento de vulnerabilidades do Security Hub. Opcionalmente, ele ativa recursos adicionais.

Análise de ameaças da GuardDuty

Tipo: Implantação

Descrição: Ative os GuardDuty recursos selecionados da Amazon para monitorar, analisar e processar continuamente fontes de AWS dados e registros em seu AWS ambiente.

Gerenciamento de postura do AWS Security Hub (CSPM)

Tipo: Implantação

Descrição: Essa configuração ativa os padrões e controles do Security Hub CSPM, que detectam quando suas AWS contas e recursos se desviam das melhores práticas de segurança.

Gestão de vulnerabilidades do Amazon Inspector

Tipo: Política

Descrição: Essa configuração ativa recursos selecionados do Amazon Inspector que descobrem automaticamente cargas de trabalho, instâncias, imagens de contêineres, etc., e os escaneia em busca de vulnerabilidades e exposição da rede.

Habilitando uma configuração com um tipo de política

O procedimento a seguir descreve como criar uma configuração com um tipo de política para as contas AWS da sua organização. Para criar uma política de configuração, a política do administrador delegado precisa ser criada na conta de gerenciamento da AWS organização. Para obter informações sobre como criar a política de administrador delegado no Security Hub, consulte Criação da política de administrador delegado no Security Hub.

Para criar uma política que habilite e desabilite contas de membro

  1. Faça login usando sua AWS conta com suas credenciais de administrador delegado. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. No painel de navegação, escolha Gerenciamento e, em seguida, selecione Configurações.

  3. Escolha um item com um tipo de política ou política e implantação no catálogo de configuração. Para configurar totalmente o Security Hub, é recomendável escolher o Security Hub (recursos essenciais e adicionais).

  4. Na página Configurar o Security Hub, na seção Detalhes, insira um nome e uma descrição para a política.

  5. Na seção Capacidades de segurança, faça o seguinte:

    1. (Opção 1) Escolha Ativar todos os recursos. Isso ativará todos os recursos essenciais do Security Hub, a análise de ameaças e recursos adicionais.

    2. (Opção 2) Escolha Personalizar recursos. Selecione a análise de ameaças e os recursos adicionais que devem ser ativados. Você não pode desmarcar nenhum recurso que faça parte dos recursos essenciais do plano do Security Hub.

  6. Na seção Seleção de conta, selecione uma das opções a seguir. Escolha Todas as unidades organizacionais e contas se quiser aplicar a configuração a todas as unidades organizacionais e contas. Escolha Unidades organizacionais e contas específicas se quiser aplicar a configuração a contas e unidades organizacionais específicas. Se você escolher essa opção, use a barra de pesquisa ou a árvore da estrutura organizacional para especificar as unidades organizacionais e as contas nas quais a política será aplicada. Escolha Nenhuma unidade organizacional ou conta se não quiser aplicar a configuração a nenhuma unidade organizacional ou conta.

  7. Na seção Regiões, escolha Ativar todas as regiões, Desativar todas as regiões ou Especificar regiões. Se você escolher Habilitar todas as regiões, poderá determinar se deseja habilitar automaticamente novas regiões. Se você escolher Desabilitar todas as regiões, poderá determinar se deseja desabilitar automaticamente novas regiões. Se você escolher Especificar regiões, deverá escolher quais regiões deseja habilitar e desabilitar.

  8. (Opcional) Para configurações avançadas, consulte as orientações do AWS Organizations.

  9. (Opcional) Para tags de recursos, adicione tags como pares de valores-chave para ajudá-lo a identificar facilmente a configuração.

  10. Escolha Próximo.

  11. Confira suas alterações e, em seguida, escolha Aplicar. Suas contas de destino são configuradas com base na política. O status da configuração da sua política será exibido na parte superior da página Políticas. Cada recurso fornecerá um status sobre se ele foi configurado ou onde há falhas de implantação. Para qualquer falha, clique no link da mensagem de falha para ver mais detalhes. Para ver a política efetiva em nível da conta, é possível analisar a guia Organização na página Configurações, onde é possível escolher uma conta.

Habilitando uma configuração com um tipo de implantação

O procedimento a seguir descreve como criar uma configuração com um tipo de implantação para as contas AWS da sua organização.

Para criar uma implantação que habilite e desabilite contas de membros

  1. Faça login usando sua AWS conta com suas credenciais de administrador delegado. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. No painel de navegação, escolha Gerenciamento e, em seguida, selecione Configurações.

  3. Escolha um item com um tipo de implantação no catálogo de configuração. Para configurar totalmente o Security Hub, é recomendável escolher o Security Hub (recursos essenciais e adicionais).

  4. Na seção Recursos de segurança, selecione os recursos de segurança que devem ser ativados.

  5. Na seção Seleção de conta, selecione uma das opções a seguir. Escolha Todas as unidades organizacionais e contas se quiser aplicar a configuração a todas as unidades organizacionais e contas. Escolha Unidades organizacionais e contas específicas se quiser aplicar a configuração a contas e unidades organizacionais específicas. Se você escolher essa opção, use a barra de pesquisa ou a árvore da estrutura organizacional para especificar as unidades organizacionais e as contas nas quais a política será aplicada. Escolha Nenhuma unidade organizacional ou conta se não quiser aplicar a configuração a nenhuma unidade organizacional ou conta.

  6. Na seção Regiões, escolha Ativar todas as regiões, Desativar todas as regiões ou Especificar regiões. Se você escolher Habilitar todas as regiões, poderá determinar se deseja habilitar automaticamente novas regiões. Se você escolher Desabilitar todas as regiões, poderá determinar se deseja desabilitar automaticamente novas regiões. Se você escolher Especificar regiões, deverá escolher quais regiões deseja habilitar e desabilitar.

  7. Selecione Configurar.

Editando uma política de configuração

Você pode editar os recursos, regiões e contas associados às configurações que têm um tipo de política.

A seguir, descrevemos como editar uma política de configuração no Security Hub

Para criar, editar uma política de configuração

  1. Faça login usando sua AWS conta com suas credenciais de administrador delegado. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. No painel de navegação, escolha Gerenciamento e, em seguida, selecione Configurações.

  3. Na guia Políticas configuradas, selecione o botão de rádio da política que você deseja editar. Escolha a opção Editar.

  4. Para fazer alterações na seção Seleção de conta, selecione uma das opções a seguir. Escolha Todas as unidades organizacionais e contas se quiser aplicar a configuração a todas as unidades organizacionais e contas. Escolha Unidades organizacionais e contas específicas se quiser aplicar a configuração a contas e unidades organizacionais específicas. Se você escolher essa opção, use a barra de pesquisa ou a árvore da estrutura organizacional para especificar as unidades organizacionais e as contas nas quais a política será aplicada. Escolha Nenhuma unidade organizacional ou conta se não quiser aplicar a configuração a nenhuma unidade organizacional ou conta.

  5. Para fazer alterações na seção Regiões, escolha Ativar todas as regiões, Desativar todas as regiões ou Especificar regiões. Se você escolher Habilitar todas as regiões, poderá determinar se deseja habilitar automaticamente novas regiões. Se você escolher Desabilitar todas as regiões, poderá determinar se deseja desabilitar automaticamente novas regiões. Se você escolher Especificar regiões, deverá escolher quais regiões deseja habilitar e desabilitar.

  6. Escolha Próximo.

  7. Reveja as alterações e escolha Update (Atualizar). Suas contas de destino são configuradas com base na política.

Excluindo uma política de configuração

Você pode excluir a configuração de que você tem um tipo de política. Quando você exclui uma política, todas as contas e unidades organizacionais anexadas serão removidas da política.

A seguir, descrevemos como excluir uma política de configuração no Security Hub.

Para criar, excluir uma política de configuração

  1. Faça login usando sua AWS conta com suas credenciais de administrador delegado. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. No painel de navegação, escolha Gerenciamento e, em seguida, selecione Configurações.

  3. Na guia Políticas configuradas, selecione o botão de rádio da política que você deseja editar. Escolha o botão Delete (Excluir) .

  4. Digite delete na caixa de confirmação. Escolha a opção Excluir.