As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Padrão gerenciado por serviços: AWS Control Tower
Esta seção fornece informações sobre o Service-Managed Standard:. AWS Control Tower
O que é o padrão gerenciado por serviços:? AWS Control Tower
Padrão gerenciado por serviços: AWS Control Tower é um padrão gerenciado por serviços que AWS Control Tower suporta um subconjunto de controles do Security Hub. Esse padrão foi desenvolvido para usuários do AWS Security Hub CSPM e. AWS Control Tower Ele permite que você configure os controles de detetive do Security Hub CSPM a partir do serviço. AWS Control Tower
Os controles de detetive detectam a não conformidade de recursos (por exemplo, configurações incorretas) em sua Contas da AWS.
dica
Os padrões gerenciados por serviços diferem dos padrões gerenciados pelo AWS Security Hub CSPM. Por exemplo, é necessário criar e excluir um padrão gerenciado por serviço no serviço de gerenciamento. Para obter mais informações, consulte Padrões gerenciados por serviços no CSPM do Security Hub.
Quando você ativa um controle CSPM do Security Hub por meio do AWS Control Tower, o Control Tower também ativa o CSPM do Security Hub para você nessas contas e regiões específicas, se ainda não estiver habilitado. No console e na API do Security Hub CSPM, você pode visualizar o Service-Managed Standard: junto com outros padrões CSPM do AWS Control Tower Security Hub, uma vez que o padrão é ativado a partir de. AWS Control Tower
Para obter mais informações sobre esse padrão, consulte controles do CSPM do Security Hub no Guia do usuário do AWS Control Tower .
Criando o padrão
Esse padrão está disponível no CSPM do Security Hub somente se você habilitar os controles CSPM do Security Hub a partir de. AWS Control Tower AWS Control Tower cria o padrão quando você ativa pela primeira vez um controle aplicável usando um dos seguintes métodos:
-
AWS Control Tower console
-
AWS Control Tower API (chame a
EnableControlAPI) -
AWS CLI (execute o
enable-controlcomando)
Ao habilitar um controle CSPM do Security Hub por meio de AWS Control Tower, se você ainda não tiver habilitado o CSPM do Security Hub, também habilita o CSPM do AWS Control Tower Security Hub para você nessas contas e regiões específicas.
Para identificar um controle CSPM do Security Hub por ID de controle no Catálogo de Controle, você pode usar o campo Implementation.Identifier em. AWS Control Tower Esse campo mapeia para a ID de controle CSPM do Security Hub e pode ser usado para filtrar uma ID de controle específica. Para recuperar metadados de controle para um controle CSPM específico do Security Hub (digamos, "CodeBuild.1") em AWS Control Tower, você pode usar a API: ListControls
aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'
Você não pode visualizar ou acessar esse padrão no console CSPM do Security Hub, na API CSPM do Security Hub ou AWS CLI sem primeiro configurar e habilitar os controles CSPM do AWS Control Tower Security Hub AWS Control Tower usando um dos métodos anteriores.
Esse padrão só está disponível no Regiões da AWS local onde AWS Control Tower está disponível.
Ativando e desativando controles no padrão
Depois de habilitar os controles CSPM do Security Hub AWS Control Tower e criar o padrão Service-Managed AWS Control Tower Standard:, você pode visualizar o padrão e seus controles disponíveis no Security Hub CSPM.
Quando o Security Hub CSPM adiciona novos controles ao Padrão Gerenciado por Serviços: AWS Control Tower padrão, eles não são habilitados automaticamente para clientes que têm o padrão ativado. Você deve ativar e desativar os controles para o formulário padrão AWS Control Tower usando um dos seguintes métodos:
-
AWS Control Tower console
-
AWS Control Tower API (chame o
EnableControleDisableControlAPIs) -
AWS CLI (execute os
disable-controlcomandosenable-controle)
Quando você altera o status de habilitação de um controle em AWS Control Tower, a alteração também é refletida no CSPM do Security Hub.
No entanto, desabilitar um controle no CSPM do Security Hub que está ativado AWS Control Tower resulta em desvio de controle. O status do controle em é AWS Control Tower exibido comoDrifted. Você pode resolver esse desvio usando a ResetEnabledControlAPI para redefinir o controle que está em desvio, selecionando Registrar novamente a OU no AWS Control Tower console ou desativando e reativando o controle AWS Control Tower usando um dos métodos anteriores.
A conclusão das ações de ativação e desativação AWS Control Tower ajuda a evitar desvios de controle.
Quando você ativa ou desativa os controles em AWS Control Tower, a ação se aplica às contas e regiões governadas por AWS Control Tower. Se você ativar e desativar os controles no CSPM do Security Hub (não recomendado para esse padrão), a ação se aplicará somente à conta e à região atuais.
nota
A configuração central não pode ser usada para gerenciar o Service-Managed Standard:. AWS Control Tower Você pode usar somente o AWS Control Tower serviço para ativar e desativar os controles nesse padrão.
Visualizando o status da habilitação e o status do controle
É possível exibir o status de habilitação de um controle usando um dos métodos a seguir:
-
Console CSPM do Security Hub, API CSPM do Security Hub ou AWS CLI
-
AWS Control Tower console
-
AWS Control Tower API para ver uma lista de controles habilitados (chame a
ListEnabledControlsAPI) -
AWS CLI para ver uma lista de controles habilitados (execute o
list-enabled-controlscomando)
Um controle que você desabilita AWS Control Tower tem um status de habilitação no CSPM do Disabled Security Hub, a menos que você habilite explicitamente esse controle no CSPM do Security Hub.
O CSPM do Security Hub calcula o status do controle com base no status do fluxo de trabalho e no status de conformidade das descobertas de controle. Para obter mais informações sobre o status de habilitação e o status de controle, consulte Análise dos detalhes dos controles no CSPM do Security Hub.
Com base nos status de controle, o Security Hub CSPM calcula uma pontuação de segurança para o Service-Managed Standard:. AWS Control Tower Essa pontuação só está disponível no CSPM do Security Hub. Além disso, você só pode visualizar as descobertas de controle no CSPM do Security Hub. A pontuação de segurança padrão e as descobertas de controle não estão disponíveis em AWS Control Tower.
nota
Quando você ativa controles para Service-Managed Standard: AWS Control Tower, o Security Hub CSPM pode levar até 18 horas para gerar descobertas para controles que usam uma regra vinculada ao serviço existente. AWS Config É possível ter regras vinculadas a serviços existentes se tiver habilitado outros padrões e controles no CSPM do Security Hub. Para obter mais informações, consulte Programar a execução de verificações de segurança.
Excluindo o padrão
Você pode excluir esse padrão gerenciado de serviços em AWS Control Tower desativando todos os controles aplicáveis usando um dos seguintes métodos:
-
AWS Control Tower console
-
AWS Control Tower API (chame a
DisableControlAPI) -
AWS CLI (execute o
disable-controlcomando)
A desativação de todos os controles exclui o padrão em todas as contas gerenciadas e regiões governadas no AWS Control Tower. A exclusão do padrão em o AWS Control Tower remove da página Padrões do console CSPM do Security Hub, e você não pode mais acessá-lo usando a API CSPM do Security Hub ou. AWS CLI
nota
Desabilitar todos os controles do padrão no CSPM do Security Hub não desabilita nem exclui o padrão.
A desativação do serviço CSPM do Security Hub remove o Service-Managed Standard: AWS Control Tower e quaisquer outros padrões que você tenha habilitado.
Localizando o formato de campo para o Service-Managed Standard: AWS Control Tower
Ao criar o Service-Managed Standard: AWS Control Tower e habilitar controles para ele, você começará a receber descobertas de controle no Security Hub CSPM. O CSPM do Security Hub relata as descobertas de controle no AWS Formato de descoberta de segurança (ASFF). Esses são os valores ASFF para o nome do recurso da Amazon (ARN) desse padrão e GeneratorId:
-
ARN padrão:
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
Para obter um exemplo de descoberta do Service-Managed Standard: AWS Control Tower, consulte. Exemplos de descobertas de controles
Controles que se aplicam ao padrão gerenciado por serviços: AWS Control Tower
Padrão gerenciado por serviços: AWS Control Tower suporta um subconjunto de controles que fazem parte do padrão AWS Foundational Security Best Practices (FSBP). Escolha um controle para ver informações sobre ele, incluindo etapas de correção para descobertas com falha.
Para ver quais controles CSPM do Security Hub são compatíveis AWS Control Tower, você pode usar um dos seguintes métodos:
-
AWS Console do Control Catalog, onde você pode filtrar por
“Control owner = AWS Security Hub” -
AWS API do Catálogo de Controle (chame a
ListControlsAPI) com filtroImplementationspara verificar seTypeséAWS::SecurityHub::SecurityControl -
AWS CLI (execute o
list-controlscomando) com filtro paraImplementations. Exemplo de comando da CLI:aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'
Os limites regionais nos controles CSPM do Security Hub, quando ativados pelo padrão Control Tower, podem não corresponder aos limites regionais dos controles subjacentes.
No Security Hub CSPM, se as descobertas de controle consolidadas estiverem desativadas em sua conta, o ProductFields.ControlId campo nas descobertas geradas usará o ID de controle baseado em padrão. O ID de controle baseado em padrões é formatado como CT. ControlId(por exemplo, CT. CodeBuild.1).
Para obter mais informações sobre esse padrão, consulte controles do CSPM do Security Hub no Guia do usuário do AWS Control Tower .
