Atualização das políticas de configuração - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualização das políticas de configuração

Depois de criar uma política de configuração, a conta de administrador delegada do AWS Security Hub Cloud Security Posture Management (CSPM) pode atualizar os detalhes da política e as associações de políticas. Quando os detalhes da política são atualizados, as contas associadas à política de configuração começam automaticamente a usar a política atualizada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Entendendo a configuração central no Security Hub CSPM.

O administrador delegado pode atualizar as seguintes configurações de política:

  • Ative ou desative o Security Hub CSPM.

  • Habilitar um ou mais padrões de segurança.

  • Indicar quais controles de segurança estão habilitados dentre todos os padrões habilitados. Você pode fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o Security Hub CSPM desativa todos os outros controles, incluindo novos controles quando eles são lançados. Como alternativa, você pode fornecer uma lista de controles específicos que devem ser desativados, e o Security Hub CSPM habilita todos os outros controles, incluindo novos controles quando eles são lançados.

  • Opcionalmente, personalize os parâmetros para selecionar controles habilitados dentre os padrões habilitados.

Escolha seu método preferido e siga as etapas para atualizar uma política de configuração.

nota

Se você usar a configuração central, o Security Hub CSPM desativará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região de origem. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.

Se um controle ativado que envolve recursos globais não for suportado na região de origem, o Security Hub CSPM tentará habilitar o controle em uma região vinculada onde o controle é suportado. Com a configuração central, você não tem cobertura para um controle que não está disponível na região de origem ou em qualquer uma das regiões vinculadas.

Para obter uma lista dos controles que envolvem recursos globais, consulte Controles que usam recursos globais.

Console
Para atualizar políticas de configuração

  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

    Faça login usando as credenciais da conta delegada de administrador CSPM do Security Hub na região de origem.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas.

  4. Selecione a política de configuração que deseja editar e escolha Editar. Se desejar, edite as configurações da política. Deixe esta seção como está se desejar manter as configurações de políticas inalteradas.

  5. Escolha Avançar. Se desejar, edite as associações de políticas. Deixe esta seção como está se desejar manter as associações de políticas inalteradas. Você pode associar ou desassociar a política a um máximo de 15 alvos (contas ou raiz) ao atualizá-la. OUs

  6. Escolha Próximo.

  7. Revise suas alterações e escolha Salvar e aplicar. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um nó pai.

API
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, invoque a UpdateConfigurationPolicyAPI da conta de administrador delegado CSPM do Security Hub na região de origem.

  2. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

  3. Forneça valores atualizados para os campos sob ConfigurationPolicy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações para essa política de configuração, invoque a StartConfigurationPolicyAssociationAPI da conta de administrador delegado CSPM do Security Hub na região de origem. Para remover uma ou mais associações atuais, invoque a StartConfigurationPolicyDisassociationAPI da conta de administrador delegado CSPM do Security Hub na região de origem.

  5. No campo ConfigurationPolicyIdentifier, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

  6. Para o Target campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

nota

Quando você invoca a UpdateConfigurationPolicy API, o Security Hub CSPM executa uma substituição completa da lista para os EnabledStandardIdentifiers campos, EnabledSecurityControlIdentifiersDisabledSecurityControlIdentifiers, e. SecurityControlCustomParameters Sempre que você invocar essa API, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

Exemplo de solicitação de API para atualizar uma política de configuração:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, execute o update-configuration-policycomando na conta de administrador delegado CSPM do Security Hub na região de origem.

  2. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

  3. Forneça valores atualizados para os campos sob configuration-policy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações para essa política de configuração, execute o start-configuration-policy-associationcomando na conta de administrador delegado CSPM do Security Hub na região de origem. Para remover uma ou mais associações atuais, execute o start-configuration-policy-disassociationcomando na conta de administrador delegado CSPM do Security Hub na região de origem.

  5. No campo configuration-policy-identifier, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

  6. Para o target campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

nota

Quando você executa o update-configuration-policy comando, o Security Hub CSPM executa uma substituição completa da lista dos EnabledSecurityControlIdentifiers camposEnabledStandardIdentifiers,DisabledSecurityControlIdentifiers, e. SecurityControlCustomParameters Sempre que você executar esse comando, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

Exemplo de comando para atualizar uma política de configuração:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

A API StartConfigurationPolicyAssociation retorna um campo chamado AssociationStatus. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. Para obter mais informações sobre status de associações, consulte Revisar o status da associação de uma política de configuração.