還原至預設控制參數值 - AWS Security Hub
還原至多個帳戶和區域中的預設控制參數還原至單一帳戶和區域中的預設控制參數

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

還原至預設控制參數值

控制參數可以有 AWS Security Hub 定義的預設值。有時,Security Hub 會更新參數的預設值,以反映不斷變化的安全最佳實務。如果您尚未指定控制項參數的自訂值,控制項會自動追蹤這些更新,並使用新的預設值。

您可以還原為使用控制項的預設參數值。還原的指示取決於您是否在 Security Hub 中使用中央組態。中央組態是委派的 Security Hub 管理員可用來設定跨 AWS 區域帳戶和組織單位 (OUs) 的 Security Hub 功能。

注意

並非所有控制參數都有預設的 Security Hub 值。在這種情況下,當 ValueType 設為 時DEFAULT,Security Hub 不會使用特定的預設值。相反地,Security Hub 會在沒有自訂值時忽略 參數。

還原至多個帳戶和區域中的預設控制參數

如果您使用中央組態,則可以還原主區域和連結區域中多個集中受管帳戶和 OUs 的控制參數。

選擇您偏好的方法,然後依照步驟,使用中央組態在多個帳戶和區域之間還原至預設參數值。

Security Hub console
還原至多個帳戶和區域中的預設控制參數值 (主控台)

  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub 主控台。

    使用主要區域中委派 Security Hub 管理員帳戶的登入資料登入。

  2. 在導覽窗格中,選擇設定組態

  3. 選擇 Policies (政策) 標籤。

  4. 選取政策,然後選擇編輯

  5. 自訂政策下,控制項區段會顯示您為其指定自訂參數的控制項清單。

  6. 尋找具有一或多個參數值要還原的控制項。然後,選擇移除以還原到預設值。

  7. 帳戶區段中,驗證您要套用政策的帳戶或 OUs。

  8. 選擇 Next (下一步)

  9. 檢閱您的變更,並確認其正確無誤。完成後,請選擇儲存政策並套用。在您主要區域和所有連結區域中,此動作會覆寫與此組態政策相關聯的帳戶和 OUs的現有組態設定。帳戶和 OUs 可以透過直接應用程式或從父系繼承來與組態政策建立關聯。

Security Hub API
還原至多個帳戶和區域 (API) 中的預設控制參數值

  1. 從主區域中的委派管理員帳戶叫用 UpdateConfigurationPolicy API。

  2. 針對 Identifier 欄位,提供您要更新的政策的 Amazon Resource Name (ARN) 或 ID。

  3. 針對 SecurityControlCustomParameters 物件,提供您要還原一或多個參數之每個控制項的識別符。

  4. Parameters 物件中,針對您要還原的每個參數,DEFAULTValueType 欄位提供 。當 ValueType 設為 時DEFAULT,您不需要為 Value 欄位提供值。如果您的請求中包含值,Security Hub 會忽略該值。如果您的請求省略 控制項支援的參數,則該參數會保留其目前值。

警告

如果您從 SecurityControlCustomParameters 欄位省略控制項物件,Security Hub 會將控制項的所有自訂參數還原為其預設值。的完全空白清單會將所有控制項的自訂參數SecurityControlCustomParameters還原為其預設值。

例如,下列 AWS CLI 命令會將 的daysToExpiration控制參數還原ACM.1為指定組態政策中的預設值。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

還原至單一帳戶和區域中的預設控制參數

如果您不使用中央組態或擁有自我管理帳戶,您可以一次還原為在一個區域中的帳戶使用預設參數值。

選擇您偏好的方法,然後依照步驟還原為單一區域中您帳戶的預設參數值。若要在其他區域中還原為預設參數值,請在每個其他區域中重複這些步驟。

注意

如果您停用 Security Hub,則會重設您的自訂控制參數。如果您未來再次啟用 Security Hub,所有控制項將使用預設參數值來啟動。

Security Hub console
還原至一個帳戶和區域中的預設控制參數值 (主控台)

  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub 主控台。

  2. 在導覽窗格中,選擇控制。選擇您要還原為預設參數值的控制項。

  3. Parameters索引標籤上,選擇控制項參數旁的自訂。然後,選擇移除自訂。此參數現在使用預設 Security Hub 值,並追蹤預設值的未來更新。

  4. 針對您要還原的每個參數值,重複上述步驟。

Security Hub API
還原至一個帳戶和區域 (API) 中的預設控制參數值

  1. 叫用 UpdateSecurityControl API。

  2. 針對 SecurityControlId,提供您要還原其參數之控制項的 ARN 或 ID。

  3. Parameters 物件中,針對您要還原的每個參數,DEFAULTValueType 欄位提供 。當 ValueType 設為 時DEFAULT,您不需要為 Value 欄位提供值。如果您的請求中包含值,Security Hub 會忽略該值。

  4. 或者,對於 LastUpdateReason,提供還原為預設參數值的原因。

例如,下列 AWS CLI 命令會將 的daysToExpiration控制參數還原ACM.1為其預設值。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"