自定义控制参数 - Amazon Security Hub
自定义控制参数的工作原理自定义控制参数检查控制参数的状态查看控制参数恢复为默认控制参数值支持自定义参数的控件
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自定义控制参数

某些 Security Hub 控件使用的参数会影响控件的评估方式。通常,此类控件是根据 Security Hub 定义的默认参数值进行评估的。但是,对于这些控件的子集,您可以自定义参数值。当您为控件自定义参数值时,Security Hub 会开始根据您指定的值评估控件。如果控件底层的资源满足自定义值,Security Hub 会生成 PASSED 调查发现。如果资源不满足自定义值,Security Hub 会生成 FAILED 调查发现。

通过自定义控制参数,您可以优化 Security Hub 推荐和监控的安全最佳实践,使其符合您的业务需求和安全期望。您可以自定义控件的一个或多个参数以获得符合您安全需求的调查发现,而不是隐藏控件的调查发现。

以下是一些自定义控制参数的示例用例:

  • [CloudWatch.16]- CloudWatch 日志组应在指定的时间段内保留

    您可以指定保留期限。

  • [IAM.7]—IAM 用户的密码策略应具有可靠的配置

    您可以指定与密码强度相关的参数。

  • [EC2.18]—安全组应只允许来自授权端口的不受限制的传入流量

    您可以指定哪些端口有权允许不受限制的传入流量。

  • [Lambda.5]—VPC Lambda 函数应在多个可用区内运行

    您可以指定生成通过的调查发现的可用区的最小数量。

本部分介绍如何自定义和管理控制参数。

自定义控制参数的工作原理

一个控件可以有一个或多个可自定义的参数。单个控制参数可能具有的数据类型包括:

  • 布尔值

  • Double

  • 枚举

  • EnumList

  • 整数

  • IntegerList

  • String

  • StringList

对于某些控件,可接受的参数值还必须介于指定范围之内才有效。在这些情况下,Security Hub 会提供可接受的范围。

Security Hub 会选择默认参数值,并且可能偶尔会对其进行更新。自定义控制参数后,除非您对其值进行更改,否则它会一直为您为该参数指定的值。也就是说,即使该参数的自定义值与 Security Hub 定义的当前默认值匹配,该参数也不会再跟踪对默认 Security Hub 值的更新。以下是控件 [ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订的示例:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

在前面的示例中,daysToExpiration 参数的自定义值为 30。此参数的当前默认值也可以是 30。如果 Security Hub 将默认值更改为 14,则此示例中的参数将不会跟踪该更改。它将保留值 30

如果要跟踪对某参数的默认 Security Hub 值的更新,请将 ValueType 字段设置为 DEFAULT,而不是 CUSTOM。有关更多信息,请参阅 在单个账户和区域中恢复为默认参数值

更改参数值后,还会触发新的安全检查,根据新值对控件进行评估。然后,Security Hub 会根据新值生成新的控件调查发现。在定期更新控件调查发现期间,Security Hub 也会使用新的参数值。如果您更改了控件的参数值,但尚未启用任何包含该控件的标准,则 Security Hub 不会使用新值进行任何安全检查。您必须至少启用一个相关标准,Security Hub 才能根据新的参数值评估控件。

自定义参数值会应用于您启用的各种标准。您无法为当前区域不支持的控件自定义参数。有关各个控件的区域限制列表,请参阅对控件的区域限制

自定义控制参数

自定义控制参数的说明因您是否使用中心配置而异。中央配置是一项功能,委派的 Security Hub 管理员可以使用它来跨 Amazon Web Services 区域其组织中的账户和组织单位 (OU) 管理 Security Hub 功能。

如果您的组织使用中心配置,则委托管理员可以创建包含自定义控制参数的配置策略。这些策略可以与集中管理的成员账户和 OU 关联,并且在您的主区域和所有关联的区域生效。委托管理员还可以将一个或多个账户指定为自行管理,这允许账户所有者在每个区域中单独配置自己的参数。如果您的组织不使用中心配置,则必须在每个账户和区域中分别自定义控制参数。

为多个账户和区域自定义控制参数

使用中心配置时,您可以为多个账户和区域的集中管理账户和 OU 自定义控制参数。我们建议使用中心配置,因为它允许您在组织的不同部门之间调整控制参数值。例如,您的所有测试账户都可能使用特定的参数值,而所有生产账户使用的可能是不同的值。

如果您是使用中心配置的组织的委托 Security Hub 管理员,请选择您的首选方法,然后按照步骤自定义多个账户和区域之间的控制参数。

Security Hub console
要在多个账户和区域中自定义控制参数

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

    确保您已登录到主区域。

  2. 在导航窗格中,选择设置配置

  3. 选择策略选项卡。

  4. 要创建包含自定义参数的新配置策略,请选择创建策略。要在现有配置策略中指定自定义参数,请选择策略,然后选择编辑

    要使用自定义参数创建新的配置策略

    1. 自定义策略部分,选择要启用的安全标准和控件。

    2. 选择自定义控制参数

    3. 选择一个控件,然后为一个或多个参数指定自定义值。

    4. 要自定义更多控件的参数,请选择自定义其他控件

    5. 账户部分,选择要对其应用策略的账户或组织单元。

    6. 选择下一步

    7. 选择创建策略并应用。此操作将覆盖您的主区域和所有关联区域中与此配置策略关联的账户和 OU 的现有配置设置。可以通过直接应用或从父级继承来将账户和 OU 与配置策略相关联。

    要在现有配置策略中添加或编辑自定义参数

    1. 控制部分的自定义策略下,指定所需的新自定义参数值。

    2. 如果这是您第一次自定义此策略中的控制参数,请选择自定义控制参数,然后选择要自定义的控件。要自定义更多控件的参数,请选择自定义其他控件

    3. 账户部分,验证您要对其应将策略的账户或 OU。

    4. 选择下一步

    5. 再次检查您的更改,确认正确无误。完成后,选择保存策略并应用。此操作将覆盖您的主区域和所有关联区域中与此配置策略关联的账户和 OU 的现有配置设置。可以通过直接应用或从父级继承来将账户和 OU 与配置策略相关联。

Security Hub API

要在多个账户和区域中自定义控制参数

要使用自定义参数创建新的配置策略

  1. 从主区域的委托管理员账户调用 CreateConfigurationPolicy API。

  2. 对于 SecurityControlCustomParameters 对象,请提供要自定义的每个控件的标识符。

  3. 对于 Parameters 对象,请提供要自定义的每个参数的名称。对于您自定义的每个参数,请提供 CUSTOM 作为 ValueType 的值。对于 Value,请提供参数的数据类型和自定义值。当 ValueType 的值为 CUSTOM 时,该 Value 字段不能为空。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。通过调用 GetSecurityControlDefinition API,您可以找到控件支持的参数、数据类型和有效值。

要在现有配置策略中添加或编辑自定义参数

  1. 从主区域的委托管理员账户调用 UpdateConfigurationPolicy API。

  2. 对于 Identifier 字段,提供要更新配置策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 SecurityControlCustomParameters 对象,请提供要自定义的每个控件的标识符。

  4. 对于 Parameters 对象,请提供要自定义的每个参数的名称。对于您自定义的每个参数,请提供 CUSTOM 作为 ValueType 的值。对于 Value,请提供参数的数据类型和自定义值。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。通过调用 GetSecurityControlDefinition API,您可以找到控件支持的参数、数据类型和有效值。

创建新配置策略的 API 请求示例:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
Amazon CLI

要在多个账户和区域中自定义控制参数

要使用自定义参数创建新的配置策略

  1. 从主区域的委托管理员账户运行 create-configuration-policy 命令。

  2. 对于 SecurityControlCustomParameters 对象,请提供要自定义的每个控件的标识符。

  3. 对于 Parameters 对象,请提供要自定义的每个参数的名称。对于您自定义的每个参数,请提供 CUSTOM 作为 ValueType 的值。对于 Value,请提供参数的数据类型和自定义值。当 ValueType 的值为 CUSTOM 时,该 Value 字段不能为空。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。通过运行 get-security-control-definition 命令,您可以找到控件支持的参数、数据类型和有效值。

要在现有配置策略中添加或编辑参数

  1. 要在现有配置策略中添加或更新自定义输入参数,请从主区域的委托管理员账户运行 update-configuration-policy 命令。

  2. 对于 identifier 字段,提供要更新策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 SecurityControlCustomParameters 对象,请提供要自定义的每个控件的标识符。

  4. 对于 Parameters 对象,请提供要自定义的每个参数的名称。对于您自定义的每个参数,请提供 CUSTOM 作为 ValueType 的值。对于 Value,请提供参数的数据类型和自定义值。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。通过运行 get-security-control-definition 命令,您可以找到控件支持的参数、数据类型和有效值。

创建新配置策略的命令示例:

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": "Integer": 15}}}]}}}'

在单个账户和区域中自定义控制参数

如果您不使用中心配置,或拥有自行管理账户,则可以一次在一个区域内为账户自定义控制参数

选择您的首选方法,然后按照步骤自定义控制参数。您的更改仅适用于当前区域中的账户。要自定义其他区域中的控制参数,请在要自定义参数的每个其他账户和区域中重复以下步骤。同一个控件可以在不同的区域中使用不同的参数值。

Security Hub console
要在一个账户、一个区域中自定义控制参数

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择控件。在表中,选择支持自定义参数且想要更改其参数的控件。自定义参数列指示哪些控件支持自定义参数。

  3. 在控件的详细信息页面上,选择参数选项卡,然后选择编辑

  4. 指定所需的参数值。

  5. 或者,在更改原因部分中,选择自定义参数的原因。

  6. 选择保存

Security Hub API
要在一个账户、一个区域中自定义控制参数

  1. 调用 UpdateSecurityControl API。

  2. 对于 SecurityControlId,请提供要自定义的控件的 ID。

  3. 对于 Parameters 对象,请提供要自定义的每个参数的名称。对于您自定义的每个参数,请提供 CUSTOM 作为 ValueType 的值。对于 Value,请提供参数的数据类型和自定义值。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。通过调用 GetSecurityControlDefinition API,您可以找到控件支持的参数、数据类型和有效值。

  4. (可选)对于 LastUpdateReason,提供自定义控制参数的理由。

API 请求示例

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 15
            }
        }
    },
    "LastUpdateReason": "Internal compliance requirement"
}
Amazon CLI
要在一个账户、一个区域中自定义控制参数

  1. 运行 update-security-control 命令。

  2. 对于 security-control-id,请提供要自定义的控件的 ID。

  3. 对于 parameters 对象,请提供要自定义的每个参数的名称。对于您自定义的每个参数,请提供 CUSTOM 作为 ValueType 的值。对于 Value,请提供参数的数据类型和自定义值。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。通过运行 get-security-control-definition 命令,您可以找到控件支持的参数、数据类型和有效值。

  4. (可选)对于 last-update-reason,提供自定义控制参数的理由。

命令示例:

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}' \
--last-update-reason "Internal compliance requirement"

检查控制参数的状态

验证和检查控制参数变更的状态很重要。这有助于确保控件按预期运行,并达到预期的安全值。要验证参数更新是否成功,您可以在 Security Hub 控制台上查看控件的详细信息。在控制台上,选择控件以显示其详细信息。参数选项卡将显示参数更改的状态。

以编程方式说明的话,如果您更新参数的请求有效,则作为对 BatchGetSecurityControls 操作的响应,字段 UpdateStatus 的值将为 UPDATING。这意味着更新有效,但您的调查发现可能还不包括更新后的参数值。当 UpdateState 的值更改为 READY 时,您的调查发现将开始包含更新后的参数值。

UpdateSecurityControl 操作返回无效参数值的 InvalidInputException 响应。该响应提供关于失败原因的其他详细信息。例如,您指定的值可能超出了参数的有效范围。或者,您指定的值没有使用正确的数据类型。请使用有效的输入再次提交您的请求。如果参数更新失败,Security Hub 会保留该参数的当前值。

如果您尝试更新参数值时出现内部故障,如果您已 Amazon Config 启用,Security Hub 会自动重试。有关更多信息,请参阅 正在配置 Amazon Config

查看控制参数

您可以查看账户中各个控制参数的当前值。如果您使用中心配置,则委托 Security Hub 管理员还可以查看配置策略中指定的参数值。

选择您的首选方法,然后按照以下步骤查看当前控制参数值。

Security Hub console
要查看当前参数值

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择控件。选择控件。

  3. 选择参数选项卡。此选项卡显示控件的当前参数值。

Security Hub API

要查看当前参数值

调用 BatchGetSecurityControls API,并提供一个或多个安全控件 ID 或 ARN。响应中的 Parameters 对象显示指定控件的当前参数值。

API 请求示例

{
    "SecurityControlIds": ["APIGateway.1", "CloudWatch.15", "IAM.7"]
}
Amazon CLI

要查看当前参数值

运行 batch-get-security-controls 命令,并提供一个或多个安全控件 ID 或 ARN。响应中的 Parameters 对象显示指定控件的当前参数值。

命令示例:

$ aws securityhub batch-get-security-controls \
--region us-east-1 \
--security-control-ids '["APIGateway.1", "CloudWatch.15", "IAM.7"]'

选择您的首选方法以查看中心配置策略中的当前参数值。

Security Hub console
要查看配置策略中的当前参数值

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 策略选项卡上,选择配置策略,然后选择查看详细信息。然后将显示策略详细信息,包括当前参数值。

Security Hub API
要查看配置策略中的当前参数值

  1. 从主区域的委托管理员账户调用 GetConfigurationPolicy API。

  2. 提供您要查看其详细信息的配置策略的 ARN 或 ID。响应包含当前参数值。

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
Amazon CLI
要查看配置策略中的当前参数值

  1. 从主区域的委托管理员账户运行 get-configuration-policy 命令。

  2. 提供您要查看其详细信息的配置策略的 ARN 或 ID。响应包含当前参数值。

$ aws securityhub get-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

您的控件调查发现还会显示当前的参数值。在 Amazon 安全调查结果格式 (ASFF) 语法中,这些值出现在 Compliance 对象的 Parameters 字段中。要在 Security Hub 上查看调查发现,在导航窗格中选择调查发现。要以编程方式查看调查发现,请使用 GetFindings 操作。

注意

自定义控制参数功能发布后,Security Hub 将更新现有控件调查发现以包含 Parameters ASFF 字段。这最多需要 24 小时。

恢复为默认控制参数值

控制参数可以具有 Security Hub 定义的默认值。我们可能会更新参数的默认值,以反映不断演变的安全最佳实践。如果您还没有为控制参数指定自定义值,则该控件会自动跟踪这些更新并使用新的默认值。

您可以恢复为使用控件的默认参数值。如何执行此操作取决于您是否使用中心配置。

注意

并非所有控制参数都有默认的 Security Hub 值。在此类情况下,当 ValueType 的值设定为 DEFAULT 时,Security Hub 不会使用特定的默认值。Security Hub 会在没有自定义值的情况下,忽略该参数。

在多个账户和区域中恢复为默认参数值

如果您使用中心配置,则可以恢复多个账户和区域中集中管理的账户和 OU 的控制参数。

选择您的首选方法,然后按照以下步骤,使用中心配置在多个账户和区域中恢复为默认参数值。

Security Hub console
要在多个账户和区域中恢复为默认参数值

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择策略选项卡。

  4. 选择一个策略,然后选择编辑

  5. 自定义策略下,控件部分显示了您为其指定自定义参数的控件列表。

  6. 找到具有一个或多个要恢复的参数值的控件。然后,选择删除以恢复为默认值。

  7. 账户部分,验证您要对其应将策略的账户或 OU。

  8. 选择下一步

  9. 再次检查您的更改,确认正确无误。完成后,选择保存策略并应用。此操作将覆盖您的主区域和所有关联区域中与此配置策略关联的账户和 OU 的现有配置设置。可以通过直接应用或从父级继承来将账户和 OU 与配置策略相关联。

Security Hub API
要在多个账户和区域中恢复为默认参数值

  1. 从主区域的委托管理员账户调用 UpdateConfigurationPolicy API。

  2. 对于 Identifier 字段,提供要更新策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 SecurityControlCustomParameters 对象,请提供要为其恢复一个或多个参数的每个控件的标识符。

  4. Parameters 对象中,为要恢复的每个参数提供 DEFAULT 作为 ValueType 字段的值。当 ValueType 设置为 DEFAULT 时,无需为该 Value 字段提供值。如果您的请求中包含了值,Security Hub 会将其忽略。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。

警告

如果在 SecurityControlCustomParameters 字段中省略控件对象,Security Hub 会将该控件的所有自定义参数恢复为其默认值。SecurityControlCustomParameters 的列表完全为空会将所有控件的自定义参数恢复为其默认值。

API 请求示例

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Name": "TestConfigurationPolicy",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Revert ACM.1 parameter to default value",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"},
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"} 
                ],
             "SecurityControlsConfiguration": {
                "DisbledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "DEFAULT"
                             }
                         }
                    }
                ]
             }
        }
    }
}
Amazon CLI
要在多个账户和区域中恢复为默认参数值

  1. 从主区域的委托管理员账户运行 update-configuration-policy 命令。

  2. 对于 identifier 字段,提供要更新策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 SecurityControlCustomParameters 对象,请提供要为其恢复一个或多个参数的每个控件的标识符。

  4. Parameters 对象中,为要恢复的每个参数提供 DEFAULT 作为 ValueType 字段的值。当 ValueType 设置为 DEFAULT 时,无需为该 Value 字段提供值。如果您的请求中包含了值,Security Hub 会将其忽略。如果您的请求省略了控件支持的参数,则该参数将保留其当前值。

警告

如果在 SecurityControlCustomParameters 字段中省略控件对象,Security Hub 会将该控件的所有自定义参数恢复为其默认值。SecurityControlCustomParameters 的列表完全为空会将所有控件的自定义参数恢复为其默认值。

命令示例:

$ aws securityhub create-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--name "TestConfigurationPolicy" \
--description "Updated configuration policy" \
--updated-reason "Revert ACM.1 parameter to default value"
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "DEFAULT"}}}]}}}'

在单个账户和区域中恢复为默认参数值

如果您不使用中心配置或拥有自行管理账户,则可以恢复为每次在一个区域中使用账户的默认参数值。

选择您的首选方法,然后按照以下步骤在单个区域中将您的账户恢复为默认参数值。要在其他区域中恢复为默认参数值,请在每个其他区域中重复这些步骤。

注意

如果您禁用 Security Hub,则您的自定义控制参数将被重置。如果您将来再次启用 Security Hub,则所有控件最开始都将使用默认参数值。

Security Hub console
要在一个账户和区域中恢复为默认参数值

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择控件。选择要恢复为默认值的参数。

  3. Parameters 选项卡上,选择控制参数旁边的自定义。然后,选择删除自定义。此参数现在使用默认的 Security Hub 值,并会跟踪未来的默认值更新。

  4. 对要恢复的每个参数值重复上述步骤。

Security Hub API
要在一个账户和区域中恢复为默认参数值

  1. 调用 UpdateSecurityControl API。

  2. 对于 SecurityControlId,请提供要恢复其参数的控件的 ARN 或 ID。

  3. Parameters 对象中,为要恢复的每个参数提供 DEFAULT 作为 ValueType 字段的值。当 ValueType 设置为 DEFAULT 时,无需为该 Value 字段提供值。如果您的请求中包含了值,Security Hub 会将其忽略。

  4. (可选)对于 LastUpdateReason,提供恢复为默认参数值的原因。

API 请求示例

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "DEFAULT"
        },
    "LastUpdateReason": "New internal requirement"
}
Amazon CLI
要在一个账户和区域中恢复为默认参数值

  1. 运行 update-security-control 命令。

  2. 对于 security-control-id,请提供要恢复其参数的控件的 ARN 或 ID。

  3. parameters 对象中,为要恢复的每个参数提供 DEFAULT 作为 ValueType 字段的值。当 ValueType 设置为 DEFAULT 时,无需为该 Value 字段提供值。如果您的请求中包含了值,Security Hub 会将其忽略。

  4. (可选)对于 last-update-reason,提供恢复为默认参数值的原因。

命令示例:

$ aws securityhub update-security-control \
--region us-east-1 \
--security-control-id ACM.1 \
--parameters '{"daysToExpiration": {"ValueType": "DEFAULT"}}' \
--last-update-reason "New internal requirement"

支持自定义参数的控件

有关支持自定义参数的安全控件列表,您可以参阅 Security Hub 控制台上的控件页面或 Security Hub 控件参考。要以编程方式检索此列表,您可以使用 ListSecurityControlDefinitions 操作。在响应中,CustomizableProperties 对象指示哪些控件支持可自定义的参数。