针对各种标准启用控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

针对各种标准启用控件

我们建议针对所有适用标准启用 Amazon Security Hub 控件。如果开启整合的控件调查发现,那么即使一项控件属于多个标准,您也会收到每项控件检查的调查发现。

在多账户、多区域环境中的跨标准启用

要针对多个 Amazon Web Services 账户 和 Amazon Web Services 区域 启用安全控件,您必须登录委托 Security Hub 管理员账号并使用中心配置

使用中心配置时,委托管理员可以创建 Security Hub 配置策略,这些策略可以跨已启用标准启用指定控件。然后,您可以将配置策略与特定的账户和组织单元(OU)或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。

配置策略可自定义。例如,您可以选择启用一个 OU 中的所有控件,也可以选择在另一个 OU 中仅启用 Amazon Elastic Compute Cloud(EC2)控件。粒度级别取决于您的组织中安全覆盖范围的预期目标。有关创建配置策略(启用不同标准中的指定控件)的说明,请参阅创建和关联配置策略

注意

委托管理员可以创建配置策略来管理除服务托管标准:Amazon Control Tower 之外的所有标准中的控件。应在 Amazon Control Tower 服务中配置该标准的控件。

如果您希望某些账户配置自己的控件而不是委托管理员来配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域中单独配置控件。

单个账户和区域中的跨标准启用

如果您不使用中心配置或是自行管理账户,则无法使用配置策略在多个账户和区域中集中启用控件。但是,您可以使用以下步骤在单个账户和区域中启用控件。

Security Hub console
要在一个账户和区域中启用不同标准中的控件
  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 从导航窗格中选择控件

  3. 选择已禁用选项卡。

  4. 选择控件旁边的选项。

  5. 选择启用控制(对于已启用的控件,此选项不会出现)。

  6. 在您要在其中启用控件的每个区域中重复这些操作。

Security Hub API
要在一个账户和区域中启用不同标准中的控件
  1. 调用 ListStandardsControlAssociations API。提供安全控件 ID。

    请求示例:

    { "SecurityControlId": "IAM.1" }
  2. 调用 BatchUpdateStandardsControlAssociations API。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获取标准 ARN,请运行 DescribeStandards

  3. AssociationStatus 参数设置为等于 ENABLED。如果您对已启用的控件执行以下步骤,则该 API 将返回 HTTP 状态码 200 响应。

    请求示例:

    { "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}] }
  4. 在您要在其中启用控件的每个区域中重复这些操作。

Amazon CLI
要在一个账户和区域中启用不同标准中的控件
  1. 运行 list-standards-control-associations 命令。提供安全控件 ID。

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1
  2. 运行 batch-update-standards-control-associations 命令。提供所有未启用控件的标准的 Amazon 资源名称(ARN)。要获取标准 ARN,请运行 describe-standards 命令。

  3. AssociationStatus 参数设置为等于 ENABLED。如果您对已启用的控件执行这些步骤,该命令将返回 HTTP 状态代码 200 响应。

    aws securityhub --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'
  4. 在您要在其中启用控件的每个区域中重复这些操作。