禁用或启用安全标准 - Amazon Security Hub
自动启用的安全标准禁用安全标准启用安全标准
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用或启用安全标准

您可以在 Security Hub 中禁用或启用每种支持的安全标准。默认情况下,某些安全标准处于启用状态,但您可以选择退出自动启用的标准。

Security Hub 是区域性的。启用或禁用安全标准时,仅在当前区域或您指定的区域中启用或禁用该标准。

在您禁用Security 标准时,会发生以下情况:

  • 不再对其控制进行检查。

  • 没有为其控制生成其他调查结果。

  • 现有发现将在三到五天后自动存档(请注意,这是尽力而为,不能保证)。

  • 相关的Amazon ConfigSecurity Hub 创建的规则已被删除。

    这通常在您禁用标准后的几分钟内发生,但可能需要更长的时间。

    如果第一次请求删除Amazon Config规则失败,然后 Security Hub 每 12 小时重试一次。但是,如果您禁用了 Security Hub 或者没有启用任何其他标准,则 Security Hub 将无法重试请求,这意味着它无法删除Amazon Config规则。如果发生这种情况,你需要Amazon Config规则已删除,联系Amazon Web Services Support.

在启用任何Security 标准之前,请确保您已启用Amazon Config并配置了资源记录。请参阅 启用和配置Amazon Config

在启用安全标准时,将默认启用该标准的所有控制。然后,您可以禁用各个控制。请参阅 禁用和启用各项控制

启用 Security Hub 后,Security Hub 会在您首次访问标准后的 30 分钟内计算出标准的初始安全分数摘要页面或保安标准Security Hub 控制台上的页面。只有在您访问这些页面时启用的标准才会生成分数。此外,Amazon Config必须配置资源录制才能显示分数。首次生成分数后,Security Hub 每 24 小时更新一次安全分数。Security Hub 显示时间戳以指示上次更新安全分数的时间。要查看当前启用的标准列表,请使用GetEnabledStandardsAPI 操作。

注意

在中国区域,生成首次Security security security ef (中国区域) 最长可能需要 24 小时才能生成Amazon GovCloud (US) Region.

自动启用的安全标准

Security Hub 会自动为新账户启用默认安全标准。此外,如果您使用集成Amazon Organizations,Security Hub 会自动为新成员账户启用默认安全标准。您可以选择自动启用的标准。

目前,自动启用的默认安全标准是Amazon基础安全最佳实践 (FSBP) 标准和互联网安全中心 (CIS) v1.2.0Amazon基金会基准测试。

选择退出自动启用的标准

以下退出步骤仅在您使用与的集成时才适用Amazon Organizations. 如果您不使用此集成,则可以在首次启用 Security Hub 时选择退出默认标准,也可以按照以下步骤操作禁用标准.

选择退出自动启用标准(控制台)

  1. 打开Amazon Security Hub控制台位于https://console.aws.amazon.com/securityhub/.

  2. 登录到管理员账户。

  3. 在 Security Hub 中,选择设置.

  4. 账户选项卡,关闭自动使能.

要选择退出自动启用的标准(Security Hub API),Amazon CLI)

  • SSecurity Hub— 使用UpdateOrganizationConfiguration操作来自Security Hub 操作。的默认值AutoEnabledStandards参数等于DEFAULT. 要在新成员账户中选择不使用自动启用的标准,请设置AutoEnableStandards等于NONE.

  • Amazon CLI— 在命令行处,运行update-organization-configuration命令。

    aws securityhub update-organization-configuration --auto-enable-standards

禁用安全标准

Security standards (安全标准) 页面上,每个启用的标准包含禁用该标准的选项。请按照以下步骤禁用标准。

要禁用Security 标准(控制台)

  1. 打开Amazon Security Hub控制台位于https://console.aws.amazon.com/securityhub/.

  2. 确认您正在要禁用标准的区域中使用 Security Hub。

  3. 在 Security Hub 中,选择保安标准.

  4. 对于要禁用的标准,请选择 Disable (禁用)

要禁用安全标准(Security Hub API),Amazon CLI)

  • SSecurity Hub— 使用BatchDisableStandards操作。对于要禁用的每个标准,您需要提供该标准的订阅的 ARN。要获取已启用标准的订阅 ARN,请使用GetEnabledStandards操作。

  • Amazon CLI— 在命令行处,运行batch-disable-standards命令。

    aws securityhub batch-disable-standards --standards-subscription-arns <subscription ARN>

    示例

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

启用安全标准

Security standards (安全标准) 页面上,每个禁用的标准包含启用该标准的选项。请按照以下步骤操作以启用标准。

启用安全标准(控制台)

  1. 打开Amazon Security Hub控制台位于https://console.aws.amazon.com/securityhub/.

  2. 确认您正在要在其中启用 Security Hub。

  3. 在 Security Hub 中,选择保安标准.

  4. 对于要启用的标准,请选择 Enable (启用)

要启用安全标准(Security Hub API),Amazon CLI)

  • SSecurity Hub— 使用BatchEnableStandards操作。要确定要启用的标准,必须提供标准 ARN。要获取标准 ARN,请使用DescribeStandards操作。

  • Amazon CLI— 在命令行处,运行batch-enable-standards命令。

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "<standard ARN>"}'

    示例

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'