Grundlegendes zu den Steuerparametern in Security Hub CSPM - AWS Security Hub
Auswirkung der Änderung von SteuerparameterwertenSteuerelemente, die benutzerdefinierte Parameter unterstützen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu den Steuerparametern in Security Hub CSPM

Einige Kontrollen in AWS Security Hub Cloud Security Posture Management (CSPM) verwenden Parameter, die beeinflussen, wie die Kontrolle bewertet wird. In der Regel werden solche Kontrollen anhand der von Security Hub CSPM definierten Standardparameterwerte bewertet. Für eine Teilmenge dieser Steuerelemente können Sie die Parameterwerte jedoch ändern. Wenn Sie einen Steuerparameterwert ändern, beginnt Security Hub CSPM, die Steuerung anhand des von Ihnen angegebenen Werts auszuwerten. Wenn die dem Steuerelement zugrunde liegende Ressource den benutzerdefinierten Wert erfüllt, generiert Security Hub CSPM einen Befund. PASSED Wenn die Ressource den benutzerdefinierten Wert nicht erfüllt, generiert Security Hub CSPM einen FAILED Befund.

Durch die Anpassung der Kontrollparameter können Sie die von Security Hub CSPM empfohlenen und überwachten bewährten Sicherheitsmethoden verfeinern, um sie an Ihre Geschäftsanforderungen und Sicherheitserwartungen anzupassen. Anstatt die Ergebnisse einer Kontrolle zu unterdrücken, können Sie einen oder mehrere ihrer Parameter anpassen, um Ergebnisse zu erhalten, die Ihren Sicherheitsanforderungen entsprechen.

Im Folgenden finden Sie einige Anwendungsbeispiele für das Ändern von Steuerparametern und das Festlegen benutzerdefinierter Werte:

  • [CloudWatch.16] — CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

    Sie können den Aufbewahrungszeitraum angeben.

  • [IAM.7] — Passwortrichtlinien für IAM-Benutzer sollten solide Konfigurationen haben

    Sie können Parameter für die Passwortstärke angeben.

  • [EC2.18] — Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen

    Sie können angeben, welche Ports uneingeschränkten eingehenden Verkehr zulassen dürfen.

  • [Lambda.5] — VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren

    Sie können die Mindestanzahl von Availability Zones angeben, die zu einem erfolgreichen Ergebnis führen.

In diesem Abschnitt werden Dinge behandelt, die Sie bei der Änderung von Steuerungsparametern beachten sollten.

Auswirkung der Änderung von Steuerparameterwerten

Wenn Sie einen Parameterwert ändern, lösen Sie auch eine neue Sicherheitsüberprüfung aus, bei der das Steuerelement anhand des neuen Werts bewertet wird. Security Hub CSPM generiert dann neue Kontrollergebnisse auf der Grundlage des neuen Werts. Bei regelmäßigen Updates zur Kontrolle der Ergebnisse verwendet Security Hub CSPM auch den neuen Parameterwert. Wenn Sie Parameterwerte für ein Steuerelement ändern, aber keine Standards aktiviert haben, die das Steuerelement enthalten, führt Security Hub CSPM keine Sicherheitsprüfungen mit den neuen Werten durch. Sie müssen mindestens einen relevanten Standard für Security Hub CSPM aktivieren, um die Kontrolle auf der Grundlage des neuen Parameterwerts auszuwerten.

Ein Steuerelement kann einen oder mehrere anpassbare Parameter haben. Zu den möglichen Datentypen für jeden Steuerparameter gehören die folgenden:

  • Boolesch

  • Double

  • Enum

  • EnumList

  • Ganzzahl

  • IntegerList

  • String

  • StringList

Benutzerdefinierte Parameterwerte gelten für alle Ihre aktivierten Standards. Sie können die Parameter für ein Steuerelement, das in Ihrer aktuellen Region nicht unterstützt wird, nicht anpassen. Eine Liste der regionalen Grenzwerte für einzelne Steuerelemente finden Sie unterRegionale Beschränkungen der Security Hub CSPM-Steuerungen.

Bei einigen Kontrollen müssen akzeptable Parameterwerte in einen bestimmten Bereich fallen, um gültig zu sein. In diesen Fällen bietet Security Hub CSPM den akzeptablen Bereich.

Security Hub CSPM wählt Standardparameterwerte und aktualisiert sie möglicherweise gelegentlich. Nachdem Sie einen Steuerparameter angepasst haben, entspricht sein Wert weiterhin dem Wert, den Sie für den Parameter angegeben haben, sofern Sie ihn nicht ändern. Das heißt, der Parameter stoppt die Nachverfolgung von Aktualisierungen des Security Hub CSPM-Standardwerts, auch wenn der benutzerdefinierte Wert des Parameters mit dem aktuellen, von Security Hub CSPM definierten Standardwert übereinstimmt. Hier ist ein Beispiel für die Steuerung [ACM.1] — Importierte und von ACM ausgestellte Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

Im vorherigen Beispiel hat der daysToExpiration Parameter den benutzerdefinierten Wert. 30 Der aktuelle Standardwert für diesen Parameter ist ebenfalls30. Wenn Security Hub CSPM den Standardwert auf ändert14, verfolgt der Parameter in diesem Beispiel diese Änderung nicht. Er behält den Wert von. 30

Wenn Sie Aktualisierungen des Security Hub CSPM-Standardwerts für einen Parameter verfolgen möchten, setzen Sie das ValueType Feld auf DEFAULT statt auf. CUSTOM Weitere Informationen finden Sie unter Zurücksetzen auf die Standardsteuerungsparameter in einem einzigen Konto und einer Region.

Steuerelemente, die benutzerdefinierte Parameter unterstützen

Eine Liste der Sicherheitskontrollen, die benutzerdefinierte Parameter unterstützen, finden Sie auf der Seite Kontrollen der Security Hub CSPM-Konsole oder unter. Kontrollreferenz für Security Hub CSPM Um diese Liste programmgesteuert abzurufen, können Sie den Vorgang verwenden. ListSecurityControlDefinitions In der Antwort gibt das CustomizableProperties Objekt an, welche Steuerelemente anpassbare Parameter unterstützen.