Compreendendo os parâmetros de controle no Security Hub CSPM - AWS Security Hub
Efeito da modificação dos valores dos parâmetros de controleControles que oferecem suporte a parâmetros personalizados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compreendendo os parâmetros de controle no Security Hub CSPM

Alguns controles no AWS Security Hub Cloud Security Posture Management (CSPM) usam parâmetros que afetam a forma como o controle é avaliado. Normalmente, esses controles são avaliados em relação aos valores de parâmetros padrão que o Security Hub CSPM define. Porém, para um subconjunto desses controles, você pode personalizar os valores dos parâmetros. Quando você modifica um valor de parâmetro de controle, o Security Hub CSPM começa a avaliar o controle em relação ao valor que você especifica. Se o recurso subjacente ao controle satisfizer o valor personalizado, o Security Hub CSPM gerará uma descoberta. PASSED Se o recurso não atender ao valor personalizado, o Security Hub CSPM gerará uma FAILED descoberta.

Ao personalizar os parâmetros de controle, você pode refinar as melhores práticas de segurança recomendadas e monitoradas pelo Security Hub CSPM para se alinharem aos requisitos de sua empresa e às expectativas de segurança. Em vez de suprimir as descobertas de um controle, é possível personalizar um ou mais de seus parâmetros para obter descobertas que atendam às suas necessidades de segurança.

Aqui estão alguns exemplos de casos de uso de modificação de parâmetros de controles e definição de valores personalizados:

  • [CloudWatch.16] — os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

    É possível especificar o período de tempo de retenção.

  • [IAM.7]: as políticas de senha para usuários do IAM devem ter configurações fortes

    É possível especificar parâmetros relacionados à força da senha.

  • [EC2.18] — Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

    É possível especificar quais portas estão autorizadas a permitir tráfego de entrada irrestrito.

  • [Lambda.5]: as funções do Lambda da VPC devem operar em várias zonas de disponibilidade

    É possível especificar o número mínimo de zonas de disponibilidade que produzem uma descoberta aprovada.

Esta seção aborda o que deverá ser considerado quando você modificar os parâmetros de controle.

Efeito da modificação dos valores dos parâmetros de controle

Ao alterar o valor de um parâmetro, você também aciona uma nova verificação de segurança que avaliará o controle com base no novo valor. Em seguida, o Security Hub CSPM gera novas descobertas de controle com base no novo valor. Durante atualizações periódicas para controlar as descobertas, o Security Hub CSPM também usa o novo valor do parâmetro. Se você alterar os valores dos parâmetros de um controle, mas não tiver habilitado nenhum padrão que inclua o controle, o Security Hub CSPM não realizará nenhuma verificação de segurança usando os novos valores. Você precisa habilitar pelo menos um padrão relevante para o Security Hub CSPM avaliar o controle com base no novo valor do parâmetro.

Um controle pode ter um ou mais parâmetros personalizáveis. Os possíveis tipos de dados para cada parâmetro de controle incluem o seguinte:

  • Booleano

  • Duplo

  • Enum

  • EnumList

  • Inteiro

  • IntegerList

  • String

  • StringList

Os valores de parâmetros personalizados se aplicam a todos os padrões habilitados. Você não pode personalizar os parâmetros de um controle que não seja compatível com sua região atual. Para obter uma lista de limites regionais para controles individuais, consulte Limites regionais nos controles CSPM do Security Hub.

Em alguns controles, os valores aceitáveis dos parâmetros devem estar em intervalo especificado para serem válidos. Nesses casos, o Security Hub CSPM fornece o intervalo aceitável.

O Security Hub CSPM escolhe valores de parâmetros padrão e pode ocasionalmente atualizá-los. Depois de personalizar um parâmetro de controle, seu valor continua sendo o valor que você especificou para o parâmetro, a menos que você o altere. Ou seja, o parâmetro interrompe o rastreamento de atualizações no valor CSPM padrão do Security Hub, mesmo que o valor personalizado do parâmetro corresponda ao valor padrão atual definido pelo CSPM do Security Hub. Aqui está um exemplo para o controle [ACM.1]: certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado:

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

No exemplo anterior, o parâmetro daysToExpiration tem um valor personalizado de 30. O valor padrão atual desse parâmetro também é 30. Se o CSPM do Security Hub alterar o valor padrão para14, o parâmetro neste exemplo não rastreará essa alteração. Ele manterá um valor de 30.

Se você quiser rastrear as atualizações do valor CSPM padrão do Security Hub para um parâmetro, defina o ValueType campo como DEFAULT em vez de. CUSTOM Para obter mais informações, consulte Reverter os parâmetros de controles ao padrão em uma única conta e região.

Controles que oferecem suporte a parâmetros personalizados

Para obter uma lista de controles de segurança que oferecem suporte a parâmetros personalizados, consulte a página Controles do console CSPM do Security Hub ou o. Referência de controle para o Security Hub CSPM Para recuperar essa lista programaticamente, é possível usar a operação ListSecurityControlDefinitions. Na resposta, o objeto CustomizableProperties indica quais controles oferecem suporte a parâmetros personalizáveis.