Mengaktifkan Security Hub - AWS Security Hub
Memverifikasi izin yang diperlukanMengaktifkan Security Hub dengan Integrasi OrganizationsMengaktifkan Security Hub secara manualLangkah selanjutnya: Manajemen dan integrasi postur

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan Security Hub

Ada dua cara untuk mengaktifkan AWS Security Hub, dengan mengintegrasikan dengan AWS Organizations atau secara manual.

Kami sangat menyarankan untuk berintegrasi dengan Organizations untuk lingkungan multi-akun dan Multi-wilayah. Jika Anda memiliki akun mandiri, Anda perlu menyiapkan Security Hub secara manual.

Memverifikasi izin yang diperlukan

Setelah mendaftar Amazon Web Services (AWS), Anda harus mengaktifkan Security Hub untuk menggunakan kemampuan dan fitur-fiturnya. Untuk mengaktifkan Security Hub, pertama-tama Anda harus menyiapkan izin yang memungkinkan Anda mengakses konsol dan API operasi Security Hub. Anda atau AWS administrator dapat melakukannya dengan menggunakan AWS Identity and Access Management (IAM) untuk melampirkan kebijakan AWS terkelola yang dipanggil AWSSecurityHubFullAccess ke IAM identitas Anda.

Untuk mengaktifkan dan mengelola Security Hub melalui integrasi Organizations, Anda juga harus melampirkan kebijakan AWS terkelola yang disebutAWSSecurityHubOrganizationsAccess.

Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk AWS Security Hub.

Mengaktifkan Security Hub dengan Integrasi Organizations

Untuk mulai menggunakan Security Hub dengan AWS Organizations, akun AWS Organizations manajemen untuk organisasi menetapkan akun sebagai akun administrator Security Hub yang didelegasikan untuk organisasi. Security Hub diaktifkan secara otomatis di akun administrator yang didelegasikan di Wilayah saat ini.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menunjuk administrator yang didelegasikan.

Security Hub console
Untuk menunjuk administrator Security Hub yang didelegasikan saat melakukan onboarding

  1. Buka konsol AWS Security Hub di https://console.aws.amazon.com/securityhub/.

  2. Pilih Buka Security Hub. Anda diminta untuk masuk ke akun manajemen Organisasi.

  3. Pada halaman Tentukan administrator yang didelegasikan, di bagian Akun administrator yang didelegasikan, tentukan akun administrator yang didelegasikan. Sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya.

  4. Pilih Setel administrator yang didelegasikan.

Security Hub API

Memanggil EnableOrganizationAdminAccountAPIdari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan Security Hub.

AWS CLI

Jalankan enable-organization-admin-accountperintah dari akun manajemen Organizations. Berikan Akun AWS ID akun administrator yang didelegasikan Security Hub.

Contoh perintah:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Untuk informasi selengkapnya tentang integrasi dengan Organizations, lihatMengintegrasikan Security Hub dengan AWS Organizations.

Konfigurasi pusat

Saat mengintegrasikan Security Hub dan Organizations, Anda memiliki opsi untuk menggunakan fitur yang disebut konfigurasi pusat untuk menyiapkan dan mengelola Security Hub untuk organisasi Anda. Kami sangat menyarankan menggunakan konfigurasi pusat karena memungkinkan administrator menyesuaikan cakupan keamanan untuk organisasi. Jika perlu, administrator yang didelegasikan dapat mengizinkan akun anggota untuk mengonfigurasi pengaturan cakupan keamanannya sendiri.

Konfigurasi pusat memungkinkan administrator yang didelegasikan mengonfigurasi Security Hub di seluruh akun,OUs, dan Wilayah AWS. Administrator yang didelegasikan mengonfigurasi Security Hub dengan membuat kebijakan konfigurasi. Dalam kebijakan konfigurasi, Anda dapat menentukan pengaturan berikut:

  • Apakah Security Hub diaktifkan atau dinonaktifkan

  • Standar keamanan mana yang diaktifkan dan dinonaktifkan

  • Kontrol keamanan mana yang diaktifkan dan dinonaktifkan

  • Apakah akan menyesuaikan parameter untuk kontrol tertentu

Sebagai administrator yang didelegasikan, Anda dapat membuat kebijakan konfigurasi tunggal untuk seluruh organisasi atau kebijakan konfigurasi yang berbeda untuk berbagai akun danOUs. Misalnya, akun pengujian dan akun produksi dapat menggunakan kebijakan konfigurasi yang berbeda.

Akun anggota dan OUs yang menggunakan kebijakan konfigurasi dikelola secara terpusat dan hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Administrator yang didelegasikan dapat menunjuk akun anggota tertentu dan OUs dikelola sendiri untuk memberi anggota kemampuan untuk mengonfigurasi pengaturannya sendiri berdasarkan suatu dasar. Region-by-Region

Jika Anda tidak menggunakan konfigurasi pusat, sebagian besar Anda harus mengonfigurasi Security Hub secara terpisah di setiap akun dan Wilayah. Ini disebut konfigurasi lokal. Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan Security Hub dan serangkaian standar keamanan terbatas di akun organisasi baru di Wilayah saat ini. Konfigurasi lokal tidak berlaku untuk akun organisasi yang ada atau Wilayah selain Wilayah saat ini. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

Mengaktifkan Security Hub secara manual

Anda harus mengaktifkan Security Hub secara manual jika Anda memiliki akun mandiri, atau jika Anda tidak berintegrasi dengannya AWS Organizations. Akun mandiri tidak dapat diintegrasikan dengan AWS Organizations dan harus menggunakan pengaktifan manual.

Saat mengaktifkan Security Hub secara manual, Anda menetapkan akun administrator Security Hub dan mengundang akun lain untuk menjadi akun anggota. Hubungan administrator-anggota terbentuk ketika akun calon anggota menerima undangan.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan Security Hub. Saat mengaktifkan Security Hub dari konsol, Anda juga memiliki opsi untuk mengaktifkan standar keamanan yang didukung.

Security Hub console

  1. Buka konsol AWS Security Hub di https://console.aws.amazon.com/securityhub/.

  2. Saat Anda membuka konsol Security Hub untuk pertama kalinya, pilih Buka Security Hub.

  3. Pada halaman selamat datang, bagian Standar keamanan mencantumkan standar keamanan yang didukung Security Hub.

    Pilih kotak centang untuk standar untuk mengaktifkannya, dan kosongkan kotak centang untuk menonaktifkannya.

    Anda dapat mengaktifkan atau menonaktifkan standar atau kontrol individualnya kapan saja. Untuk informasi tentang mengelola standar keamanan, lihatMemahami standar keamanan di Security Hub.

  4. Pilih Aktifkan Security Hub.

Security Hub API

Memohon. EnableSecurityHubAPI Saat Anda mengaktifkan Security Hub dariAPI, maka secara otomatis mengaktifkan standar keamanan default berikut:

  • AWS Praktik Terbaik Keamanan Dasar

  • Pusat Keamanan Internet (CIS) Tolok Ukur AWS Yayasan v1.2.0

Jika Anda tidak ingin mengaktifkan standar ini, maka atur EnableDefaultStandards kefalse.

Anda juga dapat menggunakan Tags parameter untuk menetapkan nilai tag ke sumber daya hub.

AWS CLI

Jalankan perintah enable-security-hub. Untuk mengaktifkan standar default, sertakan--enable-default-standards. Untuk tidak mengaktifkan standar default, sertakan--no-enable-default-standards. Standar keamanan default adalah sebagai berikut:

  • AWS Praktik Terbaik Keamanan Dasar

  • Pusat Keamanan Internet (CIS) Tolok Ukur AWS Yayasan v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Contoh

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Skrip pengaktifan multi-akun

catatan

Alih-alih skrip ini, sebaiknya gunakan konfigurasi pusat untuk mengaktifkan dan mengkonfigurasi Security Hub di beberapa akun dan Wilayah.

Skrip pengaktifan multi-akun Security Hub GitHub memungkinkan Anda mengaktifkan Security Hub di seluruh akun dan Wilayah. Skrip ini juga mengotomatiskan proses pengiriman undangan ke akun anggota dan mengaktifkan. AWS Config

Skrip secara otomatis memungkinkan perekaman AWS Config sumber daya untuk semua sumber daya, termasuk sumber daya global, di semua Wilayah. Ini tidak membatasi pencatatan sumber daya global ke satu Wilayah. Untuk menghemat biaya, kami sarankan untuk mencatat sumber daya global hanya dalam satu Wilayah. Jika Anda menggunakan konfigurasi pusat atau agregasi lintas wilayah, ini harus menjadi Wilayah asal Anda. Untuk informasi selengkapnya, lihat Merekam sumber daya di AWS Config.

Ada skrip yang sesuai untuk menonaktifkan Security Hub di seluruh akun dan Wilayah.

Langkah selanjutnya: Manajemen dan integrasi postur

Setelah mengaktifkan Security Hub, sebaiknya aktifkan standar dan kontrol keamanan untuk memantau postur keamanan Anda. Setelah Anda mengaktifkan kontrol, Security Hub mulai menjalankan pemeriksaan keamanan dan menghasilkan temuan kontrol yang membantu Anda mendeteksi kesalahan konfigurasi di lingkungan Anda AWS . Untuk menerima temuan kontrol, Anda harus mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub. Untuk informasi selengkapnya, lihat Mengaktifkan dan mengonfigurasi AWS Config untuk Security Hub.

Setelah mengaktifkan Security Hub, Anda juga dapat memanfaatkan integrasi antara Security Hub dan solusi pihak ketiga lainnya Layanan AWS untuk melihat temuan mereka di Security Hub. Security Hub mengumpulkan temuan dari berbagai sumber dan mencernanya dalam format yang konsisten. Untuk informasi selengkapnya, lihat Memahami integrasi di Security Hub.