Habilitar o Security Hub - AWS Security Hub
Verificação das permissões necessáriasHabilitação do Security Hub com a integração do OrganizationsHabilitar o Security HubPróximas etapas: gerenciamento de postura e integrações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o Security Hub

Há duas maneiras de ativar o AWS Security Hub: integrando com AWS Organizations ou manualmente.

É altamente recomendável fazer a integração com Organizations para ambientes com várias contas e várias regiões. Se você tiver uma conta independente, será necessário configurar o Security Hub manualmente.

Verificação das permissões necessárias

Depois de se cadastrar na Amazon Web Services (AWS), será necessário habilitar o Security Hub para usar suas capacidades e recursos. Para habilitar o Security Hub, primeiro você precisa configurar permissões que permitam acessar o console e as API operações do Security Hub. Você ou seu AWS administrador podem fazer isso usando AWS Identity and Access Management (IAM) para anexar a política AWS gerenciada chamada AWSSecurityHubFullAccess à sua IAM identidade.

Para habilitar e gerenciar o Security Hub por meio da integração do Organizations, você também deve anexar a política AWS gerenciada chamadaAWSSecurityHubOrganizationsAccess.

Para obter mais informações, consulte AWS políticas gerenciadas para o AWS Security Hub.

Habilitação do Security Hub com a integração do Organizations

Para começar a usar o Security Hub com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta delegada do administrador do Security Hub para a organização. O Security Hub é habilitado automaticamente na conta de administrador delegado na região atual.

Escolha seu método preferido e siga as etapas para designar o administrador delegado.

Security Hub console
Para designar o administrador delegado do Security Hub durante o onboarding

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. Escolha Ir para o Security Hub. Você será solicitado a fazer login na conta de gerenciamento do Organizations.

  3. Na página Designar administrador delegado, na seção Conta de administrador delegado, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

  4. Escolha Definir administrador delegado.

Security Hub API

Invoque o da conta EnableOrganizationAdminAccountAPIde gerenciamento da Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do Security Hub.

AWS CLI

Execute o comando enable-organization-admin-account a partir da conta de gerenciamento do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do Security Hub.

Exemplo de comando:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obter mais informações sobre a integração com o Organizations, consulte Integrando o Security Hub com AWS Organizations.

Configuração central

Ao integrar o Security Hub e o Organizations, você tem a opção de usar um recurso chamado configuração central para configurar e gerenciar o Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta-membro defina suas próprias configurações de cobertura de segurança.

A configuração central permite que o administrador delegado configure o Security Hub em todas OUs as contas e. Regiões da AWS O administrador delegado configura o Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:

  • Se o Security Hub está habilitado ou desabilitado

  • Quais padrões de segurança são habilitados e desabilitados

  • Quais controles de segurança são habilitados e desabilitados

  • Se os parâmetros devem ser personalizados para selecionar controles

Como administrador delegado, você pode criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e. OUs Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.

As contas dos membros OUs que usam uma política de configuração são gerenciadas centralmente e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas de membros específicas e OUs ser autogerenciadas para dar ao membro a capacidade de definir suas próprias configurações em uma base. Region-by-Region

Se você não usar a configuração central, deverá, em grande parte, configurar o Security Hub separadamente em cada conta e região. Isso é chamado de configuração local. Na configuração local, o administrador delegado pode habilitar automaticamente o Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

Habilitar o Security Hub

Você deve habilitar o Security Hub manualmente se tiver uma conta independente ou se não fizer integração com AWS Organizations. Contas autônomas não podem ser integradas AWS Organizations e devem usar a ativação manual.

Ao habilitar o Security Hub manualmente, você designa uma conta de administrador do Security Hub e convida outras contas para se tornarem contas-membro. A relação administrador-membro é estabelecida quando uma conta-membro em potencial aceita o convite da conta.

Escolha seu método preferido e siga as etapas para habilitar o Security Hub. Ao habilitar o Security Hub no console, você também tem a opção de habilitar os padrões de segurança suportados.

Security Hub console

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. Ao abrir o console do Security Hub pela primeira vez, escolha Ir para o Security Hub.

  3. Na página de boas-vindas, a seção padrões de segurança lista os padrões de segurança com suporte no Security Hub.

    Marque a caixa de seleção de um padrão para habilitá-lo e desmarque a caixa de seleção para desabilitá-lo.

    É possível habilitar ou desabilitar um padrão ou seus controles individuais a qualquer momento. Para obter mais informações sobre gerenciamento de padrões de segurança, consulte Compreender os padrões de segurança no Security Hub.

  4. Selecione Enable Security Hub (Habilitar o Security Hub).

Security Hub API

Invoque o. EnableSecurityHubAPI Quando você ativa o Security Hub a partir doAPI, ele ativa automaticamente os seguintes padrões de segurança padrão:

  • AWS Melhores práticas básicas de segurança

  • Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

Se você não quiser habilitar esses padrões, defina EnableDefaultStandards como false.

Você também pode usar o parâmetro Tags para atribuir valores de tag ao recurso do hub.

AWS CLI

Execute o comando enable-security-hub. Para ativar os padrões, inclua --enable-default-standards. Para não ativar os padrões, inclua --no-enable-default-standards. Os padrões de segurança padrão são os seguintes:

  • AWS Melhores práticas básicas de segurança

  • Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Exemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitação de várias contas

nota

Em vez desse script, recomendamos usar a configuração central para habilitar e configurar o Security Hub em várias contas e regiões.

O script de ativação de várias contas do Security Hub GitHub permite que você ative o Security Hub em todas as contas e regiões. O script também automatiza o processo de envio de convites para contas de membros e habilitação do AWS Config.

O script ativa automaticamente a gravação de AWS Config recursos para todos os recursos, incluindo recursos globais, em todas as regiões. Ele não limita o registro de recursos globais a uma única região. Para economizar custos, recomendamos registrar recursos globais somente em uma única região. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região de origem. Para obter mais informações, consulte Recursos de gravação em AWS Config.

Há um script correspondente para desativar o Security Hub em todas as contas e regiões.

Próximas etapas: gerenciamento de postura e integrações

Depois de ativar o Security Hub, recomendamos ativar os padrões e controles de segurança para monitorar sua postura de segurança. Depois de habilitar os controles, o Security Hub começa a executar verificações de segurança e a gerar descobertas de controle que ajudam a detectar configurações incorretas em seu AWS ambiente. Para receber descobertas de controle, você deve habilitar e configurar o AWS Config Security Hub. Para obter mais informações, consulte Habilitando e configurando o AWS Config Security Hub.

Depois de ativar o Security Hub, você também pode aproveitar as integrações entre o Security Hub e outras soluções Serviços da AWS e de terceiros para ver suas descobertas no Security Hub. O Security Hub agrega descobertas de diferentes fontes e as ingere em um formato consistente. Para obter mais informações, consulte Compreender as integrações no Security Hub.