Security Hub aktivieren - AWSSecurity Hub
Security Hub für eine AWS Organisation aktivierenSecurity Hub in einem eigenständigen Konto aktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub aktivieren

Sie können Security Hub für jeden aktivierenAWS-Konto. In diesem Abschnitt der Dokumentation werden alle Schritte beschrieben, die erforderlich sind, um Security Hub für eine AWS Organisation oder ein eigenständiges Konto zu aktivieren.

Security Hub für eine AWS Organisation aktivieren

Dieser Abschnitt umfasst drei Schritte:

  • In Schritt 1 bestimmt das AWS Organisationsverwaltungskonto einen delegierten Administrator für das AWS Unternehmen, erstellt die Richtlinie für delegierte Administratoren und aktiviert optional Security Hub für sein eigenes Konto.

  • In Schritt 2 aktiviert der delegierte Administrator der Organisation Security Hub für sein eigenes Konto.

  • In Schritt 3 konfiguriert der delegierte Administrator der Organisation alle Mitgliedskonten in der Organisation für Security Hub und andere unterstützte Sicherheitsdienste.

Schritt 1. Delegieren eines Administratorkontos und optionale Aktivierung von Security Hub im AWS Organisationsverwaltungskonto

Anmerkung

Dieser Schritt muss nur in einer Region des Organisationsverwaltungskontos abgeschlossen werden.

Bei der Zuweisung des delegierten Administratorkontos für Security Hub hängt das Konto, das Sie für Ihren delegierten Administrator auswählen können, davon ab, wie Sie einen delegierten Administrator für Security Hub CSPM konfiguriert haben. Wenn Sie einen delegierten Administrator für Security Hub CSPM konfiguriert haben und dieses Konto nicht das Verwaltungskonto der Organisation ist, wird dieses Konto automatisch als delegierter Security Hub-Administrator eingerichtet und es kann kein anderes Konto ausgewählt werden. Wenn das delegierte Administratorkonto für Security Hub CSPM als Verwaltungskonto der Organisation oder gar nicht eingerichtet ist, können Sie wählen, welches Konto Ihr delegiertes Security Hub-Administratorkonto sein soll, mit Ausnahme des Verwaltungskontos der Organisation.

Informationen zur Benennung eines delegierten Administrators in Security Hub finden Sie unter Benennen eines delegierten Administratorkontos in Security Hub. Informationen zum Erstellen der delegierten Administratorrichtlinie in Security Hub finden Sie unter Delegierte Administratorrichtlinie in Security Hub erstellen.

So bestimmen Sie einen Administrator für Security Hub

  1. Melden Sie sich mit den Anmeldedaten Ihres AWS AWS Organisationsverwaltungskontos bei Ihrem Konto an. Öffnen Sie die Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/v2/home.

  2. Wählen Sie auf der Security Hub-Startseite Security Hub und dann Erste Schritte aus.

  3. Wählen Sie im Bereich Delegierter Administrator ein Administratorkonto auf der Grundlage der bereitgestellten Optionen aus. Als bewährte Methode empfehlen wir, für alle Sicherheitsdienste denselben delegierten Administrator zu verwenden, um eine konsistente Verwaltung zu gewährleisten.

  4. Aktivieren Sie das Kontrollkästchen Vertrauenswürdiger Zugriff. Wenn Sie diese Option auswählen, kann Ihr delegiertes Administratorkonto bestimmte Funktionen, wie z. B. den GuardDuty Malware-Schutz, für Mitgliedskonten konfigurieren. Wenn Sie diese Option deaktivieren, kann Security Hub diese Funktionen nicht in Ihrem Namen aktivieren und Sie müssen sie direkt über den Dienst aktivieren, mit dem die Funktion verknüpft ist.

  5. (Optional) Wählen Sie für die Kontoaktivierung das Kästchen aus, um Security Hub für Ihr AWS Konto zu aktivieren.

  6. Wählen Sie für die Richtlinie für delegierte Administratoren eine der folgenden Optionen, um die Richtlinienerklärung hinzuzufügen.

    1. (Option 1) Wählen Sie Für mich aktualisieren aus. Aktivieren Sie das Kästchen unter der Richtlinienerklärung, um zu bestätigen, dass Security Hub automatisch eine Delegierungsrichtlinie erstellt, die dem delegierten Administrator alle erforderlichen Rechte gewährt.

    2. (Option 2) Wählen Sie Ich möchte das manuell anhängen. Wählen Sie Kopieren und anhängen. Wählen Sie in der AWS Organizations Konsole unter Delegierter Administrator für AWS Organizations die Option Delegieren aus und fügen Sie die Ressourcenrichtlinie in den Delegierungsrichtlinien-Editor ein. Wählen Sie Richtlinie erstellen aus. Öffnen Sie den Tab, auf dem Sie sich in der Security Hub Hub-Konsole befinden.

  7. Wählen Sie Konfigurieren aus.

Schritt 2. Security Hub im delegierten Administratorkonto aktivieren

Das delegierte Administratorkonto schließt diesen Schritt ab. Nachdem das AWS Organisationsverwaltungskonto einen delegierten Administrator für seine Organisation bestimmt hat, muss der delegierte Administrator Security Hub für sein eigenes Konto aktivieren, bevor er die Aktivierung für die gesamte Organisation durchführen kann. AWS

So aktivieren Sie Security Hub im delegierten Administratorkonto

  1. Melden Sie sich mit Ihren delegierten Administratoranmeldedaten bei Ihrem AWS Konto an. Öffnen Sie die Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/v2/home.

  2. Wählen Sie auf der Security Hub Hub-Startseite die Option Get started aus.

  3. Im Abschnitt Sicherheitsfunktionen werden die Funktionen beschrieben, die automatisch aktiviert und im Grundpreis pro Ressource von Security Hub enthalten sind.

  4. (Optional) Legen Sie für Tags fest, ob Sie der Kontoeinrichtung ein Schlüssel-Wert-Paar hinzufügen möchten.

  5. Wählen Sie Enable Security Hub, um die Aktivierung von Security Hub abzuschließen.

  6. (Empfohlen) wählen Sie im Popup-Fenster Configure My Organization aus und fahren Sie mit Schritt 3 fort.

Nachdem Sie Security Hub aktiviert haben, werden in Ihrem Konto eine dienstverknüpfte Rolle namens AWSServiceRoleForSecurityHubV2 und ein dienstgebundener Rekorder erstellt. Der serviceverknüpfte Rekorder ist ein AWS Config Rekordertyp, der von einem AWS Dienst verwaltet wird und Konfigurationsdaten für dienstspezifische Ressourcen aufzeichnen kann. Mit einem serviceverknüpften Rekorder ermöglicht Security Hub einen ereignisgesteuerten Ansatz zum Abrufen von Ressourcenkonfigurationselementen, die für die Risikoanalyse, den Umfang und die Berichterstattung über den Ressourcenbestand erforderlich sind. Ein dienstgebundener Rekorder wird pro und konfiguriert. AWS-Konto AWS-Region Für globale Ressourcentypen wird in der Heimatregion automatisch ein zusätzlicher dienstgebundener Rekorder erstellt, um Konfigurationsänderungen für globale Ressourcen aufzuzeichnen, da AWS Config nur globale Ressourcentypen in der jeweiligen Heimatregion aufgezeichnet werden. Weitere Informationen finden Sie unter Überlegungen zu serviceverknüpften Konfigurationsrekordern und Aufzeichnen regionaler und globaler Ressourcen.

Schritt 3. Erstellen Sie eine Richtlinie, die Security Hub in allen Mitgliedskonten aktiviert

Nachdem Sie Security Hub im delegierten Administratorkonto für eine Organisation aktiviert haben, müssen Sie eine Richtlinie erstellen, die definiert, welche Dienste und Funktionen in den Mitgliedskonten der Organisation aktiviert sind. Weitere Informationen finden Sie unter Konfiguration mit einem bestimmten Richtlinientyp aktivieren.

Security Hub in einem eigenständigen Konto aktivieren

Dieses Verfahren beschreibt, wie Security Hub in einem eigenständigen Konto aktiviert wird. Ein eigenständiges Konto ist ein KontoAWS-Konto, für das keine AWS Organisationen aktiviert wurden.

So aktivieren Sie Security Hub in einem eigenständigen Konto

  1. Melden Sie sich mit Ihren AWS Kontodaten bei Ihrem Konto an. Öffnen Sie die Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/v2/home.

  2. Wählen Sie auf der Security Hub Hub-Startseite die Option Erste Schritte aus.

  3. Führen Sie im Abschnitt Sicherheitsfunktionen einen der folgenden Schritte aus:

    1. (Option 1) Wählen Sie Alle Funktionen aktivieren. Dadurch werden alle wichtigen Funktionen, Bedrohungsanalysen und zusätzliche Funktionen des Security Hub aktiviert.

    2. (Option 2) Wählen Sie „Funktionen anpassen“. Wählen Sie die Bedrohungsanalyse und die zusätzlichen Funktionen aus, die aktiviert werden sollen. Sie können keine Funktionen abwählen, die Teil der Funktionen des Security Hub Hub-Grundplans sind.

  4. Wählen Sie im Abschnitt Regionen die Option Alle Regionen aktivieren oder Bestimmte Regionen aktivieren aus. Wenn Sie „Alle Regionen aktivieren“ wählen, können Sie festlegen, ob neue Regionen automatisch aktiviert werden sollen. Wenn Sie Bestimmte Regionen aktivieren wählen, müssen Sie auswählen, welche Regionen Sie aktivieren möchten.

  5. (Optional) Fügen Sie für Ressourcen-Tags Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Konfiguration leichter identifizieren können.

  6. Wählen Sie Enable Security Hub (Security Hub aktivieren).

Nachdem Sie Security Hub aktiviert haben, werden in Ihrem Konto eine dienstverknüpfte Rolle namens AWSServiceRoleForSecurityHubV2 und ein dienstgebundener Rekorder erstellt. Der serviceverknüpfte Rekorder ist ein AWS Config Rekordertyp, der von einem AWS Dienst verwaltet wird und Konfigurationsdaten für dienstspezifische Ressourcen aufzeichnen kann. Mit einem serviceverknüpften Rekorder ermöglicht Security Hub einen ereignisgesteuerten Ansatz zum Abrufen von Ressourcenkonfigurationselementen, die für die Risikoanalyse, den Umfang und die Berichterstattung über den Ressourcenbestand erforderlich sind. Ein dienstgebundener Rekorder wird pro und konfiguriert. AWS-Konto AWS-Region Für globale Ressourcentypen wird in der Heimatregion automatisch ein zusätzlicher dienstgebundener Rekorder erstellt, um Konfigurationsänderungen für globale Ressourcen aufzuzeichnen, da AWS Config nur globale Ressourcentypen in der jeweiligen Heimatregion aufgezeichnet werden. Weitere Informationen finden Sie unter Überlegungen zu serviceverknüpften Konfigurationsrekordern und Aufzeichnen regionaler und globaler Ressourcen.