Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für GuardDuty
Diese AWS Security Hub Kontrollen bewerten den GuardDuty Service und die Ressourcen von Amazon.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[GuardDuty.1] GuardDuty sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v3.2.1/11.4, PCI DSS v4.0.1/11.5.1, NIST.800-53.r5 AC-2 (12),, (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), 5 (2), NIST.800-53.r5 SA-1 5 (8), (19), (21), (25),, ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-8 .800-53.r5 SI-20, NIST.800-53.r5 SA-8 .800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8) NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-5 NIST .800-53.r5 SI-20 .800-53,r5 SI-4 NIST.800-53.r5 SC-5 (1), NIST .800-53,r5 SI-4 (13), .800-53,r5 SI-4 (2), NIST .800-53,r5 SI-4 (22), NIST .800-53,r5 SI-4 (25) NIST NIST NIST NIST ), NIST .800-53,r5 SI-4 (4), NIST .800-53,r5 SI-4 (5)
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: guardduty-enabled-centralized
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob Amazon in Ihrem GuardDuty Konto und Ihrer Region aktiviert GuardDuty ist.
Es wird dringend empfohlen, die Aktivierung GuardDuty in allen unterstützten AWS Regionen durchzuführen. Auf diese Weise können GuardDuty Sie Erkenntnisse über nicht autorisierte oder ungewöhnliche Aktivitäten gewinnen, auch in Regionen, die Sie nicht aktiv nutzen. Dies ermöglicht auch GuardDuty die Überwachung globaler CloudTrail Ereignisse AWS-Services wieIAM.
Abhilfe
Informationen zur Aktivierung GuardDuty finden Sie unter Erste Schritte mit GuardDuty im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::GuardDuty::Filter
AWS Config Regel: tagged-guardduty-filter (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Dieses Steuerelement prüft, ob ein GuardDuty Amazon-Filter Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn der Filter keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Filter mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem GuardDuty Filter finden Sie unter TagResourcein der GuardDuty APIAmazon-Referenz.
[GuardDuty.3] GuardDuty IPSets sollte markiert sein
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::GuardDuty::IPSet
AWS Config Regel: tagged-guardduty-ipset (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Dieses Steuerelement prüft, ob ein Amazon Tags mit den spezifischen Schlüsseln GuardDuty IPSet hat, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn es IPSet keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden IPSet ist, und schlägt fehl, wenn der mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem GuardDuty IPSet finden Sie unter TagResourcein der GuardDuty APIAmazon-Referenz.
[GuardDuty.4] GuardDuty Detektoren sollten markiert sein
Kategorie: Identifizieren > Inventar > Kennzeichnung
Schweregrad: Niedrig
Art der Ressource: AWS::GuardDuty::Detector
AWS Config Regel: tagged-guardduty-detector (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Diese Steuerung prüft, ob ein GuardDuty Amazon-Detektor Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der Detektor keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Detektor mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem GuardDuty Detektor finden Sie unter TagResourcein der GuardDuty APIAmazon-Referenz.
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Ressourcentyp: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-eks-protection-audit-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob die Überwachung des GuardDuty EKS Auditprotokolls aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn die GuardDuty EKS Auditprotokollüberwachung im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten die EKS Auditprotokollüberwachung nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Steuerung Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die Funktion zur Überwachung von EKS Auditprotokollen für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das die GuardDuty EKS Auditprotokollüberwachung nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
GuardDuty EKSAudit Log Monitoring hilft Ihnen dabei, potenziell verdächtige Aktivitäten in Ihren Amazon Elastic Kubernetes Service (AmazonEKS) -Clustern zu erkennen. EKS Audit Log Monitoring verwendet Kubernetes-Auditprotokolle, um chronologische Aktivitäten von Benutzern, Anwendungen, die Kubernetes verwenden, und der Steuerungsebene API zu erfassen.
Abhilfe
Informationen zur Aktivierung von GuardDuty EKS Audit Log Monitoring finden Sie unter EKSAudit Log Monitoring im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
Verwandte Anforderungen: v4.0.1/11.5.1 PCI DSS
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-lambda-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob GuardDuty Lambda Protection aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty Lambda Protection im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten Lambda Protection nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte Administratorkonto. GuardDuty Nur der delegierte Administrator kann die Lambda Protection-Funktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Dieses Steuerelement generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator über ein gesperrtes Mitgliedskonto verfügt, für das GuardDuty Lambda Protection nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
GuardDuty Lambda Protection hilft Ihnen dabei, potenzielle Sicherheitsbedrohungen zu identifizieren, wenn eine AWS Lambda Funktion aufgerufen wird. Nachdem Sie Lambda Protection aktiviert haben, GuardDuty beginnt die Überwachung der Lambda-Netzwerkaktivitätsprotokolle, die mit den Lambda-Funktionen in Ihrem verknüpft sind. AWS-Konto Wenn eine Lambda-Funktion aufgerufen wird und verdächtigen Netzwerkverkehr GuardDuty identifiziert, der auf das Vorhandensein eines potenziell bösartigen Codes in Ihrer Lambda-Funktion hinweist, GuardDuty wird ein Befund generiert.
Abhilfe
Informationen zur Aktivierung von GuardDuty Lambda Protection finden Sie unter Konfiguration des Lambda-Schutzes im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.5.1
Kategorie: Erkennen > Erkennungsdienste
Schweregrad: Mittel
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-eks-protection-runtime-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob GuardDuty EKS Runtime Monitoring mit automatisierter Agentenverwaltung aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty EKS Runtime Monitoring mit automatisierter Agentenverwaltung im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten EKS Runtime Monitoring mit automatisierter Agentenverwaltung nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Steuerung Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die EKS Runtime Monitoring-Funktion mit automatisierter Agentenverwaltung für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Dieses Steuerelement generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das GuardDuty EKS Runtime Monitoring nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
EKSProtection in Amazon GuardDuty bietet Schutz vor Bedrohungserkennung, um Sie beim Schutz von EKS Amazon-Clustern in Ihrer AWS Umgebung zu unterstützen. EKS Runtime Monitoring verwendet Ereignisse auf Betriebssystemebene, um Ihnen zu helfen, potenzielle Bedrohungen in EKS Knoten und Containern in Ihren EKS Clustern zu erkennen.
Abhilfe
Informationen zur Aktivierung von EKS Runtime Monitoring mit automatisierter Agentenverwaltung finden Sie unter GuardDuty Enabling Runtime Monitoring im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Ressourcentyp: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-malware-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob der GuardDuty Malware-Schutz aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn der GuardDuty Malware-Schutz im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten der Malware-Schutz nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert das Steuerelement nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die Malware-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty Malware-Schutz nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
GuardDuty Malware Protection for EC2 hilft Ihnen dabei, das potenzielle Vorhandensein von Malware zu erkennen, indem es die Amazon Elastic Block Store (AmazonEBS) -Volumes scannt, die an Amazon Elastic Compute Cloud (AmazonEC2) -Instances und Container-Workloads angehängt sind. Malware Protection bietet Scanoptionen, mit denen Sie entscheiden können, ob Sie bestimmte EC2 Instances und Container-Workloads beim Scannen ein- oder ausschließen möchten. Es bietet auch die Möglichkeit, die Snapshots der EBS Volumes, die an die EC2 Instances oder Container-Workloads angehängt sind, in Ihren Konten aufzubewahren. GuardDuty Die Snapshots werden nur aufbewahrt, wenn Malware gefunden wird und die Erkenntnisse von Malware Protection generiert werden.
Abhilfe
Informationen zur Aktivierung des GuardDuty Malware-Schutzes für EC2 finden Sie unter Konfiguration des GuardDuty -initiierten Malware-Scans im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.9] GuardDuty RDS Der Schutz sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.5.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-rds-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob der GuardDuty RDS Schutz aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn der GuardDuty RDS Schutz im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten der RDS Schutz nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die RDS Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Dieses Steuerelement generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty RDS Schutz nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
RDSDer Schutz GuardDuty analysiert und profiliert die RDS Anmeldeaktivitäten im Hinblick auf potenzielle Zugriffsbedrohungen auf Ihre Amazon Aurora Aurora-Datenbanken (Aurora My SQL -Compatible Edition und Aurora Postgre SQL -Compatible Edition). Diese Funktion ermöglicht es Ihnen, potenziell verdächtiges Anmeldeverhalten zu identifizieren. RDS Der Schutz erfordert keine zusätzliche Infrastruktur. Er ist so konzipiert, dass er die Leistung Ihrer Datenbankinstanzen nicht beeinträchtigt. Wenn der RDS Schutz einen potenziell verdächtigen oder anomalen Anmeldeversuch erkennt, der auf eine Bedrohung für Ihre Datenbank hindeutet, GuardDuty generiert er ein neues Ergebnis mit Details über die potenziell gefährdete Datenbank.
Abhilfe
Informationen zur Aktivierung GuardDuty RDS des Schutzes finden Sie unter GuardDuty RDSSchutz im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.5.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-s3-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob GuardDuty S3 Protection aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty S3 Protection im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten S3 Protection nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die S3-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty S3-Schutz nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
S3 Protection ermöglicht GuardDuty die Überwachung von API Vorgängen auf Objektebene, um potenzielle Sicherheitsrisiken für Daten in Ihren Amazon Simple Storage Service (Amazon S3) -Buckets zu identifizieren. GuardDuty überwacht Bedrohungen für Ihre S3-Ressourcen, indem AWS CloudTrail Verwaltungsereignisse und CloudTrail S3-Datenereignisse analysiert werden.
Abhilfe
Informationen zur Aktivierung von GuardDuty S3 Protection finden Sie unter Amazon S3 Protection GuardDuty in Amazon im GuardDuty Amazon-Benutzerhandbuch.
