Security Hub-Steuerelemente für Amazon Inspector - AWS Security Hub
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Amazon Inspector

Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Inspector.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein

Verwandte Anforderungen: v4.0.1/11.3.1 PCI DSS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Art der Ressource: AWS::::Account

AWS Config -Regel: inspector-ec2-scan-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob das EC2 Scannen mit Amazon Inspector aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Amazon EC2 Inspector-Scannen im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und alle Mitgliedskonten das EC2 Scannen nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die EC2 Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator über ein gesperrtes Mitgliedskonto verfügt, für das der Amazon EC2 Inspector-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

EC2Das Scannen mit Amazon Inspector extrahiert Metadaten aus Ihrer Amazon Elastic Compute Cloud (AmazonEC2) -Instance und vergleicht diese Metadaten dann mit Regeln, die in Sicherheitsempfehlungen gesammelt wurden, um Ergebnisse zu erzielen. Amazon Inspector scannt Instances auf Paketschwachstellen und Probleme mit der Netzwerkerreichbarkeit. Informationen zu unterstützten Betriebssystemen, einschließlich der Betriebssysteme, die ohne einen SSM Agenten gescannt werden können, finden Sie unter Unterstützte Betriebssysteme: EC2 Amazon-Scannen.

Abhilfe

Informationen zum Aktivieren von Amazon EC2 Inspector-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.

[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein

Verwandte Anforderungen: v4.0.1/11.3.1 PCI DSS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Art der Ressource: AWS::::Account

AWS Config -Regel: inspector-ecr-scan-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob das ECR Scannen mit Amazon Inspector aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Amazon ECR Inspector-Scannen im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und alle Mitgliedskonten das ECR Scannen nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die ECR Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator über ein gesperrtes Mitgliedskonto verfügt, für das der Amazon ECR Inspector-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

Amazon Inspector scannt Container-Images, die in Amazon Elastic Container Registry (AmazonECR) gespeichert sind, auf Softwareschwachstellen, um Sicherheitslücken in Paketen zu ermitteln. Wenn Sie Amazon Inspector-Scans für Amazon aktivierenECR, legen Sie Amazon Inspector als Ihren bevorzugten Scan-Service für Ihre private Registrierung fest. Dadurch wird das einfache Scannen, das von Amazon kostenlos zur Verfügung gestellt wirdECR, durch das erweiterte Scannen ersetzt, das über Amazon Inspector bereitgestellt und in Rechnung gestellt wird. Das erweiterte Scannen bietet Ihnen den Vorteil eines Sicherheitslückenscans sowohl für Betriebssysteme als auch für Programmiersprachenpakete auf Registrierungsebene. Sie können die Ergebnisse, die mit dem erweiterten Scannen entdeckt wurden, auf Bildebene für jede Ebene des Bilds in der ECR Amazon-Konsole überprüfen. Darüber hinaus können Sie diese Ergebnisse in anderen Diensten überprüfen und mit ihnen arbeiten, die für grundlegende Scanergebnisse nicht verfügbar sind, einschließlich AWS Security Hub Amazon EventBridge.

Abhilfe

Informationen zum Aktivieren von Amazon ECR Inspector-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.

[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein

Verwandte Anforderungen: PCI DSS v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Art der Ressource: AWS::::Account

AWS Config -Regel: inspector-lambda-code-scan-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob das Scannen von Amazon Inspector Lambda-Code aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Scannen von Amazon Inspector Lambda-Code im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und für alle Mitgliedskonten der Lambda-Code-Scan nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Code-Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator ein gesperrtes Mitgliedskonto hat, für das Amazon Inspector Lambda-Code-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

Das Amazon Inspector Lambda-Codescanning scannt den benutzerdefinierten Anwendungscode innerhalb einer AWS Lambda Funktion auf Code-Schwachstellen auf der Grundlage bewährter AWS Sicherheitsmethoden. Durch das Scannen von Lambda-Code können Injektionsfehler, Datenlecks, schwache Kryptografie oder fehlende Verschlüsselung in Ihrem Code erkannt werden. Diese Funktion ist nur in bestimmten AWS-Regionen Fällen verfügbar. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein).

Abhilfe

Informationen zur Aktivierung des Amazon Inspector Lambda-Code-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.

[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein

Verwandte Anforderungen: v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS PCI DSS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Art der Ressource: AWS::::Account

AWS Config -Regel: inspector-lambda-standard-scan-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob das Standardscannen von Amazon Inspector Lambda aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn der Amazon Inspector Lambda-Standardscan im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und alle Mitgliedskonten das Lambda-Standardscannen nicht aktiviert ist.

In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Standardscanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator ein gesperrtes Mitgliedskonto hat, für das Amazon Inspector Lambda Standard-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.

Das Standard-Scannen von Amazon Inspector Lambda identifiziert Softwareschwachstellen in den Abhängigkeiten von Anwendungspaketen, die Sie Ihrem AWS Lambda Funktionscode und Ihren Ebenen hinzufügen. Wenn Amazon Inspector eine Sicherheitslücke in den Abhängigkeiten Ihrer Lambda-Funktionsanwendung feststellt, erstellt Amazon Inspector eine detaillierte Package Vulnerability Typfindung. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein).

Abhilfe

Informationen zur Aktivierung von Amazon Inspector Lambda-Standardscans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.