Security Hub-Steuerelemente für Systems Manager - AWS Security Hub
[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager[SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben[SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT[SSM.4] SSM Dokumente sollten nicht öffentlich sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Systems Manager

Diese AWS Security Hub Kontrollen bewerten den Dienst und die Ressourcen AWS Systems Manager (SSM).

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

Evaluierte Ressource: AWS::EC2::Instance

Erforderliche AWS Config Aufzeichnungsressourcen:AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config -Regel: ec2-instance-managed-by-systems-manager

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die gestoppten und laufenden EC2 Instances in Ihrem Konto von verwaltet werden AWS Systems Manager. Systems Manager ist ein AWS-Service Programm, mit dem Sie Ihre AWS Infrastruktur anzeigen und steuern können.

Um Sie bei der Aufrechterhaltung von Sicherheit und Compliance zu unterstützen, scannt Systems Manager Ihre gestoppten und laufenden verwalteten Instances. Eine verwaltete Instanz ist eine Maschine, die für die Verwendung mit Systems Manager konfiguriert ist. Systems Manager meldet dann alle festgestellten Richtlinienverstöße oder ergreift Korrekturmaßnahmen. Systems Manager hilft Ihnen auch bei der Konfiguration und Wartung Ihrer verwalteten Instanzen.

Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch.

Abhilfe

Informationen zur Verwaltung von EC2 Instances mit Systems Manager finden Sie unter Amazon EC2 Host Management im AWS Systems Manager Benutzerhandbuch. Im Abschnitt Konfigurationsoptionen können Sie die Standardoptionen beibehalten oder sie nach Bedarf für Ihre bevorzugte Konfiguration ändern.

[SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

Verwandte Anforderungen: NIST .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (NIST5), v3.2.1/6.2, v4.0.1/2.2.1, NIST v4.0.1/6.3.3 PCI DSS PCI DSS PCI DSS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Art der Ressource: AWS::SSM::PatchCompliance

AWS Config -Regel: ec2-managedinstance-patch-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement überprüft, ob der Konformitätsstatus von Systems Manager Patch Compliance COMPLIANT oder NON_COMPLIANT nach der Patch-Installation auf der Instanz ist. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus lautetNON_COMPLIANT. Das Steuerelement überprüft nur Instanzen, die von Systems Manager Patch Manager verwaltet werden.

Durch das Patchen Ihrer EC2 Instanzen nach den Anforderungen Ihres Unternehmens wird die Angriffsfläche Ihrer AWS-Konten Instanzen reduziert.

Abhilfe

Systems Manager empfiehlt die Verwendung von Patch-Richtlinien, um das Patchen für Ihre verwalteten Instanzen zu konfigurieren. Sie können auch Systems Manager Manager-Dokumente verwenden, wie im folgenden Verfahren beschrieben, um eine Instanz zu patchen.

So korrigieren Sie nicht konforme Patches

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie für Node Management die Option Befehl ausführen und anschließend Befehl ausführen aus.

  3. Wählen Sie die Option für AWS- RunPatchBaseline.

  4. Ändern Sie die Operation in Install (Installieren).

  5. Wählen Sie Instanzen manuell auswählen und wählen Sie dann die nicht konformen Instanzen aus.

  6. Wählen Sie Ausführen aus.

  7. Wenn der Befehl abgeschlossen ist, wählen Sie im Navigationsbereich Compliance aus, um den neuen Compliance-Status Ihrer gepatchten Instances zu überwachen.

[SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-8, .800-53.r5 CM-8 (1), NIST .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3), v3.2.1/2.4, v4.0.1/2.2.1, NIST v4.0.1/2.2.1, v4.0.1/2.2.1 6.3.3 NIST PCI DSS PCI DSS PCI DSS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Art der Ressource: AWS::SSM::AssociationCompliance

AWS Config -Regel: ec2-managedinstance-association-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager Zuordnung auf einer Instanz den Status „Konformität“ hat COMPLIANT oder NON_COMPLIANT nachdem die Zuordnung ausgeführt wurde. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus der Assoziation lautetNON_COMPLIANT.

Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instances zugewiesen ist. Die Konfiguration definiert den Status, den Sie auf Ihren Instances beibehalten möchten. Eine Zuordnung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Nachdem Sie eine oder mehrere State Manager-Zuordnungen erstellt haben, stehen Ihnen die Informationen zum Compliance-Status sofort zur Verfügung. Sie können den Konformitätsstatus in der Konsole oder als Reaktion auf AWS CLI Befehle oder entsprechende Systems Manager API Manager-Aktionen anzeigen. Bei Zuordnungen zeigt Configuration Compliance den Konformitätsstatus (CompliantoderNon-compliant) an. Außerdem wird der Schweregrad angezeigt, der der Zuordnung zugewiesen wurde, z. B. Critical oderMedium.

Weitere Informationen zur Einhaltung der State Manager-Zuordnungen finden Sie im AWS Systems Manager Benutzerhandbuch unter Informationen zur Einhaltung von State Manager-Zuordnungen.

Abhilfe

Eine fehlgeschlagene Zuordnung kann auf verschiedene Dinge zurückzuführen sein, z. B. auf Ziele und Systems Manager Manager-Dokumentnamen. Um dieses Problem zu beheben, müssen Sie zunächst die Zuordnung identifizieren und untersuchen, indem Sie sich den Zuordnungsverlauf ansehen. Anweisungen zum Anzeigen des Zuordnungsverlaufs finden Sie unter Zuordnungshistorien anzeigen im AWS Systems Manager Benutzerhandbuch.

Nach der Untersuchung können Sie die Zuordnung bearbeiten, um das festgestellte Problem zu beheben. Sie können eine Zuordnung bearbeiten, um den Namen, den Zeitplan, den Schweregrad oder die Ziele zu ändern. Nachdem Sie eine Zuordnung bearbeitet haben, AWS Systems Manager wird eine neue Version erstellt. Anweisungen zum Bearbeiten einer Zuordnung finden Sie im AWS Systems Manager Benutzerhandbuch unter Bearbeiten und Erstellen einer neuen Version einer Zuordnung.

[SSM.4] SSM Dokumente sollten nicht öffentlich sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Kritisch

Art der Ressource: AWS::SSM::Document

AWS Config -Regel: ssm-document-not-public

Art des Zeitplans: Periodisch

Parameter: Keine

Mit dieser Kontrolle wird geprüft, ob AWS Systems Manager Dokumente, die dem Konto gehören, öffentlich sind. Diese Kontrolle schlägt fehl, wenn Systems Manager Manager-Dokumente mit dem Eigentümer öffentlich Self sind.

Öffentliche Systems Manager Manager-Dokumente ermöglichen möglicherweise unbeabsichtigten Zugriff auf Ihre Dokumente. Ein öffentliches Systems Manager Manager-Dokument kann wertvolle Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse enthalten.

Sofern Ihr Anwendungsfall die öffentliche Freigabe nicht erfordert, empfehlen wir, die Einstellung für die öffentliche Freigabe für Systems Manager Manager-Dokumente zu blockieren, die Eigentum von sindSelf.

Abhilfe

Informationen zum Blockieren der öffentlichen Freigabe von Systems Manager Manager-Dokumenten finden Sie unter Sperren der öffentlichen Freigabe von SSM Dokumenten im AWS Systems Manager Benutzerhandbuch.