Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour GuardDuty
Ces AWS Security Hub contrôles évaluent le GuardDuty service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[GuardDuty.1] GuardDuty doit être activé
Exigences connexes : PCI DSS v3.2.1/11.4, PCI DSS v4.0.1/11.5.1, NIST.800-53.r5 AC-2 (12), (4), 1 (6), 5 (2), 5 (2), 5 (8) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (19), (21), (25), ( NIST.800-53.r5 SA-11), NIST.800-53.r5 SA-1 (3), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-20, NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.R5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.R5 SI-4 NIST.800-53.r5 SC-5 (1) NIST.800-53.r5 SC-5, NIST.800-53.R5 SI-4 NIST.800-53.r5 SC-5 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (4), NIST.800-53.R5 SI-4 (4), NIST.800-53,R5 SI-4 (5) NIST.800-53.r5 SA-8
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : guardduty-enabled-centralized
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si Amazon GuardDuty est activé dans votre GuardDuty compte et dans votre région.
Il est vivement recommandé de l'activer GuardDuty dans toutes les AWS régions prises en charge. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Cela permet également GuardDuty de surveiller CloudTrail des événements globaux Services AWS tels que IAM.
Correction
Pour l'activer GuardDuty, consultez Getting Started with GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.2] GuardDuty les filtres doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::Filter
AWS Config règle : tagged-guardduty-filter (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un GuardDuty filtre Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le filtre ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le filtre n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty filtre, voir TagResourcedans le Amazon GuardDuty API Reference.
[GuardDuty.3] GuardDuty IPSets doit être étiqueté
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::IPSet
AWS Config règle : tagged-guardduty-ipset (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un Amazon GuardDuty IPSet possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue s'il IPSet ne possède aucune clé de balise ou s'il n'a pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si elle IPSet n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty IPSet, voir TagResourcedans le Amazon GuardDuty API Reference.
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::Detector
AWS Config règle : tagged-guardduty-detector (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un GuardDuty détecteur Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le détecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le détecteur n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty détecteur, voir TagResourcedans le Amazon GuardDuty API Reference.
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-eks-protection-audit-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la surveillance du journal d'audit GuardDuty EKS est activée. Pour un compte autonome, le contrôle échoue si la surveillance du journal d'audit GuardDuty EKS est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres n'ont pas activé la surveillance du journal d'audit EKS.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de surveillance du journal d'audit EKS pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel le suivi du journal d'audit GuardDuty EKS n'est pas activé. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty La surveillance du journal d'audit EKS vous aide à détecter les activités potentiellement suspectes dans vos clusters Amazon Elastic Kubernetes Service (Amazon EKS). La surveillance des journaux d'audit EKS utilise les journaux d'audit Kubernetes pour capturer les activités chronologiques des utilisateurs, des applications utilisant l'API Kubernetes et du plan de contrôle.
Correction
Pour activer la surveillance du journal d'audit GuardDuty EKS, consultez la section Surveillance du journal d'audit EKS dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
Exigences connexes : PCI DSS v4.0.1/11.5.1
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-lambda-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection GuardDuty Lambda est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty Lambda est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection Lambda n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection Lambda pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu sur lequel la protection GuardDuty Lambda n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty La protection Lambda vous aide à identifier les menaces de sécurité potentielles lorsqu'une AWS Lambda fonction est invoquée. Après avoir activé la protection Lambda, GuardDuty commence à surveiller les journaux d'activité du réseau Lambda associés aux fonctions Lambda de votre. Compte AWS Lorsqu'une fonction Lambda est invoquée et GuardDuty identifie un trafic réseau suspect indiquant la présence d'un code potentiellement malveillant dans votre fonction Lambda, GuardDuty elle génère un résultat.
Correction
Pour activer la protection GuardDuty Lambda, consultez la section Configuration de la protection Lambda dans le guide de l'utilisateur Amazon. GuardDuty
[GuardDuty.7] La surveillance du GuardDuty temps d'exécution EKS doit être activée
Exigences connexes : PCI DSS v4.0.1/11.5.1
Catégorie : Détecter > Services de détection
Gravité : Moyenne
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-eks-protection-runtime-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la surveillance du temps d'exécution GuardDuty EKS avec gestion automatisée des agents est activée. Pour un compte autonome, le contrôle échoue si GuardDuty EKS Runtime Monitoring avec gestion automatisée des agents est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres ne disposent pas d'EKS Runtime Monitoring avec gestion automatique des agents activée.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité EKS Runtime Monitoring avec gestion automatique des agents pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel GuardDuty EKS Runtime Monitoring n'est pas activé. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
La protection EKS d'Amazon GuardDuty fournit une couverture de détection des menaces pour vous aider à protéger les clusters Amazon EKS au sein de votre AWS environnement. EKS Runtime Monitoring utilise des événements au niveau du système d'exploitation pour vous aider à détecter les menaces potentielles dans les nœuds et les conteneurs EKS au sein de vos clusters EKS.
Correction
Pour activer EKS Runtime Monitoring avec la gestion automatisée des agents, consultez la section Enabling GuardDuty Runtime Monitoring dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-malware-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les GuardDuty programmes malveillants est activée. Pour un compte autonome, le contrôle échoue si la protection contre les GuardDuty programmes malveillants est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection contre les programmes malveillants n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection contre les programmes malveillants pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué possède un compte de membre suspendu pour lequel la protection contre les GuardDuty programmes malveillants n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty Malware Protection for vous EC2 aide à détecter la présence potentielle de malwares en analysant les volumes Amazon Elastic Block Store (Amazon EBS) attachés aux instances et aux charges de travail des conteneurs Amazon Elastic Compute Cloud ( EC2Amazon). Malware Protection propose des options d'analyse qui vous permettent de décider si vous souhaitez inclure ou exclure des EC2 instances et des charges de travail de conteneur spécifiques au moment de l'analyse. Il offre également la possibilité de conserver les instantanés des volumes EBS attachés aux EC2 instances ou aux charges de travail des conteneurs dans vos comptes. GuardDuty Les instantanés ne sont retenus que lorsqu'un logiciel malveillant est détecté et que des résultats de protection contre les logiciels malveillants sont générés.
Correction
Pour activer la protection contre les GuardDuty programmes malveillants pour EC2, consultez la section Configuration de l'analyse des programmes malveillants GuardDuty initiée dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.9] La protection GuardDuty RDS doit être activée
Exigences connexes : PCI DSS v4.0.1/11.5.1
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-rds-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection GuardDuty RDS est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty RDS est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection RDS n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection RDS pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel la protection GuardDuty RDS n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
RDS Protection GuardDuty analyse et établit le profil de l'activité de connexion RDS pour détecter les menaces d'accès potentielles à vos bases de données Amazon Aurora (édition compatible Aurora MySQL et édition compatible Aurora PostgreSQL). Cette fonctionnalité vous permet d'identifier les comportements de connexion potentiellement suspects. La protection RDS ne nécessite aucune infrastructure supplémentaire ; elle est conçue de manière à ne pas affecter les performances de vos instances de base de données. Lorsque RDS Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, elle GuardDuty génère une nouvelle découverte contenant des informations sur la base de données potentiellement compromise.
Correction
Pour activer la protection GuardDuty RDS, consultez GuardDuty la section Protection du guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.10] La protection GuardDuty S3 doit être activée
Exigences connexes : PCI DSS v4.0.1/11.5.1
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-s3-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection GuardDuty S3 est activée. Pour un compte autonome, le contrôle échoue si GuardDuty S3 Protection est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si S3 Protection n'est pas activé sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection S3 pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel GuardDuty S3 Protection n'est pas activé. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
S3 Protection permet GuardDuty de surveiller les opérations d'API au niveau des objets afin d'identifier les risques de sécurité potentiels pour les données contenues dans vos compartiments Amazon Simple Storage Service (Amazon S3). GuardDuty surveille les menaces qui pèsent sur vos ressources S3 en analysant les événements AWS CloudTrail de gestion et les événements liés aux données CloudTrail S3.
Correction
Pour activer la protection GuardDuty S3, consultez Amazon S3 Protection dans Amazon GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.11] La surveillance du GuardDuty temps d'exécution doit être activée
Catégorie : Détecter > Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-runtime-monitoring-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le Runtime Monitoring est activé sur Amazon GuardDuty. Pour un compte autonome, le contrôle échoue si la surveillance du temps GuardDuty d'exécution est désactivée pour le compte. Dans un environnement multi-comptes, le contrôle échoue si la surveillance du temps GuardDuty d'exécution est désactivée pour le compte GuardDuty administrateur délégué et pour tous les comptes membres.
Dans un environnement multi-comptes, seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps GuardDuty d'exécution pour les comptes de son organisation. En outre, seul l' GuardDuty administrateur peut configurer et gérer les agents de sécurité GuardDuty utilisés pour la surveillance de l'exécution des AWS charges de travail et des ressources des comptes de l'organisation. GuardDuty les comptes membres ne peuvent pas activer, configurer ou désactiver la surveillance du temps d'exécution pour leurs propres comptes.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles, telles que les clusters Amazon EKS et les EC2 instances Amazon.
Correction
Pour plus d'informations sur la configuration et l'activation de la surveillance du temps GuardDuty d'exécution, consultez la section Surveillance du temps GuardDuty d' GuardDuty exécution et activation de la surveillance du temps d'exécution dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.12] La surveillance du GuardDuty temps d'exécution ECS doit être activée
Catégorie : Détecter > Services de détection
Gravité : Moyenne
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-ecs-protection-runtime-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si l'agent de sécurité GuardDuty automatique Amazon est activé pour la surveillance de l'exécution des clusters Amazon ECS sur AWS Fargate. Pour un compte autonome, le contrôle échoue si l'agent de sécurité est désactivé pour le compte. Dans un environnement multi-comptes, le contrôle échoue si l'agent de sécurité est désactivé pour le compte d' GuardDutyadministrateur délégué et pour tous les comptes de membres.
Dans un environnement multi-comptes, ce contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Cela est dû au fait que seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps d'exécution des ressources ECS-Fargate pour les comptes de son organisation. GuardDuty les comptes des membres ne peuvent pas le faire pour leurs propres comptes. En outre, ce contrôle génère des FAILED résultats s'il GuardDuty est suspendu pour un compte membre et si la surveillance du temps d'exécution des ressources ECS-Fargate est désactivée pour le compte membre. Pour recevoir une PASSED constatation, l' GuardDuty administrateur doit dissocier le compte du membre suspendu de son compte administrateur en utilisant GuardDuty.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles. Cela inclut les clusters Amazon ECS sur AWS Fargate.
Correction
Pour activer et gérer l'agent de sécurité pour la surveillance du GuardDuty temps d'exécution des ressources ECS-Fargate, vous devez utiliser directement. GuardDuty Vous ne pouvez pas l'activer ou le gérer manuellement pour les ressources ECS-Fargate. Pour plus d'informations sur l'activation et la gestion de l'agent de sécurité, consultez les sections Conditions requises pour le support AWS Fargate (Amazon ECS uniquement) et Gestion de l'agent de sécurité automatisé pour AWS Fargate (Amazon ECS uniquement) dans le guide de l' GuardDuty utilisateur Amazon.
[GuardDuty.13] La surveillance du GuardDuty EC2 temps d'exécution doit être activée
Catégorie : Détecter > Services de détection
Gravité : Moyenne
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-ec2-protection-runtime-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si l'agent de sécurité GuardDuty automatique Amazon est activé pour la surveillance du temps d'exécution des EC2 instances Amazon. Pour un compte autonome, le contrôle échoue si l'agent de sécurité est désactivé pour le compte. Dans un environnement multi-comptes, le contrôle échoue si l'agent de sécurité est désactivé pour le compte d' GuardDuty administrateur délégué et pour tous les comptes de membres.
Dans un environnement multi-comptes, ce contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. En effet, seul l' GuardDuty administrateur délégué peut activer ou désactiver la surveillance du temps d'exécution des EC2 instances Amazon pour les comptes de son organisation. GuardDuty les comptes des membres ne peuvent pas le faire pour leurs propres comptes. En outre, ce contrôle génère des FAILED résultats s'il GuardDuty est suspendu pour un compte membre et si la surveillance du temps d'exécution des EC2 instances est désactivée pour le compte membre. Pour recevoir une PASSED constatation, l' GuardDuty administrateur doit dissocier le compte du membre suspendu de son compte administrateur en utilisant GuardDuty.
GuardDuty Runtime Monitoring observe et analyse les événements au niveau du système d'exploitation, du réseau et des fichiers pour vous aider à détecter les menaces potentielles dans des AWS charges de travail spécifiques de votre environnement. Il utilise des agents GuardDuty de sécurité qui ajoutent de la visibilité sur le comportement d'exécution, tels que l'accès aux fichiers, l'exécution des processus, les arguments de ligne de commande et les connexions réseau. Vous pouvez activer et gérer l'agent de sécurité pour chaque type de ressource que vous souhaitez surveiller pour détecter les menaces potentielles. Cela inclut les EC2 instances Amazon.
Correction
Pour plus d'informations sur la configuration et la gestion de l'agent de sécurité automatique pour la surveillance du temps GuardDuty d'exécution des EC2 instances, consultez les sections Conditions requises pour le support des EC2 instances Amazon et Activation de l'agent de sécurité automatique pour les EC2 instances Amazon dans le guide de GuardDuty l'utilisateur Amazon.
