Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour GuardDuty
Ces AWS Security Hub contrôles évaluent le GuardDuty service et les ressources Amazon.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[GuardDuty.1] GuardDuty doit être activé
Exigences connexes : PCI DSS v3.2.1/11.4, NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), 5 (2), NIST.800-53.r5 SA-1 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-8 .800-53.r5 SI-20, NIST.800-53.r5 SA-8 .800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8) NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-5 .800-53.r5 SI-4, NIST .800-53.r5 SI-4 NIST.800-53.r5 SC-5 (1), .800-53,r5 SI-4 (13), NIST .800-53,r5 SI-4 (2), NIST .800-53,r5 SI-4 (22), NIST .800-53,r5 SI-4 (25), NIST .800-53,r5 SI-4 (4), NIST NIST NIST NIST NIST.800-53,r5 SI-4 (5)
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : guardduty-enabled-centralized
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si Amazon GuardDuty est activé dans votre GuardDuty compte et dans votre région.
Il est vivement recommandé de l'activer GuardDuty dans toutes les AWS régions prises en charge. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Cela permet également GuardDuty de surveiller CloudTrail des événements globaux Services AWS tels queIAM.
Correction
Pour l'activer GuardDuty, consultez Getting Started with GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.2] GuardDuty les filtres doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::Filter
AWS Config règle : tagged-guardduty-filter (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un GuardDuty filtre Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le filtre ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le filtre n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty filtre, voir TagResourcedans le Amazon GuardDuty API Reference.
[GuardDuty.3] GuardDuty IPSets doit être étiqueté
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::IPSet
AWS Config règle : tagged-guardduty-ipset (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un Amazon GuardDuty IPSet possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue s'il IPSet ne possède aucune clé de balise ou s'il n'a pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si elle IPSet n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty IPSet, voir TagResourcedans le Amazon GuardDuty API Reference.
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::Detector
AWS Config règle : tagged-guardduty-detector (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un GuardDuty détecteur Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le détecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le détecteur n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty détecteur, voir TagResourcedans le Amazon GuardDuty API Reference.
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-eks-protection-audit-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la surveillance du journal GuardDuty EKS d'audit est activée. Pour un compte autonome, le contrôle échoue si la surveillance du journal GuardDuty EKS d'audit est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres n'ont pas activé la surveillance du journal EKS d'audit.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de surveillance du journal d'EKSaudit pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel la surveillance du journal GuardDuty EKS d'audit n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty EKSLa surveillance des journaux d'audit vous aide à détecter les activités potentiellement suspectes dans vos clusters Amazon Elastic Kubernetes Service (Amazon). EKS EKSLa surveillance des journaux d'audit utilise les journaux d'audit Kubernetes pour capturer les activités chronologiques des utilisateurs, des applications utilisant Kubernetes et du plan API de contrôle.
Correction
Pour activer la surveillance des journaux GuardDuty EKS d'audit, consultez la section Surveillance des journaux EKS d'audit dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-lambda-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection GuardDuty Lambda est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty Lambda est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection Lambda n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection Lambda pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu sur lequel la protection GuardDuty Lambda n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty La protection Lambda vous aide à identifier les menaces de sécurité potentielles lorsqu'une AWS Lambda fonction est invoquée. Après avoir activé la protection Lambda, GuardDuty commence à surveiller les journaux d'activité du réseau Lambda associés aux fonctions Lambda de votre. Compte AWS Lorsqu'une fonction Lambda est invoquée et GuardDuty identifie un trafic réseau suspect indiquant la présence d'un code potentiellement malveillant dans votre fonction Lambda, GuardDuty elle génère un résultat.
Correction
Pour activer la protection GuardDuty Lambda, consultez la section Configuration de la protection Lambda dans le guide de l'utilisateur Amazon. GuardDuty
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
Catégorie : Détecter > Services de détection
Gravité : Moyenne
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-eks-protection-runtime-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la surveillance du temps GuardDuty EKS d'exécution avec gestion automatisée des agents est activée. Pour un compte autonome, le contrôle échoue si la surveillance du temps GuardDuty EKS d'exécution avec gestion automatisée des agents est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres ne disposent pas de la fonction EKS Runtime Monitoring avec gestion automatique des agents activée.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de surveillance du temps EKS d'exécution avec gestion automatisée des agents pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué possède un compte de membre suspendu pour lequel la surveillance du temps GuardDuty EKS d'exécution n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
EKSProtection in Amazon GuardDuty fournit une couverture de détection des menaces pour vous aider à protéger les EKS clusters Amazon au sein de votre AWS environnement. EKSLa surveillance du temps d'exécution utilise des événements au niveau du système d'exploitation pour vous aider à détecter les menaces potentielles dans les EKS nœuds et les conteneurs de vos EKS clusters.
Correction
Pour activer la surveillance du EKS temps d'exécution avec la gestion automatisée des agents, consultez la section Enabling GuardDuty Runtime Monitoring dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-malware-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les GuardDuty programmes malveillants est activée. Pour un compte autonome, le contrôle échoue si la protection contre les GuardDuty programmes malveillants est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection contre les programmes malveillants n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection contre les programmes malveillants pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué possède un compte de membre suspendu pour lequel la protection contre les GuardDuty programmes malveillants n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
GuardDuty Malware Protection for vous EC2 aide à détecter la présence potentielle de malwares en analysant les volumes Amazon Elastic Block Store (AmazonEBS) attachés aux instances et aux charges de travail des conteneurs Amazon Elastic Compute Cloud (AmazonEC2). Malware Protection propose des options d'analyse qui vous permettent de décider si vous souhaitez inclure ou exclure des EC2 instances et des charges de travail de conteneur spécifiques au moment de l'analyse. Il offre également la possibilité de conserver les instantanés des EBS volumes attachés aux EC2 instances ou aux charges de travail des conteneurs dans vos GuardDuty comptes. Les instantanés ne sont retenus que lorsqu'un logiciel malveillant est détecté et que des résultats de protection contre les logiciels malveillants sont générés.
Correction
Pour activer la protection contre les GuardDuty programmes malveillants pourEC2, consultez la section Configuration de l'analyse des programmes malveillants GuardDuty initiée dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.9] GuardDuty RDS La protection doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-rds-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si GuardDuty RDS la protection est activée. Pour un compte autonome, le contrôle échoue si la GuardDuty RDS protection est désactivée dans le compte. Dans un environnement multicompte, le contrôle échoue si la RDS protection n'est pas activée sur le compte d' GuardDuty administrateur délégué et sur tous les comptes de membre.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de RDS protection pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué possède un compte de membre suspendu pour lequel la GuardDuty RDS protection n'est pas activée. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
RDSProtection dans le GuardDuty cadre des analyses et des profils de l'activité de RDS connexion pour détecter les menaces d'accès potentielles à vos bases de données Amazon Aurora (Aurora My SQL -Compatible Edition et Aurora Postgre SQL -Compatible Edition). Cette fonctionnalité vous permet d'identifier les comportements de connexion potentiellement suspects. RDSLa protection ne nécessite aucune infrastructure supplémentaire ; elle est conçue de manière à ne pas affecter les performances de vos instances de base de données. Lorsque RDS la Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, GuardDuty génère un nouveau résultat contenant des informations détaillées sur la base de données potentiellement compromise.
Correction
Pour activer GuardDuty RDS la protection, consultez GuardDuty RDSla section Protection dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.10] La protection GuardDuty S3 doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-s3-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection GuardDuty S3 est activée. Pour un compte autonome, le contrôle échoue si GuardDuty S3 Protection est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si S3 Protection n'est pas activé sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection S3 pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l' GuardDuty administrateur délégué a un compte de membre suspendu pour lequel GuardDuty S3 Protection n'est pas activé. Pour recevoir une PASSED constatation, l'administrateur délégué doit dissocier ces comptes suspendus. GuardDuty
S3 Protection permet GuardDuty de surveiller les API opérations au niveau des objets afin d'identifier les risques de sécurité potentiels pour les données contenues dans vos compartiments Amazon Simple Storage Service (Amazon S3). GuardDuty surveille les menaces qui pèsent sur vos ressources S3 en analysant les événements AWS CloudTrail de gestion et les événements liés aux données CloudTrail S3.
Correction
Pour activer la protection GuardDuty S3, consultez Amazon S3 Protection dans Amazon GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.
