[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée [Inspector.2] La ECR numérisation Amazon Inspector doit être activée [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

Contrôles Security Hub pour Amazon Inspector

Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Inspector.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

Exigences connexes : PCI DSS v4.0.1/11.3.1

Catégorie : Détecter - Services de détection

Gravité : Élevée

Type de ressource : AWS::::Account

Règle AWS Config : inspector-ec2-scan-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le EC2 scan Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le EC2 scan Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le EC2 scan n'est pas activé pour le compte administrateur Amazon Inspector délégué et pour tous les comptes membres.

Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonction de EC2 numérisation pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le EC2 scan d'Amazon Inspector n'est pas activé. Pour recevoir un PASSED résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.

L'EC2analyse d'Amazon Inspector extrait les métadonnées de votre instance Amazon Elastic Compute Cloud (AmazonEC2), puis compare ces métadonnées aux règles collectées à partir des avis de sécurité afin de produire des résultats. Amazon Inspector analyse les instances pour détecter les vulnérabilités des packages et les problèmes d'accessibilité au réseau. Pour plus d'informations sur les systèmes d'exploitation pris en charge, notamment sur les systèmes d'exploitation pouvant être scannés sans SSM agent, consultez Systèmes d'exploitation pris en charge : Amazon EC2 scanning.

Correction

Pour activer le EC2 scan Amazon Inspector, consultez la section Activation des scans dans le guide de l'utilisateur d'Amazon Inspector.

[Inspector.2] La ECR numérisation Amazon Inspector doit être activée

Exigences connexes : PCI DSS v4.0.1/11.3.1

Catégorie : Détecter - Services de détection

Gravité : Élevée

Type de ressource : AWS::::Account

Règle AWS Config : inspector-ecr-scan-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le ECR scan Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le ECR scan Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le ECR scan n'est pas activé pour le compte administrateur Amazon Inspector délégué et pour tous les comptes membres.

Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonction de ECR numérisation pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le ECR scan d'Amazon Inspector n'est pas activé. Pour recevoir un PASSED résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.

Amazon Inspector analyse les images des conteneurs stockées dans Amazon Elastic Container Registry (AmazonECR) pour détecter les vulnérabilités logicielles afin de générer des informations sur les vulnérabilités des packages. Lorsque vous activez les scans Amazon Inspector pour AmazonECR, vous définissez Amazon Inspector comme service de numérisation préféré pour votre registre privé. Cela remplace la numérisation de base, qui est fournie gratuitement par AmazonECR, par une numérisation améliorée, qui est fournie et facturée via Amazon Inspector. L'analyse améliorée vous permet de bénéficier de l'analyse des vulnérabilités pour les packages de système d'exploitation et de langage de programmation au niveau du registre. Vous pouvez consulter les résultats découverts grâce à la numérisation améliorée au niveau de l'image, pour chaque couche de l'image, sur la ECR console Amazon. En outre, vous pouvez consulter et utiliser ces résultats dans d'autres services qui ne sont pas disponibles pour les résultats de numérisation de base, notamment AWS Security Hub Amazon EventBridge.

Correction

Pour activer le ECR scan Amazon Inspector, consultez la section Activation des scans dans le guide de l'utilisateur d'Amazon Inspector.

[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

Exigences connexes : PCI DSS v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS

Catégorie : Détecter - Services de détection

Gravité : Élevée

Type de ressource : AWS::::Account

Règle AWS Config : inspector-lambda-code-scan-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le scan du code Lambda d'Amazon Inspector est activé. Pour un compte autonome, le contrôle échoue si le scan du code Lambda par Amazon Inspector est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan du code Lambda n'est pas activé sur le compte administrateur délégué Amazon Inspector et sur tous les comptes membres.

Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de numérisation du code Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l'administrateur délégué a un compte de membre suspendu sur lequel le scan du code Lambda d'Amazon Inspector n'est pas activé. Pour recevoir un PASSED résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.

Le scan du code Lambda par Amazon Inspector analyse le code d'application personnalisé au sein d'une AWS Lambda fonction pour détecter les vulnérabilités du code, sur la base des meilleures pratiques AWS de sécurité. L'analyse du code Lambda permet de détecter des défauts d'injection, des fuites de données, une cryptographie faible ou un chiffrement manquant dans votre code. Cette fonctionnalité n'est disponible Régions AWS que de manière spécifique. Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

Correction

Pour activer la numérisation du code Lambda d'Amazon Inspector, consultez la section Activation des scans dans le guide de l'utilisateur d'Amazon Inspector.

[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

Exigences connexes : PCI DSS v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS

Catégorie : Détecter - Services de détection

Gravité : Élevée

Type de ressource : AWS::::Account

Règle AWS Config : inspector-lambda-standard-scan-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le scan standard Amazon Inspector Lambda est activé. Pour un compte autonome, le contrôle échoue si le scan standard Amazon Inspector Lambda est désactivé dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le scan standard Lambda n'est pas activé sur le compte administrateur Amazon Inspector délégué et sur tous les comptes membres.

Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte administrateur Amazon Inspector délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité d'analyse standard Lambda pour les comptes des membres de l'organisation. Les comptes membres d'Amazon Inspector ne peuvent pas modifier cette configuration depuis leurs comptes. Ce contrôle génère des FAILED résultats si l'administrateur délégué a un compte de membre suspendu pour lequel le scan standard Amazon Inspector Lambda n'est pas activé. Pour recevoir un PASSED résultat, l'administrateur délégué doit dissocier ces comptes suspendus dans Amazon Inspector.

L'analyse standard Amazon Inspector Lambda identifie les vulnérabilités logicielles dans les dépendances des packages d'applications que vous ajoutez à votre code de AWS Lambda fonction et à vos couches. Si Amazon Inspector détecte une vulnérabilité dans les dépendances des packages d'applications de votre fonction Lambda, Amazon Inspector produit une recherche de Package Vulnerability type détaillée. Vous pouvez activer le scan de code Lambda en même temps que le scan standard Lambda (voir). [Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

Correction

Pour activer le scan standard Amazon Inspector Lambda, consultez la section Activation des scans dans le guide de l'utilisateur Amazon Inspector.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Identity and Access Management (IAM) commandes

AWS IoT contrôles