Contrôles Security Hub pour Systems Manager - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Systems Manager

Ces AWS Security Hub les contrôles évaluent le AWS Systems Manager (SSM) service et ressources.

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

Exigences associées : PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)

Catégorie : Identifier - Inventaire

Gravité : Moyenne

Ressource évaluée : AWS::EC2::Instance

Nécessaire AWS Config ressources d'enregistrement : AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config règle : ec2-instance-managed-by-systems-manager

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les EC2 instances arrêtées et en cours d'exécution de votre compte sont gérées par AWS Systems Manager. Systems Manager est un Service AWS que vous pouvez utiliser pour visualiser et contrôler votre AWS infrastructure.

Pour vous aider à maintenir la sécurité et la conformité, Systems Manager analyse vos instances gérées arrêtées et en cours d'exécution. Une instance gérée est une machine configurée pour être utilisée avec Systems Manager. Systems Manager signale ensuite ou prend des mesures correctives en cas de violation des politiques détectées. Systems Manager vous aide également à configurer et à gérer vos instances gérées.

Pour en savoir plus, consultez AWS Systems Manager Guide de l'utilisateur .

Correction

Pour gérer les EC2 instances avec Systems Manager, consultez la section Gestion des EC2 hôtes Amazon dans le AWS Systems Manager Guide de l'utilisateur. Dans la section Options de configuration, vous pouvez conserver les choix par défaut ou les modifier selon les besoins de votre configuration préférée.

[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

Exigences associées : PCI DSS v3.2.1/6.2, NIST .800-53.r5 CM-8 (3), .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST NIST

Catégorie : Détecter - Services de détection

Gravité : Élevée

Type de ressource : AWS::SSM::PatchCompliance

AWS Config règle : ec2-managedinstance-patch-compliance-status-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'état de conformité du correctif de Systems Manager est COMPLIANT ou NON_COMPLIANT après l'installation du correctif sur l'instance. Le contrôle échoue si le statut de conformité estNON_COMPLIANT. Le contrôle vérifie uniquement les instances gérées par Systems Manager Patch Manager.

L'application de correctifs à vos EC2 instances selon les besoins de votre entreprise réduit la surface d'attaque de votre Comptes AWS.

Correction

Systems Manager recommande d'utiliser des politiques de correctifs pour configurer l'application de correctifs pour vos instances gérées. Vous pouvez également utiliser les documents Systems Manager, comme décrit dans la procédure suivante, pour patcher une instance.

Pour corriger les correctifs non conformes
  1. Ouvrez le fichier AWS Systems Manager console à https://console.aws.amazon.com/systems-manager/.

  2. Pour la gestion des nœuds, choisissez Exécuter la commande, puis sélectionnez Exécuter la commande.

  3. Choisissez l'option pour AWS-RunPatchBaseline.

  4. Passez l'Operation (Opération) à Install (Installer).

  5. Choisissez Choisir les instances manuellement, puis choisissez les instances non conformes.

  6. Cliquez sur Exécuter.

  7. Une fois la commande terminée, pour surveiller le nouveau statut de conformité de vos instances corrigées, choisissez Compliance dans le volet de navigation.

[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

Exigences associées : PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (1), .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3) NIST NIST NIST

Catégorie : Détecter - Services de détection

Gravité : Faible

Type de ressource : AWS::SSM::AssociationCompliance

AWS Config règle : ec2-managedinstance-association-compliance-status-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le statut du AWS Systems Manager la conformité de l'association est COMPLIANT ou NON_COMPLIANT après l'exécution de l'association sur une instance. Le contrôle échoue si le statut de conformité de l'association estNON_COMPLIANT.

Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances ou que certains ports doivent être fermés.

Une fois que vous avez créé une ou plusieurs associations de responsables d'État, les informations sur le statut de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse à AWS CLI commandes ou API actions Systems Manager correspondantes. Pour les associations, Configuration Compliance indique l'état de conformité (CompliantouNon-compliant). Il indique également le niveau de gravité attribué à l'association, tel que Critical ouMedium.

Pour en savoir plus sur la conformité des associations State Manager, voir À propos de la conformité des associations State Manager dans le AWS Systems Manager Guide de l'utilisateur.

Correction

L'échec d'une association peut être lié à différents facteurs, notamment aux cibles et aux noms de documents de Systems Manager. Pour résoudre ce problème, vous devez d'abord identifier et étudier l'association en consultant l'historique des associations. Pour obtenir des instructions sur l'affichage de l'historique des associations, reportez-vous à la section Affichage de l'historique des associations dans AWS Systems Manager Guide de l'utilisateur.

Après avoir étudié, vous pouvez modifier l'association pour corriger le problème identifié. Vous pouvez modifier une association pour spécifier un nouveau nom, un niveau de gravité ou des cibles. Après avoir modifié une association, AWS Systems Manager crée une nouvelle version. Pour obtenir des instructions sur la modification d'une association, reportez-vous à la section Modification et création d'une nouvelle version d'une association dans AWS Systems Manager Guide de l'utilisateur.

[SSM.4] SSM les documents ne doivent pas être publics

Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Critique

Type de ressource : AWS::SSM::Document

AWS Config règle : ssm-document-not-public

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si AWS Systems Manager les documents détenus par le compte sont publics. Ce contrôle échoue si les documents de Systems Manager avec le propriétaire Self sont publics.

Les documents publics de Systems Manager peuvent autoriser un accès involontaire à vos documents. Un document public de Systems Manager peut exposer des informations précieuses sur votre compte, vos ressources et vos processus internes.

À moins que votre cas d'utilisation ne nécessite un partage public, nous vous recommandons de bloquer le paramètre de partage public pour les documents appartenant à Systems ManagerSelf.

Correction

Pour bloquer le partage public des documents de Systems Manager, voir Bloquer le partage public des SSM documents dans AWS Systems Manager Guide de l'utilisateur.