Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk Systems Manager
AWS Security Hub Kontrol ini mengevaluasi AWS Systems Manager (SSM) layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
Persyaratan terkait: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)
Kategori: Identifikasi > Persediaan
Tingkat keparahan: Sedang
Sumber daya yang dievaluasi: AWS::EC2::Instance
Sumber daya AWS Config perekaman yang diperlukan:AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory
AWS Config aturan: ec2-instance-managed-by-systems-manager
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah EC2 instans yang berhenti dan berjalan di akun Anda dikelola oleh AWS Systems Manager. Systems Manager adalah Layanan AWS yang dapat Anda gunakan untuk melihat dan mengontrol AWS infrastruktur Anda.
Untuk membantu Anda menjaga keamanan dan kepatuhan, Systems Manager memindai instans terkelola yang berhenti dan berjalan. Sebuah instance terkelola adalah mesin yang dikonfigurasi untuk digunakan dengan Systems Manager. Systems Manager kemudian melaporkan atau mengambil tindakan korektif atas setiap pelanggaran kebijakan yang terdeteksi. Systems Manager juga membantu Anda mengonfigurasi dan memelihara instans terkelola.
Untuk mempelajari lebih lanjut, lihat Panduan AWS Systems Manager Pengguna.
Remediasi
Untuk mengelola EC2 instans dengan Systems Manager, lihat Manajemen EC2 host Amazon di Panduan AWS Systems Manager Pengguna. Di bagian Opsi konfigurasi, Anda dapat menyimpan pilihan default atau mengubahnya seperlunya untuk konfigurasi pilihan Anda.
[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch
Persyaratan terkait: NIST .800-53.r5 CM-8 (3), .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5), v3.2.1/6.2, v4.0.1/2.2.1, NIST v4.0.1/6.3.3 NIST NIST PCI DSS PCI DSS PCI DSS
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::SSM::PatchCompliance
AWS Config aturan: ec2-managedinstance-patch-compliance-status-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah status kepatuhan kepatuhan patch Systems Manager COMPLIANT atau NON_COMPLIANT setelah instalasi patch pada instance. Kontrol gagal jika status kepatuhanNON_COMPLIANT. Kontrol hanya memeriksa instance yang dikelola oleh Systems Manager Patch Manager.
Menambal EC2 instance Anda seperti yang dipersyaratkan oleh organisasi Anda mengurangi permukaan serangan Anda. Akun AWS
Remediasi
Systems Manager merekomendasikan penggunaan kebijakan tambalan untuk mengonfigurasi patching untuk instance terkelola Anda. Anda juga dapat menggunakan dokumen Systems Manager, seperti yang dijelaskan dalam prosedur berikut, untuk menambal instance.
Untuk memulihkan tambalan yang tidak sesuai
Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/
. -
Untuk Node Management, pilih Run Command, dan kemudian pilih Run command.
-
Pilih opsi untuk AWS- RunPatchBaseline.
-
Ubah Operasi untuk Menginstal.
-
Pilih instance secara manual, lalu pilih instans yang tidak sesuai.
-
Pilih Jalankan.
-
Setelah perintah selesai, untuk memantau status kepatuhan baru dari instance yang ditambal, pilih Kepatuhan di panel navigasi.
[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi sebesar COMPLIANT
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (1), .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3), v3.2.1/2.4, v4.0.1/1/2.2.1, v4.0.1/6.3.3 NIST NIST NIST PCI DSS PCI DSS PCI DSS
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::SSM::AssociationCompliance
AWS Config aturan: ec2-managedinstance-association-compliance-status-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah status kepatuhan AWS Systems Manager asosiasi COMPLIANT atau NON_COMPLIANT setelah asosiasi dijalankan pada sebuah instance. Kontrol gagal jika status kepatuhan asosiasiNON_COMPLIANT.
Asosiasi State Manager adalah konfigurasi yang ditetapkan untuk instans terkelola Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada instans Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada instance Anda atau port tertentu harus ditutup.
Setelah Anda membuat satu atau beberapa asosiasi Manajer Negara, informasi status kepatuhan segera tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap AWS CLI perintah atau API tindakan Systems Manager terkait. Untuk asosiasi, Kepatuhan Konfigurasi menunjukkan status kepatuhan (CompliantatauNon-compliant). Ini juga menunjukkan tingkat keparahan yang ditetapkan untuk asosiasi, seperti Critical atauMedium.
Untuk mempelajari lebih lanjut tentang kepatuhan asosiasi Manajer Negara, lihat Tentang kepatuhan asosiasi Manajer Negara di Panduan AWS Systems Manager Pengguna.
Remediasi
Asosiasi yang gagal dapat dikaitkan dengan hal-hal yang berbeda, termasuk target dan nama dokumen Systems Manager. Untuk mengatasi masalah ini, Anda harus terlebih dahulu mengidentifikasi dan menyelidiki asosiasi dengan melihat riwayat asosiasi. Untuk petunjuk tentang melihat riwayat asosiasi, lihat Melihat riwayat asosiasi di Panduan AWS Systems Manager Pengguna.
Setelah menyelidiki, Anda dapat mengedit asosiasi untuk memperbaiki masalah yang diidentifikasi. Anda dapat mengedit asosiasi untuk menentukan nama, jadwal, tingkat keparahan, atau target baru. Setelah Anda mengedit asosiasi, AWS Systems Manager buat versi baru. Untuk petunjuk tentang mengedit asosiasi, lihat Mengedit dan membuat versi baru asosiasi di Panduan AWS Systems Manager Pengguna.
[SSM.4] SSM dokumen tidak boleh dipublikasikan
Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::SSM::Document
AWS Config aturan: ssm-document-not-public
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS Systems Manager dokumen yang dimiliki oleh akun bersifat publik. Kontrol ini gagal jika dokumen Systems Manager dengan pemiliknya Self bersifat publik.
Dokumen Systems Manager yang bersifat publik mungkin memungkinkan akses yang tidak diinginkan ke dokumen Anda. Dokumen Systems Manager publik dapat mengekspos informasi berharga tentang akun, sumber daya, dan proses internal Anda.
Kecuali kasus penggunaan Anda memerlukan berbagi publik, sebaiknya Anda memblokir pengaturan berbagi publik untuk dokumen Systems Manager yang dimiliki olehSelf.
Remediasi
Untuk memblokir berbagi publik untuk dokumen Systems Manager, lihat Memblokir berbagi publik untuk SSM dokumen di Panduan AWS Systems Manager Pengguna.
