Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per Amazon GuardDuty
Questi AWS Security Hub CSPM controlli valutano il GuardDuty servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [GuardDuty.1] GuardDuty dovrebbe essere abilitato
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 SA-1 1 (1), 1 (6) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, 5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (2), 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20, NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 nist.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (13) NIST.800-53.r5 SC-5, NIS.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (2), NIS.800-53.r5 SI-4 (22), NIS.800-53.r5 SI-4 (25), NIS.800-53.r5 SI-4 (4), NIS.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS versione 3.2.1/11.4 NIST.800-53.r5 SA-8 , PCI DSS versione 4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se Amazon GuardDuty è abilitato nel tuo GuardDuty account e nella tua regione.
Si consiglia vivamente di abilitarlo GuardDuty in tutte le AWS regioni supportate. In questo modo è possibile GuardDuty generare informazioni su attività non autorizzate o insolite, anche nelle regioni che non vengono utilizzate attivamente. Ciò consente anche GuardDuty di monitorare CloudTrail eventi globali Servizi AWS come IAM.
### Correzione
Per abilitarlo GuardDuty, consulta la sezione Guida [introduttiva GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.2] GuardDuty i filtri devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::GuardDuty::Filter`
**AWS Config regola:** `tagged-guardduty-filter` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un GuardDuty filtro Amazon ha tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il filtro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un GuardDuty filtro, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)consulta *Amazon GuardDuty API Reference*.
## [GuardDuty.3] GuardDuty IPSets deve essere taggato
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::GuardDuty::IPSet`
**AWS Config regola:** `tagged-guardduty-ipset` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un Amazon GuardDuty IPSet dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se IPSet non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se IPSet non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a GuardDuty IPSet, [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)consulta *Amazon GuardDuty API Reference*.
## [GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**AWS Config regola:** `tagged-guardduty-detector` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un GuardDuty rilevatore Amazon dispone di tag con le chiavi specifiche definite nel parametro`requiredTagKeys`. Il controllo fallisce se il rilevatore non dispone di chiavi tag o se non ha tutte le chiavi specificate nel parametro. `requiredTagKeys` Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il rilevatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un GuardDuty rilevatore, consulta [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*Amazon GuardDuty API Reference.*
## [GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se GuardDuty EKS Audit Log Monitoring è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Audit Log Monitoring è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno EKS Audit Log Monitoring abilitato.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzione EKS Audit Log Monitoring per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha abilitato GuardDuty EKS Audit Log Monitoring. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty EKS Audit Log Monitoring ti aiuta a rilevare attività potenzialmente sospette nei cluster Amazon Elastic Kubernetes Service (Amazon EKS). Il monitoraggio dei log di audit EKS utilizza i log di audit di Kubernetes per acquisire le attività cronologiche degli utenti, delle applicazioni che utilizzano l'API Kubernetes e il piano di controllo (control-plane).
### Correzione
Per abilitare GuardDuty EKS Audit Log Monitoring, consulta [EKS Audit Log Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la protezione GuardDuty Lambda è abilitata. Per un account autonomo, il controllo fallisce se GuardDuty Lambda Protection è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione Lambda abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità Lambda Protection per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty Lambda abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty Lambda Protection ti aiuta a identificare potenziali minacce alla sicurezza quando viene richiamata una AWS Lambda funzione. Dopo aver abilitato Lambda Protection, GuardDuty inizia a monitorare i registri delle attività di rete Lambda associati alle funzioni Lambda del tuo. Account AWS Quando viene richiamata una funzione Lambda e GuardDuty identifica traffico di rete sospetto che indica la presenza di un codice potenzialmente dannoso nella funzione Lambda, genera un risultato. GuardDuty
### Correzione
*Per abilitare GuardDuty Lambda Protection, consulta [Configuring Lambda Protection](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) nella Amazon User Guide. GuardDuty *
## [GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria**: Rileva > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non dispongono di EKS Runtime Monitoring con la gestione automatizzata degli agenti abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità EKS Runtime Monitoring con gestione automatizzata degli agenti per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha GuardDuty EKS Runtime Monitoring abilitato. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
EKS Protection in Amazon GuardDuty fornisce una copertura per il rilevamento delle minacce per aiutarti a proteggere i cluster Amazon EKS all'interno del tuo AWS ambiente. EKS Runtime Monitoring utilizza eventi a livello di sistema operativo per aiutarti a rilevare potenziali minacce nei nodi e nei contenitori EKS all'interno dei cluster EKS.
### Correzione
Per abilitare EKS Runtime Monitoring con la gestione automatizzata degli agenti, consulta [ GuardDuty Enabling Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la protezione GuardDuty da malware è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty da malware è disattivata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno la protezione antimalware abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione da malware per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty antimalware abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty Malware Protection for EC2 ti aiuta a rilevare la potenziale presenza di malware scansionando i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze Amazon Elastic Compute Cloud (Amazon EC2) e ai carichi di lavoro dei container. Malware Protection offre opzioni di scansione in cui puoi decidere se includere o escludere istanze EC2 e carichi di lavoro dei container specifici al momento della scansione. Fornisce inoltre la possibilità di conservare le istantanee dei volumi EBS collegati alle istanze EC2 o ai carichi di lavoro dei container nei tuoi account. GuardDuty Gli snapshot vengono conservati solo in caso di rilevamento di malware e di generazione di esiti della protezione da malware.
### Correzione
*Per abilitare GuardDuty Malware Protection for EC2, consulta [Configuring GuardDuty -initiated malware scan nella](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html) Amazon User Guide. GuardDuty *
## [GuardDuty.9] GuardDuty La protezione RDS deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la protezione GuardDuty RDS è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty RDS è disattivata nell'account. In un ambiente con più account, il controllo ha esito negativo se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione RDS abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione RDS per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty RDS abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
RDS Protection in GuardDuty analisi e profila l'attività di accesso RDS per potenziali minacce di accesso ai database Amazon Aurora (Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition). La funzionalità consente di identificare comportamenti di accesso potenzialmente sospetti. La Protezione RDS non richiede un'infrastruttura aggiuntiva ed è progettata in modo da non influire negativamente sulle prestazioni delle istanze di database. Quando RDS Protection rileva un tentativo di accesso potenzialmente sospetto o anomalo che indica una minaccia per il database, genera una nuova scoperta con dettagli sul database potenzialmente compromesso. GuardDuty
### Correzione
Per abilitare GuardDuty RDS Protection, consulta [GuardDuty RDS Protection](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
**Requisiti correlati:** PCI DSS v4.0.1/11.5.1
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se GuardDuty S3 Protection è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty S3 Protection è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno S3 Protection abilitato.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione S3 per gli account membro dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera `FAILED` risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty S3 abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
S3 Protection consente di monitorare le operazioni API GuardDuty a livello di oggetto per identificare potenziali rischi per la sicurezza dei dati all'interno dei bucket Amazon Simple Storage Service (Amazon S3). GuardDuty monitora le minacce contro le risorse S3 AWS CloudTrail analizzando gli eventi di gestione e gli eventi relativi ai dati S3. CloudTrail
### Correzione
Per abilitare GuardDuty S3 Protection, consulta [Amazon S3 Protection in Amazon nella GuardDuty * GuardDuty Amazon*](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) User Guide.
## [GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
**Categoria:** Rileva > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se il Runtime Monitoring è abilitato in Amazon GuardDuty. Per un account autonomo, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del GuardDuty runtime per gli account della propria organizzazione. Inoltre, solo l' GuardDuty amministratore può configurare e gestire gli agenti di sicurezza GuardDuty utilizzati per il monitoraggio in fase di esecuzione dei AWS carichi di lavoro e delle risorse per gli account dell'organizzazione. GuardDuty gli account dei membri non possono abilitare, configurare o disabilitare il monitoraggio del runtime per i propri account.
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di AWS lavoro specifici del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. Puoi abilitare e gestire l'agente di sicurezza per ogni tipo di risorsa che desideri monitorare per rilevare potenziali minacce, come i cluster Amazon EKS e le istanze Amazon EC2.
### Correzione
Per informazioni sulla configurazione e l'abilitazione del monitoraggio del GuardDuty runtime, consulta [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) e [Enabling GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html) nella *Amazon GuardDuty User Guide*.
## [GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
**Categoria:** Rileva > Servizi di rilevamento
**Gravità:** media
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio in fase di esecuzione dei cluster Amazon ECS su. AWS Fargate Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle risorse ECS-Fargate per gli account della propria organizzazione. GuardDuty gli account dei membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera `FAILED` risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle risorse ECS-Fargate è disabilitato per l'account membro. Per ricevere un `PASSED` risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Ciò include i cluster Amazon ECS attivi. AWS Fargate
### Correzione
Per abilitare e gestire l'agente di sicurezza per il monitoraggio del GuardDuty runtime delle risorse ECS-Fargate, è necessario utilizzare direttamente. GuardDuty Non è possibile abilitarlo o gestirlo manualmente per le risorse ECS-Fargate. Per informazioni sull'attivazione e la gestione del security agent, consulta [Prerequisiti per il supporto AWS Fargate (solo Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html) e [Gestione dell'agente di sicurezza automatizzato per (solo AWS Fargate Amazon ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) nella *Amazon GuardDuty * User Guide.
## [GuardDuty.13] Il monitoraggio del runtime GuardDuty EC2 deve essere abilitato
**Categoria:** Rileva > Servizi di rilevamento
**Gravità:** media
**Tipo di risorsa:** `AWS::GuardDuty::Detector`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio del runtime delle istanze Amazon EC2. Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle istanze Amazon EC2 per gli account della propria organizzazione. GuardDuty gli account membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera `FAILED` risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle istanze EC2 è disabilitato per l'account membro. Per ricevere un `PASSED` risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Sono incluse le istanze Amazon EC2.
### Correzione
*Per informazioni sulla configurazione e la gestione dell'agente di sicurezza automatizzato per il monitoraggio del GuardDuty runtime delle istanze EC2, consulta [Prerequisiti per il supporto delle istanze Amazon EC2 e Abilitazione dell'agente di sicurezza automatizzato per le istanze](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html) [Amazon EC2 nella Amazon User](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html) Guide. GuardDuty *