Controlli del Security Hub per Amazon Inspector - AWS Security Hub
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2[Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli del Security Hub per Amazon Inspector

Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon Inspector.

Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2

Requisiti correlati: PCI DSS v4.0.1/11.3.1

Categoria: Rilevamento > Servizi di rilevamento

Gravità: alta

Tipo di risorsa: AWS::::Account

Regola AWS Config : inspector-ec2-scan-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la EC2 scansione di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione di Amazon EC2 Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non EC2 hanno la scansione abilitata.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di EC2 scansione per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione di Amazon EC2 Inspector abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La EC2 scansione di Amazon Inspector estrae i metadati dalla tua istanza Amazon Elastic Compute Cloud (EC2Amazon), quindi confronta questi metadati con le regole raccolte dagli avvisi di sicurezza per produrre risultati. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete. Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un SSM agente, consulta Sistemi operativi supportati: Amazon EC2 scanning.

Correzione

Per abilitare la EC2 scansione di Amazon Inspector, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.

[Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR

Requisiti correlati: PCI DSS v4.0.1/11.3.1

Categoria: Rilevamento > Servizi di rilevamento

Gravità: alta

Tipo di risorsa: AWS::::Account

Regola AWS Config : inspector-ecr-scan-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la ECR scansione di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione di Amazon ECR Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non ECR hanno la scansione abilitata.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di ECR scansione per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione di Amazon ECR Inspector abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

Amazon Inspector analizza le immagini dei container archiviate in Amazon Elastic Container Registry (AmazonECR) alla ricerca di vulnerabilità del software per generare risultati sulle vulnerabilità dei pacchetti. Quando attivi le scansioni di Amazon Inspector per AmazonECR, imposti Amazon Inspector come servizio di scansione preferito per il tuo registro privato. Questo sostituisce la scansione di base, fornita gratuitamente da AmazonECR, con la scansione avanzata, fornita e fatturata tramite Amazon Inspector. La scansione avanzata offre il vantaggio della scansione delle vulnerabilità sia per il sistema operativo che per i pacchetti di linguaggi di programmazione a livello di registro. Puoi esaminare i risultati scoperti utilizzando la scansione avanzata a livello di immagine, per ogni livello dell'immagine, sulla ECR console Amazon. Inoltre, puoi esaminare e utilizzare questi risultati in altri servizi non disponibili per le scansioni di base, AWS Security Hub tra cui Amazon EventBridge.

Correzione

Per abilitare la ECR scansione di Amazon Inspector, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.

[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

Requisiti correlati: v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS PCI DSS

Categoria: Rilevamento > Servizi di rilevamento

Gravità: alta

Tipo di risorsa: AWS::::Account

Regola AWS Config : inspector-lambda-code-scan-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la scansione del codice Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione del codice Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione del codice Lambda.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione del codice Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha abilitato la scansione del codice Amazon Inspector Lambda. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La scansione del codice Amazon Inspector Lambda analizza il codice dell'applicazione personalizzata all'interno di una AWS Lambda funzione alla ricerca di vulnerabilità del codice in base alle best practice di sicurezza. AWS La scansione del codice Lambda può rilevare difetti di iniezione, fughe di dati, crittografia debole o crittografia mancante nel codice. Questa funzionalità è disponibile solo in alcuni casi specifici. Regioni AWS È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

Correzione

Per abilitare la scansione del codice Amazon Inspector Lambda, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.

[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata

Requisiti correlati: v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS PCI DSS

Categoria: Rilevamento > Servizi di rilevamento

Gravità: alta

Tipo di risorsa: AWS::::Account

Regola AWS Config : inspector-lambda-standard-scan-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la scansione standard di Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione standard di Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione standard Lambda.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione standard Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione standard Amazon Inspector Lambda abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La scansione standard di Amazon Inspector Lambda identifica le vulnerabilità del software nelle dipendenze dei pacchetti applicativi che aggiungi al codice e ai livelli delle funzioni. AWS Lambda Se Amazon Inspector rileva una vulnerabilità nelle dipendenze del pacchetto applicativo della funzione Lambda, Amazon Inspector fornisce una ricerca dettagliata del tipo. Package Vulnerability È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata

Correzione

Per abilitare la scansione standard di Amazon Inspector Lambda, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.