Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per Systems Manager
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse AWS Systems Manager (SSM). I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [SSM.1] Le istanze Amazon EC2 devono essere gestite da AWS Systems Manager
**Requisiti correlati:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), 5 (8), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-3
**Categoria:** Identificazione > Inventario
**Gravità:** media
**Risorsa valutata:** `AWS::EC2::Instance`
**Risorse AWS Config di registrazione richieste:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le istanze EC2 interrotte e in esecuzione nel tuo account sono gestite da. AWS Systems Manager Systems Manager è uno Servizio AWS strumento che puoi utilizzare per visualizzare e controllare la tua AWS infrastruttura.
Per aiutarti a mantenere la sicurezza e la conformità, Systems Manager analizza le istanze gestite interrotte e in esecuzione. Un'istanza gestita è una macchina configurata per l'uso con Systems Manager. Systems Manager segnala quindi o intraprende azioni correttive in caso di violazioni delle policy rilevate. Systems Manager consente inoltre di configurare e mantenere le istanze gestite. Per ulteriori informazioni, consulta la [Guida per l'utente di AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).
**Nota**
Questo controllo genera `FAILED` risultati per le istanze EC2 che sono istanze di AWS Elastic Disaster Recovery Replication Server gestite da. AWS Un'istanza Replication Server è un'istanza EC2 che viene avviata automaticamente AWS Elastic Disaster Recovery per supportare la replica continua dei dati dai server di origine. AWS rimuove intenzionalmente l'agente Systems Manager (SSM) da queste istanze per mantenere l'isolamento e aiutare a prevenire potenziali percorsi di accesso non intenzionali.
### Correzione
*Per informazioni sulla gestione delle istanze EC2 con AWS Systems Manager, consulta la gestione degli [host di Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) nella AWS Systems Manager Guida per l'utente.* Nella sezione **Opzioni di configurazione** della AWS Systems Manager console, puoi mantenere le impostazioni predefinite o modificarle secondo necessità per la tua configurazione preferita.
## [SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch
**Requisiti correlati:** NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (3), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), NIST.800-171.r2 3.7.1, PCI DSS versione 3.2.1/6.2, PCI DSS versione 4.0.1/2.2.1, PCI DSS versione 4.0.1/6.3.3
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::SSM::PatchCompliance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se lo stato di conformità della patch di Systems Manager è `COMPLIANT` o `NON_COMPLIANT` dopo l'installazione della patch sull'istanza. Il controllo ha esito negativo se lo stato di conformità è`NON_COMPLIANT`. Il controllo controlla solo le istanze gestite da Systems Manager Patch Manager.
L'applicazione di patch alle istanze EC2 come richiesto dall'organizzazione riduce la superficie di attacco della vostra. Account AWS
### Correzione
Systems Manager consiglia di utilizzare [le policy di patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) per configurare l'applicazione delle patch per le istanze gestite. È inoltre possibile utilizzare [i documenti Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), come descritto nella procedura seguente, per applicare patch a un'istanza.
**Per correggere le patch non conformi**
1. Aprire la AWS Systems Manager console all'indirizzo [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Per **Gestione dei nodi**, scegli **Esegui comando**, quindi scegli **Esegui comando**.
1. Scegli l'opzione per **AWS- RunPatchBaseline**.
1. Modificare l'**operazione** su **Install (Installa)**.
1. **Scegli le istanze manualmente**, quindi scegli le istanze non conformi.
1. Scegli **Esegui**.
1. **Una volta completato il comando, per monitorare il nuovo stato di conformità delle istanze a cui è stata applicata la patch, scegli Conformità nel riquadro di navigazione.**
## [SSM.3] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità dell'associazione pari a COMPLIANT
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (1), NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS versione 3.2.2.4, PCI DSS versione 4.0.1/2.2.1, PCI DSS versione 4.0.1/6.3.3
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SSM::AssociationCompliance`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se lo stato della conformità dell' AWS Systems Manager associazione è `COMPLIANT` o `NON_COMPLIANT` dopo l'esecuzione dell'associazione su un'istanza. Il controllo ha esito negativo se lo stato di conformità dell'associazione è`NON_COMPLIANT`.
Un'associazione State Manager è una configurazione assegnata alle istanze gestite. La configurazione definisce lo stato che desideri mantenere sulle istanze. Ad esempio, un'associazione può specificare che il software antivirus deve essere installato e in esecuzione sulle istanze o che determinate porte devono essere chiuse.
Dopo aver creato una o più associazioni di State Manager, le informazioni sullo stato di conformità sono immediatamente disponibili. È possibile visualizzare lo stato di conformità nella console o in risposta ai AWS CLI comandi o alle azioni API Systems Manager corrispondenti. Per le associazioni, Configuration Compliance mostra lo stato di conformità (`Compliant`o`Non-compliant`). Mostra anche il livello di gravità assegnato all'associazione, ad esempio `Critical` o`Medium`.
Per ulteriori informazioni sulla conformità dell'associazione State Manager, vedere [Informazioni sulla conformità all'associazione State Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) nella *Guida per l'AWS Systems Manager utente*.
### Correzione
Un'associazione fallita può essere correlata a diversi fattori, tra cui destinazioni e nomi di documenti Systems Manager. Per risolvere questo problema, è necessario innanzitutto identificare e analizzare l'associazione visualizzando la cronologia delle associazioni. Per istruzioni sulla visualizzazione della cronologia delle associazioni, vedere [Visualizzazione della cronologia delle associazioni nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) per l'*AWS Systems Manager utente*.
Dopo aver esaminato, è possibile modificare l'associazione per correggere il problema identificato. Puoi modificare un'associazione per specificare un nome, una pianificazione, un livello di gravità o target nuovi. Dopo aver modificato un'associazione, AWS Systems Manager crea una nuova versione. Per istruzioni sulla modifica di un'associazione, consulta [Modifica e creazione di una nuova versione di un'associazione](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) nella *Guida per l'AWS Systems Manager utente*.
## [SSM.4] I documenti SSM non devono essere pubblici
**Requisiti correlati:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::SSM::Document`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se AWS Systems Manager i documenti di proprietà di un account sono pubblici. Il controllo fallisce se i documenti di Systems Manager che hanno `Self` come proprietario sono pubblici.
I documenti pubblici di Systems Manager potrebbero consentire l'accesso non intenzionale ai documenti. Un documento pubblico di Systems Manager può esporre informazioni preziose sull'account, sulle risorse e sui processi interni.
A meno che il tuo caso d'uso non richieda la condivisione pubblica, ti consigliamo di bloccare la condivisione pubblica per i documenti di Systems Manager che hai `Self` come proprietario.
### Correzione
Per informazioni sulla configurazione della condivisione per i documenti di Systems Manager, vedere [Condividi un documento SSM nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) per l'*AWS Systems Manager utente*.
## [SSM.5] I documenti SSM devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::SSM::Document`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Un elenco di chiavi di tag non di sistema che devono essere assegnate a una risorsa valutata. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Systems Manager documento ha le chiavi dei tag specificate dal `requiredKeyTags` parametro. Il controllo ha esito negativo se il documento non ha alcuna chiave di tag o non ha tutte le chiavi specificate dal `requiredKeyTags` parametro. Se non specificate alcun valore per il `requiredKeyTags` parametro, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il documento non ha alcuna chiave di tag. Il controllo ignora i tag di sistema, che vengono applicati automaticamente e hanno il `aws:` prefisso. Il controllo non valuta i documenti Systems Manager di proprietà di Amazon.
Un tag è un'etichetta che crei e assegni a una AWS risorsa. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale. È possibile utilizzare i tag per classificare le risorse in base allo scopo, al proprietario, all'ambiente o ad altri criteri. Possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. Possono anche aiutarti a tenere traccia delle azioni e delle notifiche dei proprietari delle risorse. Puoi anche utilizzare i tag per implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione. *Per ulteriori informazioni sulle strategie ABAC, consulta [Definizione delle autorizzazioni in base agli attributi con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella IAM User Guide.* Per ulteriori informazioni sui tag, consulta la Guida per l'utente di [Tagging AWS Resources and Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**Nota**
Non memorizzare informazioni personali identificabili o altre informazioni riservate o sensibili nei tag. I tag sono accessibili da molti Servizi AWS. Non sono destinati a essere utilizzati per dati privati o sensibili.
### Correzione
Per aggiungere tag a un AWS Systems Manager documento, puoi utilizzare il [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)funzionamento dell' AWS Systems Manager API o, se utilizzi il AWS CLI, eseguire il [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. Puoi anche utilizzare la console AWS Systems Manager .
## [SSM.6] SSM Automation dovrebbe avere la registrazione abilitata CloudWatch
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la CloudWatch registrazione di Amazon è abilitata per l'automazione AWS Systems Manager (SSM). Il controllo fallisce se la CloudWatch registrazione non è abilitata per SSM Automation.
SSM Automation è uno AWS Systems Manager strumento che ti aiuta a creare soluzioni automatizzate per distribuire, configurare e gestire AWS risorse su larga scala utilizzando runbook predefiniti o personalizzati. Per soddisfare i requisiti operativi o di sicurezza dell'organizzazione, potrebbe essere necessario fornire un registro degli script eseguiti. Puoi configurare SSM Automation per inviare l'output `aws:executeScript` delle azioni nei tuoi runbook a un gruppo di log Amazon CloudWatch Logs da te specificato. Con CloudWatch Logs, puoi monitorare, archiviare e accedere a file di registro da diversi file. Servizi AWS
### Correzione
*Per informazioni sull'abilitazione della CloudWatch registrazione per SSM Automation, consulta l'[output dell'azione Logging Automation with CloudWatch Logs](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) nella Guida per l'utente.AWS Systems Manager *
## [SSM.7] I documenti SSM devono avere l'impostazione di condivisione pubblica a blocchi abilitata
**Categoria:** Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico
**Severità:** critica
**Tipo di risorsa:** `AWS::::Account`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se l'impostazione di blocco della condivisione pubblica è abilitata per AWS Systems Manager i documenti. Il controllo fallisce se l'impostazione di blocco della condivisione pubblica è disabilitata per i documenti di Systems Manager.
L'impostazione di condivisione pubblica a blocchi per i documenti AWS Systems Manager (SSM) è un'impostazione a livello di account. L'attivazione di questa impostazione può impedire l'accesso indesiderato ai documenti SSM. Se abiliti questa impostazione, la modifica non influirà sui documenti SSM che stai attualmente condividendo con il pubblico. A meno che il tuo caso d'uso non richieda la condivisione di documenti SSM con il pubblico, ti consigliamo di abilitare l'impostazione di blocco della condivisione pubblica. L'impostazione può essere diversa per ognuno di essi Regione AWS.
### Correzione
Per informazioni sull'attivazione dell'impostazione di blocco della condivisione pubblica per i documenti AWS Systems Manager (SSM), consulta [Bloccare la condivisione pubblica per i documenti SSM nella Guida](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) per l'*AWS Systems Manager utente*.