Controles do Security Hub para o Amazon Inspector - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para o Amazon Inspector

Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Inspector.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2

Requisitos relacionados: PCI DSS v4.0.1/11.3.1

Categoria: Detectar > Serviços de detecção

Severidade: alta

Tipo de recurso: AWS::::Account

Regra do AWS Config : inspector-ec2-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o EC2 escaneamento do Amazon Inspector está habilitado. Para uma conta autônoma, o controle falhará se a digitalização do Amazon EC2 Inspector estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada de administrador do Amazon Inspector e todas as contas membros não EC2 tiverem a verificação ativada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de EC2 escaneamento das contas dos membros na organização. As contas-membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gera FAILED descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação do Amazon EC2 Inspector ativada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O EC2 escaneamento do Amazon Inspector extrai metadados da sua instância do Amazon Elastic Compute Cloud (EC2Amazon) e, em seguida, compara esses metadados com regras coletadas de consultorias de segurança para produzir descobertas. O Amazon Inspector varre as instâncias em busca de vulnerabilidades de pacotes e problemas de acessibilidade de rede. Para obter informações sobre sistemas operacionais compatíveis, incluindo quais sistemas operacionais podem ser escaneados sem um SSM agente, consulte Sistemas operacionais compatíveis: EC2 escaneamento da Amazon.

Correção

Para habilitar o EC2 escaneamento do Amazon Inspector, consulte Ativação de escaneamentos no Guia do Usuário do Amazon Inspector.

[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR

Requisitos relacionados: PCI DSS v4.0.1/11.3.1

Categoria: Detectar > Serviços de detecção

Severidade: alta

Tipo de recurso: AWS::::Account

Regra do AWS Config : inspector-ecr-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o ECR escaneamento do Amazon Inspector está habilitado. Para uma conta autônoma, o controle falhará se a digitalização do Amazon ECR Inspector estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada de administrador do Amazon Inspector e todas as contas membros não ECR tiverem a verificação ativada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de ECR escaneamento das contas dos membros na organização. As contas-membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gera FAILED descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação do Amazon ECR Inspector ativada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O Amazon Inspector escaneia imagens de contêineres armazenadas no Amazon Elastic Container Registry (AmazonECR) em busca de vulnerabilidades de software para gerar descobertas de vulnerabilidades de pacotes. Quando você ativa os escaneamentos do Amazon Inspector para a AmazonECR, você define o Amazon Inspector como seu serviço de escaneamento preferido para seu registro privado. Isso substitui o escaneamento básico, que é fornecido gratuitamente pela AmazonECR, pelo escaneamento aprimorado, que é fornecido e cobrado pelo Amazon Inspector. O escaneamento avançado oferece o benefício de varrer para encontrar vulnerabilidades para pacotes de sistemas operacionais e de linguagens de programação ao nível do registro. Você pode analisar as descobertas usando a digitalização aprimorada no nível da imagem, para cada camada da imagem, no ECR console da Amazon. Além disso, você pode analisar e trabalhar com essas descobertas em outros serviços não disponíveis para descobertas básicas de escaneamento, incluindo AWS Security Hub a Amazon EventBridge.

Correção

Para habilitar o ECR escaneamento do Amazon Inspector, consulte Ativação de escaneamentos no Guia do Usuário do Amazon Inspector.

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS

Categoria: Detectar > Serviços de detecção

Severidade: alta

Tipo de recurso: AWS::::Account

Regra do AWS Config : inspector-lambda-code-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a varredura de código do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura de código do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas-membro não tiverem a varredura de código do Lambda habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura de código do Lambda para as contas-membro da organização. As contas-membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas FAILED se o administrador delegado tiver uma conta-membro suspensa que não tenha a varredura do varredura de código do Lambda do Amazon Inspector habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O escaneamento de código Lambda do Amazon Inspector escaneia o código do aplicativo personalizado dentro de uma AWS Lambda função em busca de vulnerabilidades de código com base nas melhores práticas de segurança. AWS O escaneamento de código do Lambda pode detectar falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente em seu código. Esse recurso está disponível Regiões da AWS somente de forma específica. Você pode ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada).

Correção

Para habilitar varredura de código do Lambda do Amazon Inspector, consulte Activating scans no Amazon Inspector User Guide.

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/6.2.4, v4.0.1/6.3.1 PCI DSS

Categoria: Detectar > Serviços de detecção

Severidade: alta

Tipo de recurso: AWS::::Account

Regra do AWS Config : inspector-lambda-standard-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a varredura padrão do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura padrão do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas-membro não tiverem a varredura padrão do Lambda habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura padão do Lambda para as contas-membros na organização. As contas-membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas FAILED se o administrador delegado tiver uma conta-membro suspensa que não tenha a varredura do varredura padrão do Lambda do Amazon Inspector habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O escaneamento padrão do Amazon Inspector Lambda identifica vulnerabilidades de software nas dependências do pacote de aplicativos que você adiciona ao seu código de função e camadas. AWS Lambda Se o Amazon Inspector detectar uma vulnerabilidade nas dependências do pacotes de aplicação da função do Lambda, o Amazon Inspector produzirá uma descoberta detalhada do tipo Package Vulnerability. Você pode ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada).

Correção

Para habilitar a varredura padrão do Lambda do Amazon Inspector, consulte Activating scans no Amazon Inspector User Guide.