As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Systems Manager
Esses AWS Security Hub controles avaliam o AWS Systems Manager (SSM) serviços e recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)
Categoria: Identificar > Inventário
Severidade: média
Recurso avaliado: AWS::EC2::Instance
Obrigatório AWS Config recursos de gravação: AWS::EC2::Instance
, AWS::SSM::ManagedInstanceInventory
AWS Config regra: ec2-instance-managed-by-systems-manager
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as EC2 instâncias paradas e em execução na sua conta são gerenciadas pelo AWS Systems Manager. Systems Manager é um AWS service (Serviço da AWS) que você pode usar para visualizar e controlar seu AWS infraestrutura.
Para ajudar você a manter a segurança e a conformidade, o Systems Manager verifica as instâncias gerenciadas interrompidas e em execução. Uma instância gerenciada é uma máquina que foi configurada para uso com o Systems Manager. Em seguida, o Systems Manager relata ou toma medidas corretivas sobre quaisquer violações de políticas detectadas. O Systems Manager também ajuda você a configurar e manter suas instâncias gerenciadas.
Para saber mais, consulte AWS Systems Manager Guia do usuário .
Correção
Para gerenciar EC2 instâncias com o Systems Manager, consulte Gerenciamento de EC2 host da Amazon na AWS Systems Manager Guia do usuário. Na seção Opções de configuração, você pode manter as opções padrão ou alterá-las conforme necessário para sua configuração preferida.
[SSM.2] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch
Requisitos relacionados: PCI DSS v3.2.1/6.2, NIST .800-53.r5 CM-8 (3), .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST NIST
Categoria: Detectar > Serviços de detecção
Severidade: alta
Tipo de recurso: AWS::SSM::PatchCompliance
AWS Config regra: ec2-managedinstance-patch-compliance-status-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o status da conformidade do patch do Systems Manager é COMPLIANT
ou NON_COMPLIANT
após a instalação do patch na instância. O controle falhará se o status de conformidade for NON_COMPLIANT
. O controle verifica somente as instâncias gerenciadas pelo gerenciador de patches do Systems Manager.
A correção de suas EC2 instâncias conforme exigido por sua organização reduz a superfície de ataque de seu Contas da AWS.
Correção
O Systems Manager recomenda o uso de políticas de patch para configurar a correção das suas instâncias gerenciadas. Também é possível usar documentos do Systems Manager, conforme descrito no procedimento a seguir, para corrigir uma instância.
Como corrigir patches que não estão em conformidade
Abra as AWS Systems Manager console em https://console.aws.amazon.com/systems-manager/
. -
Em Gerenciamento de nós, escolha Executar comando e, depois, Executar comando.
-
Escolha a opção para AWS-RunPatchBaseline.
-
Altere Operation (Operação) para Install (Instalar).
-
Selecione Choose instances manually (Escolher instâncias manualmente) e selecione as instâncias que não estão em conformidade.
-
Escolha Executar.
-
Após a conclusão do comando, para monitorar o novo status de conformidade das instâncias com patches, no painel de navegação, escolha Conformidade.
[SSM.3] EC2 As instâncias da Amazon gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT
Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (1), .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3) NIST NIST NIST
Categoria: Detectar > Serviços de detecção
Severidade: baixa
Tipo de recurso: AWS::SSM::AssociationCompliance
AWS Config regra: ec2-managedinstance-association-compliance-status-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o status do AWS Systems Manager a conformidade da associação é COMPLIANT
ou NON_COMPLIANT
após a associação ser executada em uma instância. O controle falhará se o status de conformidade for NON_COMPLIANT
.
Uma associação do State Manager é uma configuração que é atribuída às instâncias gerenciadas. A configuração define o estado que você deseja manter em suas instâncias. Por exemplo, uma associação pode especificar que o software antivírus deve estar instalado e em execução nas instâncias ou que determinadas portas devem ser fechadas.
Depois de criar uma ou mais associações de State Manager, as informações de status de conformidade ficam imediatamente disponíveis para você. Você pode visualizar o status de conformidade no console ou em resposta a AWS CLI comandos ou API ações correspondentes do Systems Manager. Para associações, a Conformidade de configuração mostra o status de conformidade (Compliant
ou Non-compliant
). Também mostra o nível de severidade atribuído à associação, como Critical
ou Medium
.
Para saber mais sobre a conformidade da associação do State Manager, consulte Sobre a conformidade da associação do State Manager no AWS Systems Manager Guia do usuário.
Correção
Uma associação com falha pode estar relacionada a coisas diferentes, incluindo destinos e nomes de documentos do Systems Manager. Para corrigir esse problema, você deve primeiro identificar e investigar a associação visualizando o histórico da associação. Para obter instruções sobre como visualizar o histórico de associações, consulte Visualização de históricos de associações no AWS Systems Manager Guia do usuário.
Depois de investigar, você pode editar a associação para corrigir o problema identificado. É possível editar uma associação para especificar um novo nome, agendamento, nível de gravidade ou destinos. Depois de editar uma associação, AWS Systems Manager cria uma nova versão. Para obter instruções sobre como editar uma associação, consulte Edição e criação de uma nova versão de uma associação no AWS Systems Manager Guia do usuário.
[SSM.4] SSM documentos não devem ser públicos
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: crítica
Tipo de recurso: AWS::SSM::Document
AWS Config regra: ssm-document-not-public
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se AWS Systems Manager os documentos que são de propriedade da conta são públicos. Esse controle falhará se os documentos do Systems Manager com o proprietário Self
forem públicos.
Documentos do Systems Manager que são públicos podem permitir acesso não intencional aos seus documentos. Um documento público do Systems Manager pode expor informações valiosas sobre sua conta, recursos e processos internos.
A menos que seu caso de uso exija compartilhamento público, recomendamos que você bloqueie a configuração de compartilhamento público para documentos do Systems Manager que sejam de propriedade de Self
.
Correção
Para bloquear o compartilhamento público de documentos do Systems Manager, consulte Bloquear o compartilhamento público de SSM documentos no AWS Systems Manager Guia do usuário.