As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para Systems Manager
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos AWS Systems Manager (SSM). Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager
**Requisitos relacionados:** PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-2 (3) NIST.800-53.r5 SA-3
**Categoria:** Identificar > Inventário
**Gravidade:** média
**Recurso avaliado:** `AWS::EC2::Instance`
**Recursos AWS Config de gravação necessários:**`AWS::EC2::Instance`, `AWS::SSM::ManagedInstanceInventory`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as instâncias do EC2 interrompidas e em execução na sua conta são gerenciadas pelo AWS Systems Manager. O Systems Manager é um AWS service (Serviço da AWS) que você pode usar para visualizar e controlar sua AWS infraestrutura.
Para ajudar você a manter a segurança e a conformidade, o Systems Manager verifica as instâncias gerenciadas interrompidas e em execução. Uma instância gerenciada é uma máquina que foi configurada para uso com o Systems Manager. Em seguida, o Systems Manager relata ou toma medidas corretivas sobre quaisquer violações de políticas detectadas. O Systems Manager também ajuda você a configurar e manter suas instâncias gerenciadas. Para saber mais, consulte o [Manual do usuário do AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html).
**nota**
Esse controle gera `FAILED` descobertas para instâncias do EC2 que são instâncias do AWS Elastic Disaster Recovery Replication Server gerenciadas pelo. AWS Uma instância do servidor de replicação é uma instância do EC2 que é iniciada automaticamente AWS Elastic Disaster Recovery para oferecer suporte à replicação contínua de dados dos servidores de origem. AWS remove intencionalmente o Agente do Systems Manager (SSM) dessas instâncias para manter o isolamento e ajudar a evitar possíveis caminhos de acesso não intencionais.
### Correção
Para obter informações sobre o gerenciamento de instâncias do EC2 com AWS Systems Manager, consulte Gerenciamento de [host do Amazon EC2](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html) no Guia *AWS Systems Manager do* usuário. Na seção **Opções de configuração** no AWS Systems Manager console, você pode manter as configurações padrão ou alterá-las conforme necessário para sua configuração preferida.
## [PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch
**Requisitos relacionados:** NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), NIST.800-171.r2 3,7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** alta
**Tipo de recurso:** `AWS::SSM::PatchCompliance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o status da conformidade do patch do Systems Manager é `COMPLIANT` ou `NON_COMPLIANT` após a instalação do patch na instância. O controle falhará se o status de conformidade for `NON_COMPLIANT`. O controle verifica somente as instâncias gerenciadas pelo gerenciador de patches do Systems Manager.
Ter as instâncias do EC2 corrigidas conforme exigido pela organização reduz a superfície de ataque de suas Contas da AWS.
### Correção
O Systems Manager recomenda o uso de [políticas de patch](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html) para configurar a correção das suas instâncias gerenciadas. Também é possível usar [documentos do Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html), conforme descrito no procedimento a seguir, para corrigir uma instância.
**Como corrigir patches que não estão em conformidade**
1. Abra o AWS Systems Manager console em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Em **Gerenciamento de nós**, escolha **Executar comando** e, depois, **Executar comando**.
1. Escolha a opção para **AWS- RunPatchBaseline**.
1. Altere **Operation (Operação)** para **Install (Instalar)**.
1. Selecione **Choose instances manually (Escolher instâncias manualmente)** e selecione as instâncias que não estão em conformidade.
1. Escolha **Executar**.
1. Após a conclusão do comando, para monitorar o novo status de conformidade das instâncias com patches, no painel de navegação, escolha **Conformidade**.
## PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8 (1), NIST.800-53.r5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS vs 3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
**Categoria:** Detectar > Serviços de detecção
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SSM::AssociationCompliance`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se o status da conformidade da AWS Systems Manager associação é `COMPLIANT` ou `NON_COMPLIANT` após a execução da associação em uma instância. O controle falhará se o status de conformidade for `NON_COMPLIANT`.
Uma associação do State Manager é uma configuração que é atribuída às instâncias gerenciadas. A configuração define o estado que você deseja manter em suas instâncias. Por exemplo, uma associação pode especificar que o software antivírus deve estar instalado e em execução nas instâncias ou que determinadas portas devem ser fechadas.
Depois de criar uma ou mais associações de State Manager, as informações de status de conformidade ficam imediatamente disponíveis para você. Você pode visualizar o status de conformidade no console ou em resposta aos AWS CLI comandos ou às ações correspondentes da API do Systems Manager. Para associações, a Conformidade de configuração mostra o status de conformidade (`Compliant` ou `Non-compliant`). Também mostra o nível de gravidade atribuído à associação, como `Critical` ou `Medium`.
Para saber mais sobre a conformidade da associação State Manager, consulte [Sobre a conformidade de associações do Gerenciador de Estados](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association) no *Guia do usuário do AWS Systems Manager *.
### Correção
Uma associação reprovada pode estar relacionada a motivos diferentes, incluindo destinos e nomes de documentos Systems Manager. Para corrigir esse problema, é necessário primeiro identificar e investigar a associação visualizando o histórico da associação. Para obter instruções sobre como visualizar o histórico de associações, consulte [Visualização de históricos de associações](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html) no *Guia do usuário do AWS Systems Manager *.
Depois de investigar, você pode editar a associação para corrigir o problema identificado. É possível editar uma associação para especificar um novo nome, agendamento, nível de gravidade ou destinos. Depois de editar uma associação, AWS Systems Manager cria uma nova versão. Para obter instruções sobre como editar uma associação, consulte [Edita e criar uma nova versão de uma associação](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html) no *Guia do usuário do AWS Systems Manager *.
## [SSM.4] Os documentos SSM não devem ser públicos
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::SSM::Document`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se AWS Systems Manager os documentos pertencentes a uma conta são públicos. O controle falhará se os documentos do Systems Manager com o proprietário `Self` forem públicos.
Documentos Systems Manager que são públicos podem permitir acesso não pretendido aos documentos. Um documento do Systems Manager público pode expor informações valiosas sobre sua conta, recursos e processos internos.
A menos que seu caso de uso exija compartilhamento público, recomendamos que você bloqueie o compartilhamento público para documentos do Systems Manager com o proprietário `Self`.
### Correção
Para obter informações sobre como configurar o compartilhamento de documentos do Systems Manager, consulte [Compartilhamento de um documento do SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share) no *Guia do Usuário do AWS Systems Manager *.
## [SSM.5] Os documentos do SSM devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::SSM::Document`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se um AWS Systems Manager documento tem as chaves de tag especificadas pelo `requiredKeyTags` parâmetro. O controle falhará se o documento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o documento não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`. O controle não avalia os documentos do Systems Manager de propriedade da Amazon.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para adicionar tags a um AWS Systems Manager documento, você pode usar a [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)operação da AWS Systems Manager API ou, se estiver usando a AWS CLI, executar o [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)comando. Também é possível usar o console do AWS Systems Manager .
## [SSM.6] A automação de SSM deve ter o registro ativado CloudWatch
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o CloudWatch registro na Amazon está habilitado para automação AWS Systems Manager (SSM). O controle falhará se o CloudWatch registro não estiver habilitado para a automação SSM.
O SSM Automation é uma AWS Systems Manager ferramenta que ajuda você a criar soluções automatizadas para implantar, configurar e gerenciar AWS recursos em grande escala usando runbooks predefinidos ou personalizados. Para satisfazer os requisitos de segurança ou operacionais da sua organização, pode ser necessário fornecer um registro dos scripts que ela executa. Você pode configurar o SSM Automation para enviar a saída das `aws:executeScript` ações em seus runbooks para um grupo de CloudWatch logs do Amazon Logs que você especificar. Com o CloudWatch Logs, você pode monitorar, armazenar e acessar arquivos de log de vários Serviços da AWS.
### Correção
Para obter informações sobre como ativar o CloudWatch registro para a automação SSM, consulte [Saída da ação do Logging Automation com CloudWatch registros](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html) no *Guia do AWS Systems Manager usuário*.
## [SSM.7] Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público habilitada
**Categoria:** Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::::Account`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se a configuração de bloqueio de compartilhamento público está habilitada para documentos do AWS Systems Manager . O controle falhará se a configuração de bloqueio de compartilhamento público estiver desabilitada para documentos do Systems Manager.
A configuração de bloqueio de compartilhamento público para documentos AWS Systems Manager (SSM) é uma configuração no nível da conta. Habilitar essa configuração pode impedir o acesso indesejado aos seus documentos do SSM. Se você habilitar essa configuração, sua alteração não afetará nenhum documento do SSM que você esteja compartilhando atualmente com o público. A menos que seu caso de uso exija que você compartilhe documentos do SSM com o público, recomendamos que você habilite a configuração de bloqueio de compartilhamento público. A configuração pode ser diferente para cada um Região da AWS.
### Correção
Para obter informações sobre a configuração de bloqueio de compartilhamento público para documentos do AWS Systems Manager (SSM), consulte [Bloqueio de compartilhamento público para documentos do SSM](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access) no *Guia do usuário do AWS Systems Manager *.