适用于 Amazon Inspector 的 Security Hub 控件 - AWS Security Hub
[Inspector.1] 应启用 Amazon Inspector EC2 扫描[Inspector.2] 应启用 Amazon Inspector ECR 扫描[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon Inspector 的 Security Hub 控件

这些 AWS Security Hub 控制措施会评估 Amazon Inspector 的服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[Inspector.1] 应启用 Amazon Inspector EC2 扫描

相关要求:PCIDSSv4.0.1/11.3.1

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

AWS Config 规则:inspector-ec2-scan-enabled

计划类型:定期

参数:

此控件会检查 Amazon Inspector EC2 扫描是否已启用。对于独立账户,如果账户中禁用了 Amazon Inspector EC2 扫描,则控制失败。在多账户环境中,如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用EC2扫描,则控制失败。

在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有授权的管理员才能启用或禁用组织中成员帐户的EC2扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员的成员账户已暂停,但未启用 Amazon Inspector EC2 扫描,则此控件会生成FAILED调查结果。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector EC2 扫描从您的亚马逊弹性计算云 (AmazonEC2) 实例中提取元数据,然后将这些元数据与从安全公告中收集的规则进行比较以得出结果。Amazon Inspector 会扫描实例中是否存在程序包漏洞和网络可访问性问题。有关支持的操作系统的信息,包括无需SSM代理即可扫描哪些操作系统,请参阅支持的操作系统:Amazon EC2 扫描

修复

要启用 Amazon Inspector 扫EC2描,请参阅亚马逊 Inspector 用户指南中的激活扫描

[Inspector.2] 应启用 Amazon Inspector ECR 扫描

相关要求:PCIDSSv4.0.1/11.3.1

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

AWS Config 规则:inspector-ecr-scan-enabled

计划类型:定期

参数:

此控件会检查 Amazon Inspector ECR 扫描是否已启用。对于独立账户,如果账户中禁用了 Amazon Inspector ECR 扫描,则控制失败。在多账户环境中,如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用ECR扫描,则控制失败。

在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有授权的管理员才能启用或禁用组织中成员帐户的ECR扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员的成员账户已暂停,但未启用 Amazon Inspector ECR 扫描,则此控件会生成FAILED调查结果。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector 会扫描存储在亚马逊弹性容器注册表 (AmazonECR) 中的容器映像中是否存在软件漏洞,以生成包裹漏洞调查结果。当你为亚马逊激活 Amazon Inspector 扫描时ECR,你将 Amazon Inspector 设置为私有注册表的首选扫描服务。这用增强型扫描取代了亚马逊免费提供的基本扫描ECR,后者由Amazon Inspector提供并计费。增强扫描让您能够在注册表级别对操作系统和编程语言包进行漏洞扫描。您可以在 Amazon ECR 控制台上查看使用图像级别增强扫描发现的结果,针对图像的每一层。此外,您还可以在其他不适用于基本扫描结果的服务(包括和 Amazon)中查看 AWS Security Hub 和处理这些发现 EventBridge。

修复

要启用 Amazon Inspector 扫ECR描,请参阅亚马逊 Inspector 用户指南中的激活扫描

[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描

相关要求:PCIDSSv4.0.1/6.2.4、v4.0.1/6.3.1 PCI DSS

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

AWS Config 规则:inspector-lambda-code-scan-enabled

计划类型:定期

参数:

此控件可检查是否启用了 Amazon Inspector Lambda 扫描。对于独立账户,如果账户中禁用了 Amazon Inspector Lambda 代码扫描,则此控件将失败。在多账户环境中,如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 Lambda 代码扫描,则此控件将失败。

在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 Lambda 代码扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员有一个未启用 Amazon Inspector Lambda 代码扫描的已暂停成员账户,则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector Lambda 代码扫描会根据 AWS 安全最佳实践扫描 AWS Lambda 函数中的自定义应用程序代码,以查找代码漏洞。Lambda 代码扫描可检测注入缺陷、数据泄露、弱加密或代码中缺少加密。此功能AWS 区域 仅在特定情况下可用。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描(请参阅 [Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描)。

修复

要启用 Amazon Inspector Lambda 代码扫描,请参阅《Amazon Inspector User Guide》中的 Activating scans

[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描

相关要求:PCIDSSv4.0.1/6.2.4、v4.0.1/6.3.1 PCI DSS

类别:检测 > 检测服务

严重性:

资源类型:AWS::::Account

AWS Config 规则:inspector-lambda-standard-scan-enabled

计划类型:定期

参数:

此控件可检查是否启用了 Amazon Inspector Lambda 标准扫描。对于独立账户,如果账户中禁用了 Amazon Inspector Lambda 标准扫描,则此控件将失败。在多账户环境中,如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 Lambda 标准扫描,则此控件将失败。

在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 Lambda 标准扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员有未启用 Amazon Inspector Lambda 标准扫描的已暂停成员账户,则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector Lambda 标准扫描可识别您添加到 AWS Lambda 函数代码和层中的应用程序包依赖项中的软件漏洞。如果 Amazon Inspector 在 Lambda 函数应用程序包依赖项中检测到漏洞,则 Amazon Inspector 会生成详细 Package Vulnerability 类型的调查发现。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描(请参阅 [Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描)。

修复

要启用 Amazon Inspector Lambda 标准扫描,请参阅《Amazon Inspector User Guide》中的 Activating scans