本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Systems Manager 的 Security Hub 控件
这些 AWS Security Hub 控件评估 AWS Systems Manager (SSM) 服务和资源。
这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性。
[SSM.1] 亚马逊EC2实例应由以下人员管理 AWS Systems Manager
相关要求:PCIDSSv3.2.1/2.4、 NIST.800-53.r5 CA-9 (1)、5 (2)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3、NIST .800-53.r NIST.800-53.r5 SA-1 5 SI-2 (3)
类别:识别 > 清单
严重性:中
评估的资源:AWS::EC2::Instance
必填项 AWS Config 录制资源:AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory
AWS Config 规则:ec2-instance-managed-by-systems-manager
计划类型:已触发变更
参数:无
此控件可检查您账户中已停止和正在运行的EC2实例是否由以下人员管理 AWS Systems Manager。 Systems Manager 是一个 AWS 服务 你可以用它来查看和控制你的 AWS 基础设施。
为了帮助您维护安全性和合规性,Systems Manager 会扫描已停止和正在运行的托管实例。托管实例是配置为与 Systems Manager 一起使用的机器。然后,Systems Manager 会报告其检测到的任何策略违规行为或采取纠正措施。Systems Manager 还可以帮助您配置和维护托管实例。
要了解更多信息,请参阅 。AWS Systems Manager 用户指南。
修复
要使用 Systems Manager 管理EC2实例,请参阅中的 Amazon EC2 主机管理 AWS Systems Manager 用户指南。在配置选项部分,您可以保留默认选项或根据需要对其进行变更,以满足首选配置。
[SSM.2] 安装补丁COMPLIANT后,由 Systems Manager 管理的亚马逊EC2实例的补丁合规性状态应为
相关要求:PCIDSSv3.2.1/6.2、NIST .800-53.r5 CM-8 (3)、.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、NIST .800-53.r5 SI-2 (3)、.800-53.r5 SI-2 (3)、NIST .800-53.r5 SI-2 (5) NIST NIST NIST
类别:检测 > 检测服务
严重性:高
资源类型:AWS::SSM::PatchCompliance
AWS Config 规则:ec2-managedinstance-patch-compliance-status-check
计划类型:已触发变更
参数:无
该控件在实例上安装补丁后检查 Systems Manager 补丁合规性的合规状态是否为 COMPLIANT 或 NON_COMPLIANT。如果合规性状态为 NON_COMPLIANT,则控制失败。该控件仅检查 Systems Manager Patch Manager 管理的实例。
根据组织要求修补您的EC2实例可以减少您的受攻击面 AWS 账户.
修复
Systems Manager 建议使用补丁策略为您的托管实例配置补丁。您也可以使用 Systems Manager 文档(如以下过程所述)来修补实例。
修复不合规的补丁
打开 AWS Systems Manager 控制台位于https://console.aws.amazon.com/systems-manager/
。 -
对于节点管理,选择运行命令,然后选择运行命令。
-
选择以下选项 AWS-RunPatchBaseline.
-
将 Operation (操作) 改为 Install (安装)。
-
选择手动选择实例,然后选择不合规的实例。
-
选择运行。
-
命令完成后,要监控已修补实例的新合规性状态,请在导航窗格中选择合规性。
[SSM.3] 由 Systems Manager 管理的亚马逊EC2实例的关联合规状态应为 COMPLIANT
相关要求:PCIDSSv3.2.1/2.4、 NIST.800-53.r5 CA-9 (1)、.800-53.r5 CM-2、.800-53.r5 CM-2 (2)、NIST .800-53.r5 CM-8、.800-53.r5 CM-8 (1)、NIST .800-53.r5 CM-8 (3)、NIST .800-53.r5 SI-2 (3) NIST NIST NIST
类别:检测 > 检测服务
严重性:低
资源类型:AWS::SSM::AssociationCompliance
AWS Config 规则:ec2-managedinstance-association-compliance-status-check
计划类型:已触发变更
参数:无
此控件检查的状态是否 AWS Systems Manager 关联合规性是在实例上运行关联COMPLIANT或NON_COMPLIANT之后运行的。如果关联合规性状态为 NON_COMPLIANT,则控制失败。
状态管理器关联是分配给托管实例的配置。该配置定义要在实例上保持的状态。例如,关联可以指定必须在实例上安装并运行防病毒软件,或者必须关闭某些端口。
创建一个或多个状态管理器关联后,您可以立即获得合规状态信息。您可以在控制台中查看合规性状态,也可以在响应时查看合规性状态 AWS CLI 命令或相应的 Systems Manager API 操作。对于关联,配置合规性显示合规性状态(Compliant 或 Non-compliant)。它还显示分配给关联的严重性级别,例如 Critical 或 Medium。
要了解有关州经理关联合规性的更多信息,请参阅中关于州经理关联合规性 AWS Systems Manager 用户指南。
修复
失败的关联可能与不同的内容有关,包括目标和 Systems Manager 文档名称。要修复此问题,您必须首先通过查看关联历史记录来识别和调查关联。有关查看关联历史的说明,请参阅中的查看关联历史记录 AWS Systems Manager 用户指南。
调查完成后,您可以编辑关联以更正已结果的问题。您可以编辑关联以指定新名称、计划、严重级别或目标。编辑关联后, AWS Systems Manager 创建新版本。有关编辑关联的说明,请参阅中的编辑和创建关联的新版本 AWS Systems Manager 用户指南。
[SSM.4] SSM 文档不应公开
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:严重
资源类型:AWS::SSM::Document
AWS Config 规则:ssm-document-not-public
计划类型:定期
参数:无
此控件检查是否 AWS Systems Manager 该账户拥有的文档是公开的。如果所有者的 Systems Manager 文档Self是公开的,则此控制失败。
公开的 Systems Manager 文档可能允许对您的文档进行意外访问。公开 Systems Manager 文档可以公开有关您的帐户、资源和内部流程的重要信息。
除非使用案例要求公开共享,否则我们建议您阻止对 Self 所有的 Systems Manager 文档进行公开共享设置。
修复
要阻止 Systems Manager 文档的公开共享,请参阅禁止公开共享SSM文档 AWS Systems Manager 用户指南。
