本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

的 Security Hub 控制項 GuardDuty

這些 AWS Security Hub 控制項會評估 Amazon GuardDuty 服務和資源。

這些控制項可能無法在所有 中使用 AWS 區域。如需詳細資訊，請參閱各區域控制項的可用性。

【GuardDuty.1】 GuardDuty 應啟用

相關要求：PCIDSSv3.2.1/11.4、 NIST.800-53.r5 AC-2（12）、 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3（4） NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SA-11（1）、 NIST.800-53.r5 SA-11（6）、 NIST.800-53.r5 SA-15（2）、 NIST.800-53.r5 SA-15（8）、 NIST.800-53.r5 SA-8（19）、 NIST.800-53.r5 SA-8（21）、 NIST.800-53.r5 SA-8（25） NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-5（1）、 NIST.800-53.r5 SC-5（3）、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3（8）、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4（1）、NIST.800-53.r5 SI-4（13）、NIST.800-53.r5 SI-4SI-4（2）、NIST.8000-5NIST.5 SI-4 NIST SI-4 NIST SI-4

類別：偵測 > 偵測服務

嚴重性：高

資源類型： AWS::::Account

AWS Config 規則：guardduty-enabled-centralized

排程類型：定期

參數：無

此控制項 GuardDuty 會檢查 GuardDuty 您的帳戶和區域中是否已啟用 Amazon。

強烈建議您在 GuardDuty 所有支援的 AWS 區域中啟用 。這樣做 GuardDuty 可讓 產生有關未經授權或異常活動的調查結果，即使在您未主動使用的區域中也是如此。這也允許 GuardDuty 監控全域 CloudTrail AWS 服務 事件，例如 IAM。

修補

若要啟用 GuardDuty，請參閱 Amazon GuardDuty 使用者指南 中的入門 GuardDuty。

應標記 【GuardDuty.2】 個 GuardDuty 篩選條件

類別：識別 > 庫存 > 標記

嚴重性：低

資源類型： AWS::GuardDuty::Filter

AWS Config rule： tagged-guardduty-filter （自訂 Security Hub 規則）

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon GuardDuty 篩選條件是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果篩選條件沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果篩選條件未使用任何金鑰標記，則 會失敗。系統標籤會自動套用並以 開頭aws:，因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤，它由索引鍵和選用值組成。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 （ABAC） 作為授權策略，以根據標籤定義許可。您可以將標籤連接至IAM實體 （使用者或角色） 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策，以便在主體的標籤與資源標籤相符時允許操作。如需詳細資訊，請參閱 使用者指南 中的什麼ABAC是 AWS？。 IAM

修補

若要將標籤新增至 GuardDuty 篩選條件，請參閱 TagResource 在 Amazon GuardDuty API 參考 中。

【GuardDuty.3】 GuardDuty IPSets 應加上標籤

類別：識別 > 庫存 > 標記

嚴重性：低

資源類型： AWS::GuardDuty::IPSet

AWS Config rule： tagged-guardduty-ipset （自訂 Security Hub 規則）

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon GuardDuty IPSet 是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果 IPSet 沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果 IPSet 未使用任何金鑰標記，則 會失敗。系統標籤會自動套用並以 開頭aws:，因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤，它由索引鍵和選用值組成。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 （ABAC） 作為授權策略，以根據標籤定義許可。您可以將標籤連接至IAM實體 （使用者或角色） 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策，以便在主體的標籤與資源標籤相符時允許操作。如需詳細資訊，請參閱 使用者指南 中的什麼ABAC是 AWS？。 IAM

修補

若要將標籤新增至 GuardDuty IPSet，請參閱 TagResource 在 Amazon GuardDuty API 參考 中。

【GuardDuty.4】應標記 GuardDuty 偵測器

類別：識別 > 庫存 > 標記

嚴重性：低

資源類型： AWS::GuardDuty::Detector

AWS Config rule： tagged-guardduty-detector （自訂 Security Hub 規則）

排程類型：已觸發變更

參數：

此控制項會檢查 Amazon GuardDuty 偵測器是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果偵測器沒有任何標籤索引鍵，或如果它沒有參數 中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數，則控制項只會檢查標籤金鑰是否存在，如果偵測器未使用任何金鑰標記，則 會失敗。系統標籤會自動套用並以 開頭aws:，因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤，它由索引鍵和選用值組成。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時，您可以實作屬性型存取控制 （ABAC） 作為授權策略，以根據標籤定義許可。您可以將標籤連接至IAM實體 （使用者或角色） 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策，以便在主體的標籤與資源標籤相符時允許操作。如需詳細資訊，請參閱 使用者指南 中的什麼ABAC是 AWS？。 IAM

修補

若要將標籤新增至 GuardDuty 偵測器，請參閱 TagResource 在 Amazon GuardDuty API 參考 中。

【GuardDuty.5】 GuardDuty EKS 應啟用稽核日誌監控

類別：偵測 > 偵測服務

嚴重性：高

資源類型： AWS::GuardDuty::Detector

AWS Config 規則：guardduty-eks-protection-audit-enabled

排程類型：定期

參數：無

此控制項會檢查是否 GuardDuty EKS已啟用稽核日誌監控。對於獨立帳戶，如果 GuardDuty EKS停用帳戶中的稽核日誌監控，則控制項會失敗。在多帳戶環境中，如果委派 GuardDuty 的管理員帳戶和所有成員帳戶未啟用EKS稽核日誌監控，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。只有委派的管理員才能啟用或停用組織中成員帳戶的EKS稽核日誌監控功能。 GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派 GuardDuty 管理員的暫停成員帳戶未 GuardDuty EKS啟用稽核日誌監控，則此控制項會產生FAILED調查結果。若要接收PASSED調查結果，委派的管理員必須在 中取消這些暫停帳戶的關聯 GuardDuty。

GuardDuty EKS Audit Log Monitoring 可協助您偵測 Amazon Elastic Kubernetes Service （Amazon EKS） 叢集中潛在的可疑活動。EKS Audit Log Monitoring 使用 Kubernetes 稽核日誌，從使用者、使用 Kubernetes 的應用程式API和控制平面擷取時間性活動。

修補

若要啟用 GuardDuty EKS稽核日誌監控，請參閱 Amazon GuardDuty 使用者指南 中的EKS稽核日誌監控。

【GuardDuty.6】應啟用 GuardDuty Lambda Protection

類別：偵測 > 偵測服務

嚴重性：高

資源類型： AWS::GuardDuty::Detector

AWS Config 規則：guardduty-lambda-protection-enabled

排程類型：定期

參數：無

此控制項會檢查是否已啟用 GuardDuty Lambda 保護。對於獨立帳戶，如果在帳戶中停用 GuardDuty Lambda 保護，則控制項會失敗。在多帳戶環境中，如果委派 GuardDuty 的管理員帳戶和所有成員帳戶未啟用 Lambda 保護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。只有委派的管理員才能啟用或停用組織中成員帳戶的 Lambda 保護功能。 GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty Lambda 保護的暫停成員帳戶，則此控制項會產生FAILED調查結果。若要接收PASSED調查結果，委派的管理員必須在 中取消這些暫停帳戶的關聯 GuardDuty。

GuardDuty Lambda Protection 可協助您在叫用 AWS Lambda 函數時識別潛在的安全威脅。啟用 Lambda Protection 之後， 會 GuardDuty 開始監控與 中 Lambda 函數相關聯的 Lambda 網路活動日誌 AWS 帳戶。當 Lambda 函數被叫用並 GuardDuty 識別可疑的網路流量，指出 Lambda 函數中存在潛在惡意程式碼時， GuardDuty 會產生調查結果。

修補

若要啟用 GuardDuty Lambda 保護，請參閱 Amazon GuardDuty 使用者指南 中的設定 Lambda 保護。

【GuardDuty.7】 GuardDuty EKS 應啟用執行期監控

類別：偵測 > 偵測服務

嚴重性：中

資源類型： AWS::GuardDuty::Detector

AWS Config 規則：guardduty-eks-protection-runtime-enabled

排程類型：定期

參數：無

此控制項會檢查是否 GuardDuty EKS已啟用具有自動代理程式管理的執行期監控。對於獨立帳戶，如果 GuardDuty EKS在帳戶中停用具有自動代理程式管理的執行期監控，則控制項會失敗。在多帳戶環境中，如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用自動代理程式管理的EKS執行期監控，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。只有委派的管理員才能為組織中的成員帳戶啟用或停用具有自動代理程式管理的EKS執行期監控功能。 GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未 GuardDuty EKS啟用執行期監控的暫停成員帳戶，則此控制項會產生FAILED調查結果。若要接收PASSED調查結果，委派的管理員必須在 中取消這些暫停帳戶的關聯 GuardDuty。

EKS Amazon 的 保護 GuardDuty 提供威脅偵測涵蓋範圍，協助您保護環境中的 AWS Amazon EKS叢集。EKS 執行期監控使用作業系統層級事件，協助您偵測EKS叢集內EKS節點和容器中的潛在威脅。

修補

若要使用自動代理程式管理啟用EKS執行期監控，請參閱 Amazon GuardDuty 使用者指南 中的啟用 GuardDuty 執行期監控。

【GuardDuty.8】EC2應啟用 的 GuardDuty 惡意軟體防護

類別：偵測 > 偵測服務

嚴重性：高

資源類型： AWS::GuardDuty::Detector

AWS Config 規則：guardduty-malware-protection-enabled

排程類型：定期

參數：無

此控制項會檢查是否已啟用 GuardDuty 惡意軟體防護。對於獨立帳戶，如果在帳戶中停用 GuardDuty 惡意軟體防護，則控制項會失敗。在多帳戶環境中，如果委派 GuardDuty 的管理員帳戶和所有成員帳戶未啟用惡意軟體防護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。只有委派的管理員才能啟用或停用組織中成員帳戶的惡意軟體防護功能。 GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員擁有未啟用 GuardDuty 惡意軟體防護的暫停成員帳戶，則此控制項會產生FAILED調查結果。若要接收PASSED調查結果，委派的管理員必須在 中取消這些暫停帳戶的關聯 GuardDuty。

GuardDuty 的惡意軟體防護EC2可協助您掃描連接至 Amazon Elastic Compute Cloud （AmazonEBS） 執行個體和容器工作負載的 Amazon Elastic Block Store （Amazon EC2） 磁碟區，以偵測潛在的惡意軟體存在。Malware Protection 提供掃描選項，您可以在掃描時決定是否要包含或排除特定EC2執行個體和容器工作負載。它還提供在 GuardDuty 帳戶中保留連接到EC2執行個體或容器工作負載的EBS磁碟區快照的選項。只有在發現惡意軟體並產生惡意軟體防護調查結果時，才會保留快照。

修補

若要啟用 的 GuardDuty 惡意軟體防護EC2，請參閱 Amazon GuardDuty 使用者指南 中的設定 GuardDuty啟動的惡意軟體掃描。

【GuardDuty.9】 GuardDuty RDS 應啟用保護

類別：偵測 > 偵測服務

嚴重性：高

資源類型： AWS::GuardDuty::Detector

AWS Config 規則：guardduty-rds-protection-enabled

排程類型：定期

參數：無

此控制項會檢查是否 GuardDuty RDS已啟用保護。對於獨立帳戶，如果 GuardDuty RDS在帳戶中停用保護，則控制項會失敗。在多帳戶環境中，如果委派 GuardDuty 的管理員帳戶和所有成員帳戶未啟用RDS保護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。只有委派的管理員才能啟用或停用組織中成員帳戶的RDS保護功能。 GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未 GuardDuty RDS啟用保護的暫停成員帳戶，則此控制項會產生FAILED調查結果。若要接收PASSED調查結果，委派的管理員必須在 中取消這些暫停帳戶的關聯 GuardDuty。

RDS 保護 GuardDuty 分析和描述RDS登入活動，以找出對 Amazon Aurora 資料庫 （Aurora My SQL-Compatible Edition 和 Aurora Postgre SQL-Compatible Edition） 的潛在存取威脅。此功能可讓您識別潛在的可疑登入行為。RDS 保護不需要額外的基礎設施；其設計是為了不會影響資料庫執行個體的效能。當 RDS Protection 偵測到可能可疑或異常的登入嘗試，指出資料庫受到威脅時， GuardDuty 會產生新的調查結果，其中包含可能遭入侵資料庫的詳細資訊。

修補

若要啟用 GuardDuty RDS保護，請參閱 Amazon GuardDuty 使用者指南 中的GuardDuty RDS保護。

【GuardDuty.10】應啟用 GuardDuty S3 保護

類別：偵測 > 偵測服務

嚴重性：高

資源類型： AWS::GuardDuty::Detector

AWS Config 規則：guardduty-s3-protection-enabled

排程類型：定期

參數：無

此控制項會檢查是否已啟用 GuardDuty S3 保護。對於獨立帳戶，如果在帳戶中停用 GuardDuty S3 保護，則控制項會失敗。在多帳戶環境中，如果委派 GuardDuty 的管理員帳戶和所有成員帳戶未啟用 S3 保護，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。只有委派的管理員才能啟用或停用組織中成員帳戶的 S3 保護功能。 GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派 GuardDuty 管理員的暫停成員帳戶未啟用 GuardDuty S3 保護，則此控制項會產生FAILED調查結果。若要接收PASSED調查結果，委派的管理員必須在 中取消這些暫停帳戶的關聯 GuardDuty。

S3 Protection GuardDuty 可讓 監控物件層級API操作，以識別 Amazon Simple Storage Service （Amazon S3） 儲存貯體內資料的潛在安全風險。透過分析 AWS CloudTrail 管理事件和 CloudTrail S3 資料事件 GuardDuty ，監控針對 S3 資源的威脅。

修補

若要啟用 GuardDuty S3 保護，請參閱 Amazon 使用者指南 中的 Amazon S3 保護 GuardDuty。 GuardDuty