

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Inspector 的 Security Hub CSPM 控制項
<a name="inspector-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Inspector 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Inspector.1】 應啟用 Amazon Inspector EC2 掃描
<a name="inspector-1"></a>

**相關要求：**PCI DSS v4.0.1/11.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector EC2 掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector EC2 掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 EC2 掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 EC2 掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector EC2 掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector EC2 掃描會從 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體擷取中繼資料，然後將此中繼資料與從安全建議收集的規則進行比較，以產生問題清單。Amazon Inspector 會掃描執行個體是否有套件漏洞和網路連線能力問題。如需有關支援的作業系統的資訊，包括哪些作業系統可以在不使用 SSM 代理程式的情況下掃描，請參閱[支援的作業系統：Amazon EC2 掃描](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2)。

### 修補
<a name="inspector-1-remediation"></a>

若要啟用 Amazon Inspector EC2 掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## 【Inspector.2】 應啟用 Amazon Inspector ECR 掃描
<a name="inspector-2"></a>

**相關要求：**PCI DSS v4.0.1/11.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector ECR 掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector ECR 掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 ECR 掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 ECR 掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector ECR 掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector 會掃描存放在 Amazon Elastic Container Registry (Amazon ECR) 中的容器映像是否有軟體漏洞，以產生套件漏洞問題清單。當您啟用 Amazon ECR 的 Amazon Inspector 掃描時，您可以將 Amazon Inspector 設定為私有登錄檔的偏好掃描服務。這會取代 Amazon ECR 免費提供的基本掃描，以及透過 Amazon Inspector 提供和計費的增強型掃描。增強型掃描可讓您在登錄檔層級掃描作業系統和程式設計語言套件的漏洞。您可以在 Amazon ECR 主控台上檢閱影像層級使用增強型掃描對影像每一層發現的問題清單。此外，您可以在其他不適用於基本掃描問題清單的 服務中檢閱和使用這些問題清單，包括 AWS Security Hub CSPM 和 Amazon EventBridge。

### 修補
<a name="inspector-2-remediation"></a>

若要啟用 Amazon Inspector ECR 掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## 【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描
<a name="inspector-3"></a>

**相關要求：**PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector Lambda 程式碼掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector Lambda 程式碼掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 Lambda 程式碼掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 程式碼掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector Lambda 程式碼掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector Lambda 程式碼掃描會根據 AWS 安全最佳實務，掃描 AWS Lambda 函數中的自訂應用程式程式碼是否有程式碼漏洞。Lambda 程式碼掃描可以偵測程式碼中的注入缺陷、資料洩漏、弱式密碼編譯或缺少加密。此功能[AWS 區域 僅適用於特定](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability) 。您可以啟用 Lambda 程式碼掃描與 Lambda 標準掃描 （請參閱 [【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描](#inspector-4))。

### 修補
<a name="inspector-3-remediation"></a>

若要啟用 Amazon Inspector Lambda 程式碼掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。

## 【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描
<a name="inspector-4"></a>

**相關要求：**PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::::Account`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已啟用 Amazon Inspector Lambda 標準掃描。對於獨立帳戶，如果在帳戶中停用 Amazon Inspector Lambda 標準掃描，則控制項會失敗。在多帳戶環境中，如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 Lambda 標準掃描，則控制項會失敗。

在多帳戶環境中，控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 標準掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員的暫停成員帳戶未啟用 Amazon Inspector Lambda 標準掃描，則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單，委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。

Amazon Inspector Lambda 標準掃描可識別您新增至 AWS Lambda 函數程式碼和層的應用程式套件相依性中的軟體漏洞。如果 Amazon Inspector 在您的 Lambda 函數應用程式套件相依性中偵測到漏洞，Amazon Inspector 會產生詳細的`Package Vulnerability`類型調查結果。您可以啟用 Lambda 程式碼掃描與 Lambda 標準掃描 （請參閱 [【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描](#inspector-3))。

### 修補
<a name="inspector-4-remediation"></a>

若要啟用 Amazon Inspector Lambda 標準掃描，請參閱《*Amazon Inspector 使用者指南*》中的[啟用掃描](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)。