本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 控制項參考
此控制項參考提供可用 AWS Security Hub 控制項的清單,其中包含每個控制項的詳細資訊連結。概觀資料表會依控制項 ID 的字母順序顯示控制項。這裡僅包含 Security Hub 作用中使用的控制項。淘汰的控制項會從此清單中排除。資料表提供每個控制項的下列資訊:
-
安全控制 ID – 此 ID 適用於各種標準,並指出控制項相關的 AWS 服務 和資源。Security Hub 主控台會顯示安全控制 IDs,無論合併控制問題清單是否在您的帳戶中開啟或關閉。不過,只有在您的帳戶中開啟合併控制問題清單時,Security Hub 問題清單IDs才會參考安全控制。如果合併的控制問題清單在您的帳戶中關閉,則某些控制項目會因控制問題清單中的標準IDs而有所不同。如需標準特定控制項IDs與安全控制 的映射IDs,請參閱 合併如何影響控制IDs和標題。
如果您想要為安全控制設定自動化,建議您根據控制 ID 進行篩選,而不是根據標題或描述進行篩選。雖然 Security Hub 可能會偶爾更新控制標題或描述,但控制IDs保持不變。
控制項IDs可能會略過數字。這些是未來控制的預留位置。
-
適用標準 – 指出控制項適用於哪些標準。選取控制項以查看第三方合規架構的特定要求。
-
安全控制標題 – 此標題適用於所有標準。Security Hub 主控台會顯示安全控制標題,無論合併控制問題清單是否在您的帳戶中開啟或關閉。不過,只有在您的帳戶中開啟合併控制問題清單時,Security Hub 問題清單才會參考安全控制標題。如果合併的控制問題清單在您的帳戶中關閉,則某些控制問題清單會因標準而異。如需標準特定控制項IDs與安全控制 的映射IDs,請參閱 合併如何影響控制IDs和標題。
-
嚴重性 – 控制項的嚴重性從安全角度識別其重要性。如需 Security Hub 如何判斷控制嚴重性的資訊,請參閱 控制調查結果的嚴重性層級。
-
排程類型 – 指示何時評估控制項。如需詳細資訊,請參閱執行安全檢查的排程。
-
支援自訂參數 – 指示控制項是否支援一或多個參數的自訂值。選取控制項以查看參數詳細資訊。如需詳細資訊,請參閱了解安全中心中的控制參數。
選取控制項以檢視更多詳細資訊。控制項會依服務名稱的字母順序列出。
| 安全控制 ID | 安全控制標題 | 適用標準 | 嚴重性 | 支援自訂參數 | 排程類型 |
|---|---|---|---|---|---|
| Account.1 | 應提供 的安全聯絡資訊 AWS 帳戶 | CIS AWS Foundations Benchmark 3.0.0 版、 AWS Foundational Security 最佳實務 1.0.0 版、服務受管標準: AWS Control Tower、NISTSP 800-53 第 5 版 | MEDIUM | 定期 | |
| 帳戶。2 | AWS 帳戶 應該是 AWS Organizations 組織的一部分 | NIST SP 800-53 修訂版 5 | HIGH | |
定期 |
| ACM1。 | 匯入和發行ACM的憑證應在指定的期間之後續約 | AWS 基礎安全最佳實務 v1.0.0,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5,PCIDSSv4.0.1 | MEDIUM | |
變更已觸發和定期 |
| ACM.2 | RSA 管理的 憑證ACM應使用至少 2,048 位元的金鑰長度 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | |
變更已觸發 |
| ACM.3 | ACM 憑證應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| APIGateway1。 | API 應啟用閘道REST和 WebSocket API執行記錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| APIGateway.2 | API 閘道RESTAPI階段應設定為使用SSL憑證進行後端身分驗證 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| APIGateway.3 | API 閘道RESTAPI階段應該已啟用 AWS X-Ray 追蹤 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | LOW | |
變更已觸發 |
| APIGateway.4 | API 閘道應與 WAF Web 建立關聯 ACL | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| APIGateway.5 | API 閘道RESTAPI快取資料應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| APIGateway.8 | API 閘道路由應指定授權類型 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
定期 |
| APIGateway.9 | 應針對API閘道 V2 階段設定存取記錄 | AWS 基礎安全最佳實務 v1.0.0,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5,PCIDSSv4.0.1 | MEDIUM | |
變更已觸發 |
| AppSync1。 | AWS AppSync API 快取應該靜態加密 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| AppSync.2 | AWS AppSync 應該啟用欄位層級記錄 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| AppSync.4 | AWS AppSync GraphQL APIs應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| AppSync.5 | AWS AppSync GraphQL APIs不應使用API金鑰進行身分驗證 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| AppSync.6 | AWS AppSync API 快取應該在傳輸中加密 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| Athena.2 | Athena 資料目錄應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Athena.3 | Athena 工作群組應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Athena.4 | Athena 工作群組應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| AutoScaling1。 | 與負載平衡器相關聯的 Auto Scaling 群組應使用ELB運作狀態檢查 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | LOW | 變更已觸發 | |
| AutoScaling.2 | Amazon EC2 Auto Scaling 群組應涵蓋多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| AutoScaling.3 | Auto Scaling 群組啟動組態應設定EC2執行個體,以要求執行個體中繼資料服務第 2 版 (IMDSv2) | AWS 基礎安全最佳實務 v1.0.0,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5,PCIDSSv4.0.1 | HIGH | |
變更已觸發 |
| Autoscaling.5 | 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2執行個體不應具有公有 IP 地址 | AWS 基礎安全最佳實務 v1.0.0,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5,PCIDSSv4.0.1 | HIGH | |
變更已觸發 |
| AutoScaling.6 | Auto Scaling 群組應在多個可用區域中使用多個執行個體類型 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| AutoScaling.9 | EC2 Auto Scaling 群組應使用EC2啟動範本 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| AutoScaling.10 | EC2 Auto Scaling 群組應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| 備份。1 | AWS Backup 復原點應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| 備份。2 | AWS Backup 復原點應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| 備份。3 | AWS Backup 保存庫應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| 備份。4 | AWS Backup 報告計劃應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| 備份。5 | AWS Backup 備份計畫應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| CloudFormation.2 | CloudFormation 堆疊應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| CloudFront1。 | CloudFront 分佈應該設定預設根物件 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | HIGH | 變更已觸發 | |
| CloudFront.3 | CloudFront 分佈應該需要傳輸中的加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| CloudFront.4 | CloudFront 分佈應該已設定原始伺服器容錯移轉 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| CloudFront.5 | CloudFront 分佈應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| CloudFront.6 | CloudFront 分佈應該WAF已啟用 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| CloudFront.7 | CloudFront 分佈應使用自訂 SSL/TLS 憑證 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| CloudFront.8 | CloudFront 分佈應使用 SNI 來提供HTTPS請求 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| CloudFront.9 | CloudFront 分佈應該加密流量到自訂原始伺服器 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| CloudFront.10 | CloudFront 分佈不應在節點和自訂原始伺服器之間使用已棄用SSL通訊協定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| CloudFront.12 | CloudFront 分佈不應指向不存在的 S3 原始伺服器 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | HIGH | |
定期 |
| CloudFront.13 | CloudFront 分佈應使用原始存取控制 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | |
變更已觸發 |
| CloudFront.14 | CloudFront 分佈應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| CloudTrail1。 | CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域線索 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、NISTSP 800-53 Rev. 5 | HIGH | 定期 | |
| CloudTrail.2 | CloudTrail 應該啟用靜態加密 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.2.0、CIS AWS Founds Benchmark v1.4.0 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | MEDIUM | |
定期 |
| CloudTrail.3 | 至少應啟用一個 CloudTrail 線索 | PCI DSS v3.2.1、PCIDSSv4.0.1 | HIGH | 定期 | |
| CloudTrail.4 | CloudTrail 日誌檔案驗證應啟用 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCIDSSv3.2.1、PCIDSSv4.0.1、CIS AWS Founds Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | LOW | |
定期 |
| CloudTrail.5 | CloudTrail 線索應與 Amazon CloudWatch Logs 整合 | CIS AWS Foundations Benchmark v1.2.0、CIS AWS Founds Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | LOW | |
定期 |
| CloudTrail.6 | 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版、4.0.1 PCIDSS版 | CRITICAL | |
變更已觸發和定期 |
| CloudTrail.7 | 確保 S3 儲存貯體上已啟用 CloudTrail S3 儲存貯體存取記錄 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版、 CIS AWS Foundations Benchmark 3.0.0 版、4.0.1 PCIDSS版 | LOW | |
定期 |
| CloudTrail.9 | CloudTrail 線索應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| CloudWatch1。 | 應該存在日誌指標篩選條件和警示,以使用「根」使用者 | CIS AWS Foundations Benchmark 1.2.0 版、3.2.1 PCIDSS版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.2 | 確保日誌指標篩選條件和警示對未經授權的API呼叫存在 | CIS AWS Foundations Benchmark 1.2.0 版 | LOW | |
定期 |
| CloudWatch.3 | 確保 Management Console 登入時存在日誌指標篩選條件和警示 MFA | CIS AWS Foundations Benchmark 1.2.0 版 | LOW | |
定期 |
| CloudWatch.4 | 確保IAM政策變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.5 | 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.6 | 確保 AWS Management Console 驗證失敗時存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.7 | 確保日誌指標篩選條件和警示存在,以停用或排程刪除已建立的客戶 CMKs | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.8 | 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.9 | 確保 AWS Config 組態變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.10 | 確保安全群組變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.11 | 確保網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.12 | 確保網路閘道變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.13 | 確保路由表變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.14 | 確保VPC變更存在日誌指標篩選條件和警示 | CIS AWS Foundations Benchmark 1.2.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | LOW | |
定期 |
| CloudWatch.15 | CloudWatch 警示應該已設定指定的動作 | NIST SP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| CloudWatch.16 | CloudWatch 日誌群組應保留一段指定的時間 | NIST SP 800-53 修訂版 5 | MEDIUM | |
定期 |
| CloudWatch.17 | CloudWatch 應啟用警示動作 | NIST SP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| CodeArtifact1。 | CodeArtifact 儲存庫應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| CodeBuild1。 | CodeBuild Bitbucket 來源儲存庫URLs不應包含敏感登入資料 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | CRITICAL | 變更已觸發 | |
| CodeBuild.2 | CodeBuild 專案環境變數不應包含純文字登入資料 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | CRITICAL | |
變更已觸發 |
| CodeBuild.3 | 應該加密 CodeBuild S3 日誌 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower、 | LOW | |
變更已觸發 |
| CodeBuild.4 | CodeBuild 專案環境應具有記錄組態 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| CodeBuild.7 | CodeBuild 報告群組匯出應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| Config.1 | AWS Config 應該啟用並使用服務連結角色進行資源記錄 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1 | CRITICAL | 定期 | |
| DataFirehose1。 | Firehose 交付串流應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| DataSync1。 | DataSync 任務應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| Detective.1 | 應標記偵測行為圖表 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| DMS1。 | Database Migration Service 複寫執行個體不應為公有 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | CRITICAL | |
定期 |
| DMS.2 | DMS 憑證應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| DMS.3 | DMS 事件訂閱應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| DMS.4 | DMS 複寫執行個體應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| DMS.5 | DMS 複寫子網路群組應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| DMS.6 | DMS 複寫執行個體應該啟用自動次要版本升級 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| DMS.7 | DMS 目標資料庫的複寫任務應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| DMS.8 | DMS 來源資料庫的複寫任務應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| DMS.9 | DMS 端點應該使用 SSL | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| DMS.10 | DMS Neptune 資料庫的 端點應該已啟用IAM授權 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| DMS.11 | DMS MongoDB 的 端點應該已啟用身分驗證機制 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| DMS.12 | DMS Redis 的 端點OSS應該TLS已啟用 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| DocumentDB.1 | Amazon DocumentDB 叢集應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| DocumentDB.2 | Amazon DocumentDB 叢集應具有足夠的備份保留期 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| DocumentDB.3 | Amazon DocumentDB 手動叢集快照不應公開 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | CRITICAL | |
變更已觸發 |
| DocumentDB.4 | Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch 日誌 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| DocumentDB.5 | Amazon DocumentDB 叢集應該啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| DynamoDB.1 | DynamoDB 資料表應自動隨需擴展容量 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
定期 |
| DynamoDB.2 | DynamoDB 資料表應該已啟用 point-in-time復原 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| DynamoDB.3 | DynamoDB Accelerator (DAX) 叢集應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| DynamoDB.4 | DynamoDB 資料表應存在於備份計劃中 | NIST SP 800-53 修訂版 5 | MEDIUM | |
定期 |
| DynamoDB.5 | DynamoDB 資料表應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| DynamoDB.6 | DynamoDB 資料表應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| DynamoDB.7 | DynamoDB Accelerator 叢集應在傳輸中加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | 定期 | |
| EC21。 | EBS 快照不應可公開還原 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | CRITICAL | |
定期 |
| EC2.2 | VPC 預設安全群組不應允許傳入或傳出流量 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCIDSSv3.2.1、CIS AWS Founds Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | HIGH | |
變更已觸發 |
| EC2.3 | 連接的EBS磁碟區應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| EC2.4 | 停止的EC2執行個體應該在指定的期間之後移除 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| EC2.6 | VPC 流程記錄應該在所有 中啟用 VPCs | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCIDSSv3.2.1、CIS AWS Founds Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | MEDIUM | |
定期 |
| EC2.7 | EBS 應啟用預設加密 | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0,Service-Managed Standard: AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0,NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| EC2.8 | EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2) | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security 最佳實務 v1.0.0,NISTSP 800-53 修訂版 5,PCIDSSv4.0.1,服務管理標準: AWS Control Tower | HIGH | |
變更已觸發 |
| EC2.9 | EC2 執行個體不應具有公有IPv4地址 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| EC2.10 | Amazon EC2 應設定為使用為 Amazon EC2服務建立的VPC端點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| EC2.12 | EC2 EIPs 應該移除未使用的 | PCI DSS v3.2.1、NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| EC2.13 | 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22 | CIS AWS Foundations Benchmark 1.2.0 版、3.2.1 PCIDSS版、4.0.1 PCIDSS版、NISTSP 800-53 修訂版 5 | HIGH | 變更已觸發和定期 | |
| EC2.14 | 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389 | CIS AWS Foundations Benchmark 1.2.0 版、4.0.1 PCIDSS版 | HIGH | 變更已觸發和定期 | |
| EC2.15 | EC2 子網路不應自動指派公有 IP 地址 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower、 | MEDIUM | |
變更已觸發 |
| EC2.16 | 應該移除未使用的網路存取控制清單 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower、 | LOW | |
變更已觸發 |
| EC2.17 | EC2 執行個體不應使用多個 ENIs | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| EC2.18 | 安全群組應只允許授權連接埠無限制的傳入流量 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| EC2.19 | 安全群組不應允許無限制存取高風險的連接埠 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | CRITICAL | 變更已觸發和定期 | |
| EC2.20 | 連線 AWS Site-to-Site VPN的兩個VPN通道應該都已啟動 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| EC2.21 | 網路ACLs不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1 | MEDIUM | |
變更已觸發 |
| EC2.22 | 應該移除未使用的EC2安全群組 | 服務受管標準: AWS Control Tower | MEDIUM | 定期 | |
| EC2.23 | EC2 Transit Gateways 不應自動接受VPC附件請求 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| EC2.24 | EC2 不應使用虛擬執行個體類型 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| EC2.25 | EC2 啟動範本不應IPs將公有指派給網路介面 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | HIGH | |
變更已觸發 |
| EC2.28 | EBS 磁碟區應位於備份計劃中 | NIST SP 800-53 修訂版 5 | LOW | |
定期 |
| EC2.33 | EC2 傳輸閘道附件應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.34 | EC2 傳輸閘道路由表應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.35 | EC2 應標記網路介面 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.36 | EC2 客戶閘道應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.37 | EC2 應標記彈性 IP 地址 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.38 | EC2 執行個體應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.39 | EC2 網際網路閘道應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.40 | EC2 NAT 閘道應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.41 | EC2 ACLs應標記網路 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.42 | EC2 路由表應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.43 | EC2 安全群組應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.44 | EC2 子網路應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.45 | EC2 磁碟區應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.46 | Amazon VPCs應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.47 | Amazon VPC端點服務應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.48 | Amazon VPC流程日誌應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.49 | Amazon VPC對等互連連線應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.50 | EC2 VPN 閘道應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.51 | EC2 用戶端VPN端點應該啟用用戶端連線記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | LOW | |
變更已觸發 |
| EC2.52 | EC2 傳輸閘道應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EC2.53 | EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠 | CIS AWS Foundations Benchmark 3.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| EC2.54 | EC2 安全群組不應允許從 ::/0 傳入遠端伺服器管理連接埠 | CIS AWS Foundations Benchmark 3.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| EC2.55 | VPCs 應使用 的介面端點設定 ECR API | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.56 | VPCs 應使用 Docker Registry 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.57 | VPCs 應使用 Systems Manager 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.58 | VPCs 應使用 Systems Manager Incident Manager Contacts 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.60 | VPCs 應使用 Systems Manager Incident Manager 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.61 | VPCs 應使用 Systems Manager Quick Setup 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.62 | VPCs 應使用 CloudWatch Logs 的介面端點設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.63 | VPCs 應使用 Systems Manager Messages 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.64 | VPCs 應使用 Message Delivery Service 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.65 | VPCs 應使用 Secrets Manager 的介面端點設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.66 | VPCs 應使用 API Gateway 的介面端點設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.67 | VPCs 應使用 的介面端點設定 CloudWatch | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.68 | VPCs 應使用 的介面端點設定 AWS KMS | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.69 | VPCs 應使用 的介面端點設定 SQS | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.70 | VPCs 應使用 的介面端點設定 STS | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.71 | VPCs 應使用 的介面端點設定 SNS | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.72 | VPCs 應使用 S3 的介面端點設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.73 | VPCs 應使用 Lambda 的介面端點設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.74 | VPCs 應使用 的介面端點設定 ECS | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.75 | VPCs 應使用 Elastic Load Balancing 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.76 | VPCs 應使用 的介面端點設定 CloudFormation | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.77 | VPCs 應使用 的介面端點設定 EventBridge | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.78 | VPCs 應使用 EC2 Auto Scaling 的介面端點設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.79 | VPCs 應使用 SageMaker AI 的介面端點設定 API | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.80 | VPCs 應使用 SageMaker AI Feature Store Runtime 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.81 | VPCs 應使用 SageMaker AI Metrics Service 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.82 | VPCs 應使用 SageMaker AI Runtime 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.83 | VPCs 應使用 SageMaker AI 執行期的介面端點設定 FIPS | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.84 | VPCs 應使用 SageMaker AI 筆記本的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.85 | VPCs 應使用 SageMaker AI Studio 的介面端點進行設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.86 | VPCs 應使用 的介面端點設定 AWS Glue | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.87 | VPCs 應使用 Kinesis Data Streams 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.88 | VPCs 應使用 Transfer Family for SFTP | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.89 | VPCs 應使用 的介面端點設定 CloudTrail | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.90 | VPCs 應使用 的介面端點設定 RDS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.91 | VPCs 應使用 ECS Agent 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.92 | VPCs 應使用ECS遙測的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.93 | VPCs 應使用 的介面端點設定 GuardDuty | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.94 | VPCs 應使用 的介面端點設定 SES | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.95 | VPCs 應使用 的介面端點設定 EFS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.96 | VPCs 應使用 Athena 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.97 | VPCs 應使用 Firehose 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.98 | VPCs 應使用 Step Functions 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.99 | VPCs 應使用 Storage Gateway 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.100 | VPCs 應使用 Amazon 的介面端點設定 MWAA | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.101 | VPCs 應使用 Amazon for 的介面端點設定 MWAA FIPS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.102 | VPCs 應使用 Amazon MWAA環境的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.103 | VPCs 應使用 Amazon MWAAFIPS環境的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.104 | VPCs 應使用 Amazon MWAA運算子的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.105 | VPCs 應使用 的介面端點設定 DataSync | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.106 | VPCs 應使用 的介面端點設定 CodePipeline | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.107 | VPCs 應使用 的介面端點設定 EKS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.108 | VPCs 應使用介面端點設定 ,以EBS直接 APIs | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.109 | VPCs 應使用 的介面端點設定 CodeCommit | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.110 | VPCs 應使用 X-Ray 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.111 | VPCs 應使用 的介面端點設定 CodeBuild | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.112 | VPCs 應使用 的介面端點設定 AWS Config | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.113 | VPCs 應使用 RDS Data 的介面端點設定 API | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.114 | VPCs 應使用 Service Catalog 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.115 | VPCs 應使用 Amazon 的介面端點設定 EMR | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.116 | VPCs 應使用 的介面端點設定 CodeCommit | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.117 | VPCs 應使用 App Mesh 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.118 | VPCs 應使用 Elastic Beanstalk 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.119 | VPCs 應使用 的介面端點設定 AWS Private CA | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.120 | VPCs 應使用 的介面端點設定 ElastiCache | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.121 | VPCs 應使用 的介面端點設定 CodeArtifact API | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.122 | VPCs 應使用 CodeArtifact 儲存庫的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.123 | VPCs 應使用 Amazon Redshift 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.124 | VPCs 應使用 的介面端點設定 CodeDeploy | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.125 | VPCs 應使用 Amazon Managed Service for Prometheus 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.126 | VPCs 應使用 Application Auto Scaling 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.127 | VPCs 應使用 S3 多區域存取點的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.128 | VPCs 應使用AMB查詢的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.129 | VPCs 應使用 AMB Access Bitcoin 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.130 | VPCs 應使用 AMB Bitcoin Testnet 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.131 | VPCs 應使用 的介面端點設定 EFS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.132 | VPCs 應使用 的介面端點設定 AWS Backup | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.133 | VPCs 應使用 的介面端點設定 DMS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.134 | VPCs 應使用 的介面端點設定 CodeDeploy | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.135 | VPCs 應使用 Amazon 的介面端點設定 AppStream API | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.136 | VPCs 應使用 Amazon AppStream Streaming 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.137 | VPCs 應使用 Elastic Beanstalk 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.138 | VPCs 應使用 的介面端點設定 AWS CodeConnections API | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.139 | VPCs 應使用 AWS CodeStar Connections 的介面端點設定 API | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.140 | VPCs 應使用 Amazon Redshift Data 的介面端點進行設定 API | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.141 | VPCs 應使用 Amazon Textract 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.142 | VPCs 應使用 Keyspaces 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.143 | VPCs 應使用 的介面端點設定 AWS MGN | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.144 | VPCs 應使用 Image Builder 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.145 | VPCs 應使用 Step Functions 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.146 | VPCs 應使用 Auto Scaling 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.147 | VPCs 應使用 Amazon Bedrock 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.148 | VPCs 應使用 Batch 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.149 | VPCs 應使用 Amazon 的介面端點設定 EKS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.150 | VPCs 應使用 Amazon Comprehend 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.151 | VPCs 應使用 App Runner 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.152 | VPCs 應使用 EMR Serverless 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.153 | VPCs 應使用 Lake Formation 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.154 | VPCs 應使用 Amazon 的介面端點設定 FSx | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.155 | VPCs 應使用 Amazon EMR on 的介面端點進行設定 EKS | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.156 | VPCs 應使用 IoT Core Data 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.157 | VPCs 應使用 IoT Core Credentials 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.158 | VPCs 應使用 IoT Core Fleet Hub 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.159 | VPCs 應使用 Elastic Disaster Recovery 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.160 | VPCs 應使用適用於 Cloud 的介面端點進行設定HSM | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.161 | VPCs 應使用 Amazon Rekognition 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.162 | VPCs 應使用 Amazon Managed Service for Prometheus 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.163 | VPCs 應使用 Elastic Inference Runtime 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.164 | VPCs 應使用 的介面端點設定 CloudWatch | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.165 | VPCs 應使用 Amazon Bedrock 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.166 | VPCs 應使用 Security Hub 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.167 | VPCs 應使用 DynamoDB 的介面端點設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.168 | VPCs 應使用 Access Analyzer 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.169 | VPCs 應使用 Amazon Transcribe Medical 的介面端點進行設定 | NIST SP 800-53 修訂版 5 | MEDIUM | 定期 | |
| EC2.170 | EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2) | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | LOW | 變更已觸發 | |
| EC2.171 | EC2 VPN 連線應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| ECR1。 | ECR 私有儲存庫應設定映像掃描 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | HIGH | |
定期 |
| ECR.2 | ECR 私有儲存庫應設定標籤不可變性 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| ECR.3 | ECR 儲存庫應至少設定一個生命週期政策 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| ECR.4 | ECR 公有儲存庫應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| ECS1。 | Amazon ECS任務定義應具有安全聯網模式和使用者定義。 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | HIGH | |
變更已觸發 |
| ECS.2 | ECS 服務不應自動為其指派公有 IP 地址 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | HIGH | |
變更已觸發 |
| ECS.3 | ECS 任務定義不應共用主機的程序命名空間 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | HIGH | |
變更已觸發 |
| ECS.4 | ECS 容器應執行為非特殊權限 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | HIGH | |
變更已觸發 |
| ECS.5 | ECS 容器應限於對根檔案系統的唯讀存取 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | HIGH | |
變更已觸發 |
| ECS.8 | 不應將秘密做為容器環境變數傳遞 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | HIGH | |
變更已觸發 |
| ECS.9 | ECS 任務定義應該具有記錄組態 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| ECS.10 | ECS Fargate 服務應該在最新的 Fargate 平台版本上執行 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| ECS.12 | ECS 叢集應使用 Container Insights | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| ECS.13 | ECS 服務應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| ECS.14 | ECS 叢集應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| ECS.15 | ECS 任務定義應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| ECS.16 | ECS 任務集不應自動指派公有 IP 地址 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 變更已觸發 | |
| EFS1。 | 彈性檔案系統應設定為使用 加密靜態檔案資料 AWS KMS | CIS AWS Foundations Benchmark 3.0.0 版、 AWS Foundational Security 最佳實務 1.0.0 版、服務受管標準: AWS Control Tower、NISTSP 800-53 第 5 版 | MEDIUM | |
定期 |
| EFS.2 | Amazon EFS磁碟區應處於備份計劃中 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
定期 |
| EFS.3 | EFS 存取點應強制執行根目錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| EFS.4 | EFS 存取點應強制執行使用者身分 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| EFS.5 | EFS 存取點應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EFS.6 | EFS 掛載目標不應與公有子網路相關聯 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 定期 | |
| EFS.7 | EFS 檔案系統應該已啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| EFS.8 | EFS 檔案系統應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| EKS1。 | EKS 叢集端點不應公開存取 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | HIGH | |
定期 |
| EKS.2 | EKS 叢集應該在支援的 Kubernetes 版本上執行 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | HIGH | |
變更已觸發 |
| EKS.3 | EKS 叢集應使用加密的 Kubernetes 秘密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | 定期 | |
| EKS.6 | EKS 叢集應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EKS.7 | EKS 身分提供者組態應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EKS.8 | EKS 叢集應該啟用稽核記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| ElastiCache1。 | ElastiCache (Redis OSS) 叢集應該啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | HIGH | |
定期 |
| ElastiCache.2 | ElastiCache (Redis OSS) 叢集應該啟用自動次要版本升級 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | HIGH | |
定期 |
| ElastiCache.3 | ElastiCache 複寫群組應該啟用自動容錯移轉 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| ElastiCache.4 | ElastiCache 複寫群組應該 encrypted-at-rest | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| ElastiCache.5 | ElastiCache 複寫群組應該 encrypted-in-transit | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| ElastiCache.6 | ElastiCache (Redis OSS) 舊版的複寫群組應該已啟用 Redis OSS AUTH | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| ElastiCache.7 | ElastiCache 叢集不應使用預設子網路群組 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | HIGH | |
定期 |
| ElasticBeanstalk1。 | Elastic Beanstalk 環境應啟用增強型運作狀態報告 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | LOW | |
變更已觸發 |
| ElasticBeanstalk.2 | 應啟用 Elastic Beanstalk 受管平台更新 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | HIGH | |
變更已觸發 |
| ElasticBeanstalk.3 | Elastic Beanstalk 應該將日誌串流至 CloudWatch | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | |
變更已觸發 |
| ELB1。 | Application Load Balancer 應設定為將所有HTTP請求重新導向至 HTTPS | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | MEDIUM | |
定期 |
| ELB.2 | 具有 SSL/HTTPS 接聽程式的 Classic Load Balancer 應使用 提供的憑證 AWS Certificate Manager | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| ELB.3 | Classic Load Balancer 接聽程式應該設定 HTTPSTLS或終止 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| ELB.4 | Application Load Balancer 應設定為捨棄 http 標頭 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| ELB.5 | 應啟用應用程式和 Classic Load Balancer 記錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| ELB.6 | 應用程式、閘道和 Network Load Balancer 應該啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | 變更已觸發 | |
| ELB.7 | Classic Load Balancer 應該啟用連線耗盡 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| ELB.8 | 具有SSL接聽程式的 Classic Load Balancer 應使用具有強大組態的預先定義安全政策 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| ELB.9 | Classic Load Balancer 應該啟用跨區域負載平衡 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| ELB.10 | Classic Load Balancer 應跨越多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| ELB.12 | Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| ELB.13 | 應用程式、網路和閘道負載平衡器應跨越多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| ELB.14 | Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| ELB.16 | Application Load Balancer 應與 AWS WAF Web 建立關聯 ACL | NIST SP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| EMR1。 | Amazon EMR叢集主要節點不應具有公有 IP 地址 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | HIGH | |
定期 |
| EMR.2 | 應啟用 Amazon EMR區塊公開存取設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | CRITICAL | |
定期 |
| ES.1 | Elasticsearch 網域應該啟用靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | MEDIUM | |
定期 |
| ES.2 | Elasticsearch 網域不應公開存取 | AWS 基礎安全最佳實務 v1.0.0、PCIDSSv3.2.1、PCIDSSv4.0.1、NISTSP 800-53 修訂版 5、服務受管標準: AWS Control Tower | CRITICAL | |
定期 |
| ES.3 | Elasticsearch 網域應該加密節點之間傳送的資料 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower、 | MEDIUM | |
變更已觸發 |
| ES.4 | 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| ES.5 | Elasticsearch 網域應該啟用稽核記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| ES.6 | Elasticsearch 網域應至少具有三個資料節點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| ES.7 | Elasticsearch 網域應該至少設定三個專用主節點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| ES.8 | 應使用最新的TLS安全政策加密與 Elasticsearch 網域的連線 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | 變更已觸發 | |
| ES.9 | 應標記 Elasticsearch 網域 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EventBridge.2 | EventBridge 事件匯流排應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| EventBridge.3 | EventBridge 自訂事件匯流排應連接以資源為基礎的政策 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | LOW | |
變更已觸發 |
| EventBridge.4 | EventBridge 全域端點應該啟用事件複寫 | NIST SP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| FSx1。 | FSx 適用於開啟ZFS檔案系統的 應設定為將標籤複製到備份和磁碟區 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | LOW | |
定期 |
| FSx.2 | FSx for Lustre 檔案系統應設定為將標籤複製到備份 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | LOW | 定期 | |
| Glue.1 | AWS Glue 任務應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Glue.2 | AWS Glue 任務應該已啟用記錄 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| Glue.3 | AWS Glue 機器學習轉換應該靜態加密 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| GlobalAccelerator1。 | 應該標記 Global Accelerator 加速器 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| GuardDuty1。 | GuardDuty 應該啟用 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | HIGH | |
定期 |
| GuardDuty.2 | GuardDuty 篩選條件應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| GuardDuty.3 | GuardDuty IPSets 應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| GuardDuty.4 | GuardDuty 偵測器應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| GuardDuty.5 | GuardDuty EKS 應啟用稽核日誌監控 | AWS 基礎安全最佳實務 1.0.0 版 | HIGH | 定期 | |
| GuardDuty.6 | GuardDuty 應啟用 Lambda 保護 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| GuardDuty.7 | GuardDuty EKS 應啟用執行期監控 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | MEDIUM | 定期 | |
| GuardDuty.8 | GuardDuty EC2應啟用 的惡意軟體防護 | AWS 基礎安全最佳實務 1.0.0 版 | HIGH | 定期 | |
| GuardDuty.9 | GuardDuty RDS 應啟用保護 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| GuardDuty.10 | 應啟用 GuardDuty S3 保護 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| IAM1。 | IAM 政策不應允許完整的 "*" 管理權限 | CIS AWS Foundations Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCIDSSv3.2.1、CIS AWS Founds Benchmark v1.4.0、NISTSP 800-53 Rev. 5 | HIGH | |
變更已觸發 |
| IAM.2 | IAM 使用者不應連接IAM政策 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | LOW | |
變更已觸發 |
| IAM.3 | IAM 使用者存取金鑰應每 90 天或更短時間輪換一次 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | MEDIUM | |
定期 |
| IAM.4 | IAM 根使用者存取金鑰不應存在 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、PCIDSSv3.2.1、NISTSP 800-53 Rev. 5 | CRITICAL | |
定期 |
| IAM.5 | MFA 應為具有主控台密碼的IAM所有使用者啟用 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | MEDIUM | |
定期 |
| IAM.6 | MFA 應為根使用者啟用硬體 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | CRITICAL | |
定期 |
| IAM.7 | IAM 使用者的密碼政策應具有強大的組態 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
定期 |
| IAM.8 | 應該移除未使用的IAM使用者登入資料 | CIS AWS Foundations Benchmark 1.2.0 版、 AWS Foundational Security 最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、3.2.1 PCIDSS版、4.0.1 PCIDSS版、服務管理標準版: AWS Control Tower | MEDIUM | |
定期 |
| IAM.9 | MFA 應為根使用者啟用 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1 | CRITICAL | |
定期 |
| IAM.10 | IAM 使用者的密碼政策應具有強大的組態 | PCI DSS v3.2.1、PCIDSSv4.0.1 | MEDIUM | |
定期 |
| IAM.11 | 確保IAM密碼政策至少需要一個大寫字母 | CIS AWS Foundations Benchmark 1.2.0 版、4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| IAM.12 | 確保IAM密碼政策至少需要一個小寫字母 | CIS AWS Foundations Benchmark 1.2.0 版、4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| IAM.13 | 確保IAM密碼政策至少需要一個符號 | CIS AWS Foundations Benchmark 1.2.0 版、4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| IAM.14 | 確保IAM密碼政策至少需要一個數字 | CIS AWS Foundations Benchmark 1.2.0 版、4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| IAM.15 | 確保IAM密碼政策要求密碼長度至少為 14 或更高 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0 | MEDIUM | |
定期 |
| IAM.16 | 確保IAM密碼政策防止密碼重複使用 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、PCIDSSv4.0.1 | LOW | |
定期 |
| IAM.17 | 確保IAM密碼政策在 90 天內過期密碼 | CIS AWS Foundations Benchmark 1.2.0 版、4.0.1 PCIDSS版 | LOW | |
定期 |
| IAM.18 | 確保已建立支援角色來使用 管理事件 AWS Support | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、PCIDSSv4.0.1 | LOW | |
定期 |
| IAM.19 | MFA 應為IAM所有使用者啟用 | NIST SP 800-53 修訂版 5,PCIDSS3.2.1 版,4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| IAM.21 | IAM 您建立的客戶受管政策不應允許 服務的萬用字元動作 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | LOW | |
變更已觸發 |
| IAM.22 | IAM 應移除 45 天內未使用的使用者登入資料 | CIS AWS Foundations Benchmark 3.0.0 版、 CIS AWS Foundations Benchmark 1.4.0 版 | MEDIUM | |
定期 |
| IAM.23 | IAM Access Analyzer 分析器應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IAM.24 | IAM 角色應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IAM.25 | IAM 使用者應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IAM.26 | 在 中管理的過期 SSL/TLS 憑證IAM應該移除 | CIS AWS Foundations Benchmark 3.0.0 版 | MEDIUM | 定期 | |
| IAM.27 | IAM 身分不應連接 AWSCloudShellFullAccess 政策 | CIS AWS Foundations Benchmark 3.0.0 版 | MEDIUM | 變更已觸發 | |
| IAM.28 | IAM 應啟用 Access Analyzer 外部存取分析器 | CIS AWS Foundations Benchmark 3.0.0 版 | HIGH | 定期 | |
| Inspector.1 | 應啟用 Amazon Inspector EC2掃描 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| Inspector.2 | 應啟用 Amazon Inspector ECR掃描 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| Inspector.3 | 應啟用 Amazon Inspector Lambda 程式碼掃描 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| Inspector.4 | 應啟用 Amazon Inspector Lambda 標準掃描 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| IoT.1 | AWS IoT Device Defender 安全設定檔應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IoT.2 | AWS IoT Core 應標記緩解動作 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IoT.3 | AWS IoT Core 維度應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IoT.4 | AWS IoT Core 授權方應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IoT.5 | AWS IoT Core 角色別名應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| IoT.6 | AWS IoT Core 政策應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Kinesis.1 | Kinesis 串流應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| Kinesis.2 | Kinesis 串流應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Kinesis.3 | Kinesis 串流應具有足夠的資料保留期 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| KMS1。 | IAM 客戶受管政策不應允許對所有KMS金鑰執行解密動作 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| KMS.2 | IAM 主體不應具有允許對所有KMS金鑰進行解密動作的IAM內嵌政策 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| KMS.3 | AWS KMS keys 不應意外刪除 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | CRITICAL | |
變更已觸發 |
| KMS.4 | AWS KMS key 應該啟用輪換 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、CIS AWS Founds Benchmark v1.2.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1 | MEDIUM | |
定期 |
| KMS.5 | KMS 金鑰不應公開存取 | AWS 基礎安全最佳實務 1.0.0 版 | CRITICAL | 變更已觸發 | |
| Lambda.1 | Lambda 函數政策應禁止公開存取 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | CRITICAL | |
變更已觸發 |
| Lambda.2 | Lambda 函數應使用支援的執行時間 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Lambda.3 | Lambda 函數應該位於 VPC | PCI DSS v3.2.1、NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| Lambda.5 | VPC Lambda 函數應該在多個可用區域中操作 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| Lambda.6 | 應標記 Lambda 函數 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Macie.1 | 應啟用 Amazon Macie | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| Macie.2 | 應啟用 Macie 自動化敏感資料探索 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | HIGH | 定期 | |
| MSK1。 | MSK 叢集應在代理程式節點之間傳輸時加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| MSK.2 | MSK 叢集應該已設定增強型監控 | NIST SP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| MSK.3 | MSK 連線連接器應在傳輸中加密 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| MQ.2 | ActiveMQ 代理程式應該將稽核日誌串流至 CloudWatch | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| MQ.3 | Amazon MQ 代理程式應該啟用自動次要版本升級 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | LOW | 變更已觸發 | |
| MQ.4 | Amazon MQ 代理程式應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| MQ.5 | ActiveMQ 代理程式應使用作用中/待命部署模式 | NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | LOW | |
變更已觸發 |
| MQ.6 | RabbitMQ 代理程式應使用叢集部署模式 | NIST SP 800-53 修訂版 5,服務受管標準: AWS Control Tower | LOW | |
變更已觸發 |
| Neptune.1 | Neptune 資料庫叢集應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Neptune.2 | Neptune 資料庫叢集應該將稽核日誌發佈至 CloudWatch 日誌 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Neptune.3 | Neptune 資料庫叢集快照不應公開 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | CRITICAL | |
變更已觸發 |
| Neptune.4 | Neptune 資料庫叢集應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | LOW | |
變更已觸發 |
| Neptune.5 | Neptune 資料庫叢集應該已啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Neptune.6 | Neptune 資料庫叢集快照應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Neptune.7 | Neptune 資料庫叢集應該啟用IAM資料庫身分驗證 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Neptune.8 | Neptune 資料庫叢集應設定為將標籤複製到快照 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | LOW | |
變更已觸發 |
| Neptune.9 | Neptune 資料庫叢集應部署在多個可用區域 | NIST SP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| NetworkFirewall1。 | 網路防火牆防火牆應部署在多個可用區域 | NIST SP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| NetworkFirewall.2 | 應啟用網路防火牆記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
定期 |
| NetworkFirewall.3 | 網路防火牆政策應至少有一個相關聯的規則群組 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| NetworkFirewall.4 | Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| NetworkFirewall.5 | Network Firewall 政策的預設無狀態動作應為捨棄或轉送分段封包 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| NetworkFirewall.6 | 無狀態網路防火牆規則群組不應為空 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| NetworkFirewall.7 | 網路防火牆防火牆應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| NetworkFirewall.8 | 應標記網路防火牆防火牆政策 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| NetworkFirewall.9 | 網路防火牆防火牆應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| Opensearch.1 | OpenSearch 網域應該啟用靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| Opensearch.2 | OpenSearch 網域不應公開存取 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | CRITICAL | |
變更已觸發 |
| Opensearch.3 | OpenSearch 網域應該加密節點之間傳送的資料 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| Opensearch.4 | OpenSearch 應啟用 CloudWatch 日誌的網域錯誤記錄 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| Opensearch.5 | OpenSearch 網域應該啟用稽核記錄 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Opensearch.6 | OpenSearch 網域應至少具有三個資料節點 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| Opensearch.7 | OpenSearch 網域應該啟用精細存取控制 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| Opensearch.8 | OpenSearch 網域的連線應使用最新的TLS安全政策加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | 變更已觸發 | |
| Opensearch.9 | OpenSearch 網域應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Opensearch.10 | OpenSearch 網域應該已安裝最新的軟體更新 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | LOW | |
變更已觸發 |
| Opensearch.11 | OpenSearch 網域應至少具有三個專用主節點 | NIST SP 800-53 修訂版 5 | LOW | 定期 | |
| PCA1。 | AWS Private CA 應停用根憑證授權機構 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | LOW | |
定期 |
| RDS1。 | RDS 快照應為私有 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | CRITICAL | |
變更已觸發 |
| RDS.2 | RDS 資料庫執行個體應禁止公開存取,視 PubliclyAccessible 組態而定 | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0,Service-Managed Standard: AWS Control Tower,NISTSP 800-53 修訂版 5,PCIDSSv3.2.1,PCIDSSv4.0.1 | CRITICAL | |
變更已觸發 |
| RDS.3 | RDS 資料庫執行個體應該啟用靜態加密 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、Service-Managed Standard: AWS Control Tower、NISTSP 800-53 Rev. 5 | MEDIUM | |
變更已觸發 |
| RDS.4 | RDS 叢集快照和資料庫快照應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| RDS.5 | RDS 資料庫執行個體應該設定多個可用區域 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| RDS.6 | 應為RDS資料庫執行個體設定增強型監控 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| RDS.7 | RDS 叢集應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| RDS.8 | RDS 資料庫執行個體應該已啟用刪除保護 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| RDS.9 | RDS 資料庫執行個體應將日誌發佈至 CloudWatch 日誌 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| RDS.10 | IAM 應為RDS執行個體設定身分驗證 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| RDS.11 | RDS 執行個體應該啟用自動備份 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| RDS.12 | IAM 應為RDS叢集設定身分驗證 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| RDS.13 | RDS 應啟用自動次要版本升級 | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security 最佳實務 v1.0.0,NISTSP 800-53 修訂版 5,PCIDSSv4.0.1,服務管理標準: AWS Control Tower | HIGH | |
變更已觸發 |
| RDS.14 | Amazon Aurora 叢集應該已啟用恢復 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| RDS.15 | RDS 應為多個可用區域設定資料庫叢集 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| RDS.16 | RDS 資料庫叢集應設定為將標籤複製到快照 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| RDS.17 | RDS 資料庫執行個體應設定為將標籤複製到快照 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | LOW | |
變更已觸發 |
| RDS.18 | RDS 執行個體應該部署在 VPC | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | HIGH | |
變更已觸發 |
| RDS.19 | 應針對關鍵叢集事件設定現有的RDS事件通知訂閱 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | LOW | |
變更已觸發 |
| RDS.20 | 應針對關鍵資料庫執行個體事件設定現有的RDS事件通知訂閱 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | LOW | |
變更已觸發 |
| RDS.21 | 應為關鍵資料庫參數群組事件設定RDS事件通知訂閱 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | LOW | |
變更已觸發 |
| RDS.22 | 應為關鍵資料庫安全群組事件設定RDS事件通知訂閱 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | LOW | |
變更已觸發 |
| RDS.23 | RDS 執行個體不應使用資料庫引擎預設連接埠 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | LOW | |
變更已觸發 |
| RDS.24 | RDS 資料庫叢集應使用自訂管理員使用者名稱 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| RDS.25 | RDS 資料庫執行個體應使用自訂管理員使用者名稱 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| RDS.26 | RDS 資料庫執行個體應受備份計劃保護 | NIST SP 800-53 修訂版 5 | MEDIUM | |
定期 |
| RDS.27 | RDS 資料庫叢集應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務管理標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| RDS.28 | RDS 資料庫叢集應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| RDS.29 | RDS 資料庫叢集快照應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| RDS.30 | RDS 資料庫執行個體應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| RDS.31 | RDS 資料庫安全群組應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| RDS.32 | RDS 資料庫快照應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| RDS.33 | RDS 應標記資料庫子網路群組 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| RDS.34 | Aurora MySQL 資料庫叢集應該將稽核日誌發佈至 CloudWatch 日誌 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| RDS.35 | RDS 資料庫叢集應該啟用自動次要版本升級 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| RDS.36 | RDS for PostgreSQL 資料庫執行個體應該將日誌發佈至 CloudWatch 日誌 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| RDS.37 | Aurora PostgreSQL 資料庫叢集應該將日誌發佈至 CloudWatch 日誌 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| Redshift.1 | Amazon Redshift 叢集應禁止公開存取 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | CRITICAL | |
變更已觸發 |
| Redshift.2 | 與 Amazon Redshift 叢集的連線應在傳輸中加密 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Redshift.3 | Amazon Redshift 叢集應該啟用自動快照 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| Redshift.4 | Amazon Redshift 叢集應該啟用稽核記錄 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| Redshift.6 | Amazon Redshift 應該已啟用主要版本的自動升級 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| Redshift.7 | Redshift 叢集應使用增強型VPC路由 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| Redshift.8 | Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| Redshift.9 | Redshift 叢集不應使用預設資料庫名稱 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| Redshift.10 | Redshift 叢集應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| Redshift.11 | 應標記 Redshift 叢集 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Redshift.12 | 應標記 Redshift 事件訂閱通知 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Redshift.13 | 應標記 Redshift 叢集快照 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Redshift.14 | 應標記 Redshift 叢集子網路群組 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Redshift.15 | Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 定期 | |
| Route53.1 | 應該標記 Route 53 運作狀態檢查 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Route53.2 | Route 53 公有託管區域應記錄DNS查詢 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| S3.1 | S3 一般用途儲存貯體應啟用封鎖公開存取設定 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | MEDIUM | 定期 | |
| S3.2 | S3 一般用途儲存貯體應封鎖公開讀取存取 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | CRITICAL | 變更已觸發和定期 | |
| S3.3 | S3 一般用途儲存貯體應封鎖公有寫入存取 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | CRITICAL | 變更已觸發和定期 | |
| S3.5 | S3 一般用途儲存貯體應要求使用 的請求 SSL | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv3.2.1、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | MEDIUM | 變更已觸發 | |
| S3.6 | S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | HIGH | 變更已觸發 | |
| S3.7 | S3 一般用途儲存貯體應使用跨區域複寫 | PCI DSS v3.2.1、NISTSP 800-53 修訂版 5 | LOW | 變更已觸發 | |
| S3.8 | S3 一般用途儲存貯體應封鎖公開存取 | CIS AWS Foundations Benchmark v3.0.0、CIS AWS Founds Benchmark v1.4.0、 AWS Foundational Security Best Practices v1.0.0、NISTSP 800-53 Rev. 5、PCIDSSv4.0.1、Service-Managed Standard: AWS Control Tower | HIGH | 變更已觸發 | |
| S3.9 | S3 一般用途儲存貯體應啟用伺服器存取記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | 變更已觸發 | |
| S3.10 | 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 | NIST SP 800-53 修訂版 5 | MEDIUM | 變更已觸發 | |
| S3.11 | S3 一般用途儲存貯體應該啟用事件通知 | NIST SP 800-53 修訂版 5 | MEDIUM | 變更已觸發 | |
| S3.12 | ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | 變更已觸發 | |
| S3.13 | S3 一般用途儲存貯體應該具有生命週期組態 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | LOW | 變更已觸發 | |
| S3.14 | S3 一般用途儲存貯體應該已啟用版本控制 | NIST SP 800-53 修訂版 5 | LOW | 變更已觸發 | |
| S3.15 | S3 一般用途儲存貯體應該已啟用物件鎖定 | NIST SP 800-53 修訂版 5,4.0.1 PCIDSS版 | MEDIUM | 變更已觸發 | |
| S3.17 | S3 一般用途儲存貯體應該使用 靜態加密 AWS KMS keys | NIST SP 800-53 修訂版 5,4.0.1 PCIDSS版,服務受管標準: AWS Control Tower | MEDIUM | 變更已觸發 | |
| S3.19 | S3 存取點應該啟用封鎖公開存取設定 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | CRITICAL | 變更已觸發 | |
| S3.20 | S3 一般用途儲存貯體應該已啟用MFA刪除 | CIS AWS Foundations Benchmark 3.0.0 版、 CIS AWS Foundations Benchmark 1.4.0 版、NISTSP 800-53 第 5 版 | LOW | 變更已觸發 | |
| S3.22 | S3 一般用途儲存貯體應記錄物件層級寫入事件 | CIS AWS Foundations Benchmark 3.0.0 版、4.0.1 PCIDSS版 | MEDIUM | 定期 | |
| S3.23 | S3 一般用途儲存貯體應記錄物件層級讀取事件 | CIS AWS Foundations Benchmark 3.0.0 版、4.0.1 PCIDSS版 | MEDIUM | 定期 | |
| S3.24 | S3 多區域存取點應啟用封鎖公有存取設定 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | HIGH | 變更已觸發 | |
| SageMaker AI.1 | Amazon SageMaker AI 筆記本執行個體不應具有直接網際網路存取 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | HIGH | |
定期 |
| SageMaker AI.2 | SageMaker AI 筆記本執行個體應該在自訂 VPC | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | HIGH | |
變更已觸發 |
| SageMaker AI.3 | 使用者不應擁有 SageMaker AI 筆記本執行個體的根存取權 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | HIGH | |
變更已觸發 |
| SageMaker AI.4 | SageMaker AI 端點生產變體的初始執行個體計數應大於 1 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | 定期 | |
| SecretsManager1。 | Secrets Manager 秘密應該啟用自動輪換 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| SecretsManager.2 | 設定自動輪換的 Secrets Manager 秘密應能成功輪換 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
變更已觸發 |
| SecretsManager.3 | 移除未使用的 Secrets Manager 秘密 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 第 5 版、服務受管標準: AWS Control Tower | MEDIUM | |
定期 |
| SecretsManager.4 | Secrets Manager 秘密應該在指定的天數內輪換 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版、服務受管標準: AWS Control Tower | MEDIUM | |
定期 |
| SecretsManager.5 | Secrets Manager 秘密應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| ServiceCatalog1。 | Service Catalog 產品組合應僅在 AWS 組織內部共用 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | HIGH | 定期 | |
| SES1。 | SES 聯絡人清單應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| SES.2 | SES 組態集應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| SNS1。 | SNS 主題應使用 進行靜態加密 AWS KMS | NIST SP 800-53 修訂版 5 | MEDIUM | 變更已觸發 | |
| SNS.3 | SNS 主題應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| SNS.4 | SNS 主題存取政策不應允許公開存取 | AWS 基礎安全最佳實務 1.0.0 版 | HIGH | 變更已觸發 | |
| SQS1。 | Amazon SQS佇列應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| SQS.2 | SQS 佇列應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| SSM1。 | EC2 執行個體應該由 管理 AWS Systems Manager | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,3.2.1 PCIDSS版,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| SSM.2 | EC2 Systems Manager 管理的 執行個體在修補程式安裝COMPLIANT後應該具有 的修補程式合規狀態 | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | HIGH | |
變更已觸發 |
| SSM.3 | EC2 Systems Manager 管理的 執行個體的關聯合規狀態應為 COMPLIANT | AWS 基礎安全最佳實務 v1.0.0、NISTSP 800-53 修訂版 5、PCIDSSv3.2.1、PCIDSSv4.0.1、服務受管標準: AWS Control Tower | LOW | |
變更已觸發 |
| SSM.4 | SSM 文件不應為公有 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | CRITICAL | |
定期 |
| StepFunctions1。 | Step Functions 狀態機器應該已開啟記錄 | AWS 基礎安全最佳實務 1.0.0 版、4.0.1 PCIDSS版 | MEDIUM | |
變更已觸發 |
| StepFunctions.2 | 應標記 Step Functions 活動 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| Transfer.1 | Transfer Family 工作流程應加上標籤 | AWS 資源標記標準 | LOW | 變更已觸發 | |
| 傳輸。2 | Transfer Family 伺服器不應使用FTP通訊協定進行端點連線 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | 定期 | |
| WAF1。 | AWS WAF 應啟用傳統全域 Web ACL記錄 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5、4.0.1 PCIDSS版 | MEDIUM | |
定期 |
| WAF.2 | AWS WAF 傳統區域規則應至少有一個條件 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| WAF.3 | AWS WAF 傳統區域規則群組應至少有一個規則 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| WAF.4 | AWS WAF Classic Regional Web ACLs 應該至少有一個規則或規則群組 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 第 5 版 | MEDIUM | |
變更已觸發 |
| WAF.6 | AWS WAF 傳統全域規則應至少有一個條件 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| WAF.7 | AWS WAF 傳統全域規則群組應至少有一個規則 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| WAF.8 | AWS WAF 傳統全域 Web ACLs 應該至少有一個規則或規則群組 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| WAF.10 | AWS WAF Web ACLs 應該至少有一個規則或規則群組 | AWS 基礎安全最佳實務 1.0.0 版,服務受管標準: AWS Control Tower,NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| WAF.11 | AWS WAF 應該啟用 Web ACL記錄 | NIST SP 800-53 修訂版 5,4.0.1 PCIDSS版 | LOW | |
定期 |
| WAF.12 | AWS WAF 規則應該啟用 CloudWatch 指標 | AWS 基礎安全最佳實務 1.0.0 版、NISTSP 800-53 修訂版 5 | MEDIUM | |
變更已觸發 |
| WorkSpaces1。 | WorkSpaces 使用者磁碟區應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 | |
| WorkSpaces.2 | WorkSpaces 根磁碟區應靜態加密 | AWS 基礎安全最佳實務 1.0.0 版 | MEDIUM | 變更已觸發 |
主題
- Security Hub 控制 AWS 帳戶
- API Gateway 的 Security Hub 控制項
- 的 Security Hub 控制項 AWS AppSync
- Athena 的 Security Hub 控制項
- Security Hub 控制項 AWS Backup
- 的 Security Hub 控制項 ACM
- Security Hub 控制項 AWS CloudFormation
- 的 Security Hub 控制項 CloudFront
- 的 Security Hub 控制項 CloudTrail
- Security Hub 控制 CloudWatch
- Security Hub 控制 CodeArtifact
- 的 Security Hub 控制項 CodeBuild
- 的 Security Hub 控制項 AWS Config
- Amazon 資料 Firehose 的 Security Hub 控制
- Security Hub 控制項 DataSync
- Detective 的 Security Hub 控制
- 的 Security Hub 控制項 AWS DMS
- Amazon DocumentDB 的 Security Hub 控制項
- DynamoDB 的 Security Hub 控制項
- Amazon 的 Security Hub 控制項 EC2
- Auto Scaling 的 Security Hub 控制項
- Amazon 的 Security Hub 控制項 ECR
- Amazon 的 Security Hub 控制項 ECS
- Amazon 的 Security Hub 控制項 EFS
- Amazon 的 Security Hub 控制項 EKS
- 的 Security Hub 控制項 ElastiCache
- Elastic Beanstalk 的 Security Hub 控制項
- Elastic Load Balancing 的 Security Hub 控制項
- Elasticsearch 的 Security Hub
- Amazon 的 Security Hub 控制項 EMR
- 的 Security Hub 控制項 EventBridge
- Amazon 的 Security Hub 控制項 FSx
- 全域加速器的安全中樞控制項
- Security Hub 控制項 AWS Glue
- 的 Security Hub 控制項 GuardDuty
- 的 Security Hub 控制項 IAM
- Amazon Inspector 的 Security Hub 控制項
- Security Hub 控制項 AWS IoT
- Kinesis 的 Security Hub 控制項
- 的 Security Hub 控制項 AWS KMS
- Lambda 的 Security Hub 控制項
- 適用於 Macie 的 Security Hub 控制項
- Amazon 的 Security Hub 控制項 MSK
- Amazon MQ 的 Security Hub 控制項
- Neptune 的 Security Hub 控制項
- Network Firewall 的 Security Hub 控制項
- OpenSearch 服務的 Security Hub 控制項
- Security Hub 控制項 AWS Private CA
- Amazon 的 Security Hub 控制項 RDS
- Amazon Redshift 的 Security Hub 控制項
- Route 53 的 Security Hub 控制項
- Amazon S3 的 Security Hub 控制項
- SageMaker AI 的 Security Hub 控制
- Secrets Manager 的 Security Hub 控制項
- Service Catalog 的 Security Hub 控制項
- Amazon 的 Security Hub 控制 SES
- Amazon 的 Security Hub 控制項 SNS
- Amazon 的 Security Hub 控制 SQS
- Step Functions 的 Security Hub 控制項
- Systems Manager 的 Security Hub 控制項
- Transfer Family 的 Security Hub 控制項
- 的 Security Hub 控制項 AWS WAF
- Security Hub 控制 WorkSpaces
