本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Systems Manager 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 AWS Systems Manager (SSM) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager
**相關要求:**PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-5.r5 SA-15(2)、NIST.800-SA-1550.r5 SA-3 SI-2
**類別:**識別 > 清查
**嚴重性:**中
**評估的資源:** `AWS::EC2::Instance`
**必要的 AWS Config 錄製資源:**`AWS::EC2::Instance`、 `AWS::SSM::ManagedInstanceInventory`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查您帳戶中已停止和執行的 EC2 執行個體是否由 管理 AWS Systems Manager。Systems Manager 是 AWS 服務 ,可用來檢視和控制您的 AWS 基礎設施。
為了協助您維護安全性和合規性,Systems Manager 會掃描已停止和執行的受管執行個體。受管執行個體是設定為與 Systems Manager 搭配使用的機器。Systems Manager 接著會針對偵測到的任何政策違規進行報告或採取修正動作。Systems Manager 也可協助您設定和維護受管執行個體。若要進一步了解 ,請參閱 [AWS Systems Manager 使用者指南](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)。
**注意**
此控制項會針對由 管理的 AWS 彈性災難復原 複寫伺服器執行個體的 EC2 執行個體產生`FAILED`問題清單 AWS。Replication Server 執行個體是由 自動啟動的 EC2 執行個體 AWS 彈性災難復原 ,可支援來源伺服器的持續資料複寫。 會 AWS 刻意從這些執行個體中移除 Systems Manager (SSM) 代理程式,以維持隔離並協助防止潛在的意外存取路徑。
### 修補
如需有關使用 管理 EC2 執行個體的資訊 AWS Systems Manager,請參閱*AWS Systems Manager *[《 使用者指南》中的 Amazon EC2 主機管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html)。在 AWS Systems Manager 主控台的**組態選項**區段中,您可以保留預設設定,或視需要針對您偏好的組態進行變更。
## 【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態
**相關要求:**NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.1/6.3.3.3
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::SSM::PatchCompliance`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Systems Manager 修補程式合規的合規狀態是否在執行個體上安裝修補程式`COMPLIANT``NON_COMPLIANT`之後。如果合規狀態為 ,則控制項會失敗`NON_COMPLIANT`。控制項只會檢查由 Systems Manager Patch Manager 管理的執行個體。
視需要修補 EC2 執行個體可減少您組織的受攻擊面 AWS 帳戶。
### 修補
Systems Manager 建議使用[修補程式政策](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html)來設定受管執行個體的修補。您也可以使用 [Systems Manager 文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html)來修補執行個體,如下列程序所述。
**修補不相容的修補程式**
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 針對**節點管理**,選擇**執行命令**,然後選擇**執行命令**。
1. 選擇 **AWS-RunPatchBaseline** 的選項。
1. 將 **Operation (操作)** 變更為 **Install (安裝)**。
1. 選擇**手動選擇執行個體**,然後選擇不合規的執行個體。
1. 選擇**執行**。
1. 命令完成後,若要監控修補執行個體的新合規狀態,請在導覽窗格中選擇**合規**。
## 【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態
**相關要求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI v4.0.1/6.3.3.3
**類別:**偵測 > 偵測服務
**嚴重性:**低
**資源類型:** `AWS::SSM::AssociationCompliance`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 AWS Systems Manager 關聯合規的狀態是 `COMPLIANT` 還是在執行個體上執行關聯`NON_COMPLIANT`之後。如果關聯合規狀態為 ,則控制項會失敗`NON_COMPLIANT`。
狀態管理員關聯是指派給受管執行個體的組態。該組態會定義您想在執行個體上維持的狀態。例如,關聯可以指定必須在您的執行個體上安裝和執行防毒軟體,或特定連接埠必須關閉。
建立一或多個狀態管理員關聯後,您即可立即取得合規狀態資訊。您可以在主控台中檢視合規狀態,或回應 AWS CLI 命令或對應的 Systems Manager API 動作。對於關聯,組態合規會顯示合規狀態 (`Compliant` 或 `Non-compliant`)。它也會顯示指派給關聯的嚴重性等級,例如 `Critical`或 `Medium`。
若要進一步了解 State Manager 關聯合規,請參閱*AWS Systems Manager 《 使用者指南*》中的[關於 State Manager 關聯合規](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)。
### 修補
失敗的關聯可以與不同的物件相關,包括目標和 Systems Manager 文件名稱。若要修復此問題,您必須先檢視關聯歷史記錄來識別和調查關聯。如需檢視關聯歷史記錄的說明,請參閱*AWS Systems Manager 《 使用者指南*》中的[檢視關聯歷史記錄](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html)。
調查之後,您可以編輯關聯以修正已識別的問題。您可以編輯關聯來指定新的名稱、排程、嚴重性層級或目標。編輯關聯後, 會 AWS Systems Manager 建立新的版本。如需編輯關聯的指示,請參閱*AWS Systems Manager 《 使用者指南*》中的[編輯和建立新版本的關聯](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html)。
## 【SSM.4】 SSM 文件不應公開
**相關需求:**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、
**類別:**保護 > 安全網路組態 > 不可公開存取的資源
**嚴重性:**嚴重
**資源類型:** `AWS::SSM::Document`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**排程類型:**定期
**參數:**無
此控制項會檢查帳戶擁有 AWS Systems Manager 的文件是否為公有。如果擁有 `Self` 作為擁有者的 Systems Manager 文件為公有,則控制項會失敗。
Systems Manager 公有文件可能會允許意外存取您的文件。公有 Systems Manager 文件可以公開有關您的帳戶、資源和內部程序的寶貴資訊。
除非您的使用案例需要公開共用,否則建議您封鎖將 `Self`做為擁有者的 Systems Manager 文件的公開共用。
### 修補
如需設定 Systems Manager 文件共用的相關資訊,請參閱*AWS Systems Manager 《 使用者指南*》中的[共用 SSM 文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share)。
## 【SSM.5】 SSM 文件應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::SSM::Document`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 AWS Systems Manager 文件是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果文件沒有任何標籤索引鍵,或者它沒有 `requiredKeyTags` 參數指定的所有索引鍵,則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值,則控制項只會檢查標籤索引鍵是否存在,如果文件沒有任何標籤索引鍵,則 會失敗。控制項會忽略系統標籤,系統標籤會自動套用並具有 `aws:` 字首。控制項不會評估 Amazon 擁有的 Systems Manager 文件。
標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤,依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊,請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊,請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。
**注意**
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。
### 修補
若要將標籤新增至 AWS Systems Manager 文件,您可以使用 AWS Systems Manager API 的 [AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html) 操作,或者,如果您使用的是 AWS CLI,請執行 [add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html) 命令。您也可以使用 AWS Systems Manager 主控台。
## 【SSM.6】 SSM Automation 應該啟用 CloudWatch 記錄
**類別:**識別 > 記錄日誌
**嚴重性:**中
**資源類型:** `AWS::::Account`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查 AWS Systems Manager (SSM) 自動化是否已啟用 Amazon CloudWatch 記錄。如果未針對 SSM Automation 啟用 CloudWatch 記錄,則控制項會失敗。
SSM Automation 是一種 AWS Systems Manager 工具,可協助您建置自動化解決方案,以使用預先定義的或自訂 Runbook 大規模部署、設定和管理 AWS 資源。為了符合組織的營運或安全需求,您可能需要提供其執行指令碼的記錄。您可以設定 SSM Automation 將輸出從 Runbook 中的`aws:executeScript`動作傳送至您指定的 Amazon CloudWatch Logs 日誌群組。您可使用 CloudWatch Logs 從各種 AWS 服務中監控、存放及存取日誌檔案。
### 修補
如需有關為 SSM 自動化啟用 CloudWatch 記錄的資訊,請參閱*AWS Systems Manager 《 使用者指南*》中的[使用 CloudWatch Logs 記錄自動化動作輸出](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html)。
## 【SSM.7】 SSM 文件應啟用封鎖公開共用設定
**類別:**保護 > 安全存取管理 > 資源不可公開存取
**嚴重性:**嚴重
**資源類型:** `AWS::::Account`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否已啟用文件的 AWS Systems Manager 封鎖公開共用設定。如果停用 Systems Manager 文件的封鎖公開共用設定,則控制項會失敗。
AWS Systems Manager (SSM) 文件的封鎖公開共用設定是帳戶層級設定。啟用此設定可防止對 SSM 文件進行不必要的存取。如果您啟用此設定,您的變更不會影響您目前與公眾共用的任何 SSM 文件。除非您的使用案例要求您與公有共享 SSM 文件,否則建議您啟用封鎖公有共享設定。每個 的設定可能有所不同 AWS 區域。
### 修補
如需有關為 AWS Systems Manager (SSM) 文件啟用封鎖公開共用設定的資訊,請參閱*AWS Systems Manager 《 使用者指南*》中的[封鎖 SSM 文件的公開共用](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access)。