Von Trusted Remediator unterstützte Security Hub CSPM-Empfehlungen

In der folgenden Tabelle sind die unterstützten Security Hub CSPM-Empfehlungen, SSM-Automatisierungsdokumente, vorkonfigurierte Parameter und das erwartete Ergebnis der Automatisierungsdokumente aufgeführt. Überprüfen Sie das erwartete Ergebnis, um mögliche Risiken auf der Grundlage Ihrer Geschäftsanforderungen besser zu verstehen, bevor Sie ein Dokument zur SSM-Automatisierung zur Behebung von Prüfungen aktivieren.

Stellen Sie sicher, dass Sie Security Hub CSPM für das Konto aktivieren. Weitere Informationen finden Sie unter Security Hub CSPM aktivieren.

Überprüfen Sie die ID und den Namen Name des SSM-Dokuments und erwartetes Ergebnis Unterstützte vorkonfigurierte Parameter und Einschränkungen

Überprüfen Sie die ID und den Namen	Name des SSM-Dokuments und erwartetes Ergebnis	Unterstützte vorkonfigurierte Parameter und Einschränkungen
Security-Hub-IAM-22 IAM.22: IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: Auf true setzen, um ungenutzte Zugriffsschlüssel dauerhaft zu löschen, oder auf false, um sie zu deaktivieren (sodass sie inaktiv, aber wiederherstellbar sind). Keine Einschränkungen
Security-Hub-IAM-3 IAM.3: Die Zugangsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden.	AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 Tage	Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen
Security-Hub-IAM-8 IAM.8: Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: Auf true setzen, um ungenutzte Zugriffsschlüssel dauerhaft zu löschen, oder auf false, um sie zu deaktivieren (wodurch sie inaktiv, aber wiederherstellbar sind). Keine Einschränkungen
security-hub-networkfirewall-10 NetworkFirewall.10: Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection	Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen
security-hub-networkfirewall-2 NetworkFirewall.2: Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog	LogGroupName: Der Name der CloudWatch Protokollgruppe, an die Protokolle gesendet werden sollen. LogTypes: Die Arten von Protokollen, die aktiviert werden sollen. Gültige Werte sind `FLOW`, `ALERT`, `TLS`. Keine Einschränkungen
security-hub-stepfunctions-1 StepFunctions.1: Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben.	AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging	LogGroupName: Der Name der CloudWatch Protokollgruppe für die Step Functions-Protokollierung. LoggingLevel: Die Protokollierungsebene für Step Functions. Gültige Werte sind `ALL`, `ERROR`, `FATAL`.
security-hub-lambda-7 Lambda.7: Für Lambda-Funktionen sollte AWS X-Ray Active Tracing aktiviert sein.	AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing	Vorkonfigurierte Parameter sind nicht zulässig. Keine Einschränkungen

Security-Hub-IAM-22

IAM.22: IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: Auf true setzen, um ungenutzte Zugriffsschlüssel dauerhaft zu löschen, oder auf false, um sie zu deaktivieren (sodass sie inaktiv, aber wiederherstellbar sind).

Keine Einschränkungen

Security-Hub-IAM-3

IAM.3: Die Zugangsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden.

AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 Tage

Vorkonfigurierte Parameter sind nicht zulässig.

Keine Einschränkungen

Security-Hub-IAM-8

IAM.8: Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: Auf true setzen, um ungenutzte Zugriffsschlüssel dauerhaft zu löschen, oder auf false, um sie zu deaktivieren (wodurch sie inaktiv, aber wiederherstellbar sind).

Keine Einschränkungen

security-hub-networkfirewall-10

NetworkFirewall.10: Bei Netzwerk-Firewall-Firewalls sollte der Subnetzänderungsschutz aktiviert sein.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection

Vorkonfigurierte Parameter sind nicht zulässig.

Keine Einschränkungen

security-hub-networkfirewall-2

NetworkFirewall.2: Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog

LogGroupName: Der Name der CloudWatch Protokollgruppe, an die Protokolle gesendet werden sollen.

LogTypes: Die Arten von Protokollen, die aktiviert werden sollen. Gültige Werte sind FLOW, ALERT, TLS.

Keine Einschränkungen

security-hub-stepfunctions-1

StepFunctions.1: Step Functions Functions-Zustandsmaschinen sollten die Protokollierung aktiviert haben.

AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging

LogGroupName: Der Name der CloudWatch Protokollgruppe für die Step Functions-Protokollierung.

LoggingLevel: Die Protokollierungsebene für Step Functions. Gültige Werte sind ALL, ERROR, FATAL.

security-hub-lambda-7

Lambda.7: Für Lambda-Funktionen sollte AWS X-Ray Active Tracing aktiviert sein.

AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing

Vorkonfigurierte Parameter sind nicht zulässig.

Keine Einschränkungen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Unterstützte Prüfungen Trusted Advisor

Konfigurieren Sie die Problembehebung