Recommandations CSPM de Security Hub prises en charge par Trusted Remediator

Le tableau suivant répertorie les recommandations CSPM prises en charge par Security Hub, les documents d'automatisation SSM, les paramètres préconfigurés et le résultat attendu des documents d'automatisation. Passez en revue le résultat attendu pour vous aider à comprendre les risques potentiels en fonction des exigences de votre entreprise avant d'activer un document d'automatisation SSM pour la correction des contrôles.

Assurez-vous d'activer Security Hub CSPM pour le compte. Pour plus d'informations, voir Enabling Security Hub CSPM.

Identifiant et nom du chèque Nom du document SSM et résultat attendu Paramètres et contraintes préconfigurés pris en charge

Identifiant et nom du chèque	Nom du document SSM et résultat attendu	Paramètres et contraintes préconfigurés pris en charge
Hub de sécurité IAM-22 IAM.22 : Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: défini sur true pour supprimer définitivement les clés d'accès non utilisées, ou sur false pour les désactiver (les rendant inactives mais récupérables). Aucune contrainte
Hub de sécurité IAM-3 IAM.3 : Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins.	AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 jours	Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte
Hub de sécurité IAM-8 IAM.8 : Les informations d'identification utilisateur IAM non utilisées doivent être supprimées.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: défini sur true pour supprimer définitivement les clés d'accès non utilisées, ou sur false pour les désactiver (les rendant inactives mais récupérables). Aucune contrainte
security-hub-networkfirewall-10 NetworkFirewall.10 : La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection	Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte
security-hub-networkfirewall-2 NetworkFirewall.2 : La journalisation du Network Firewall doit être activée.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog	LogGroupName: nom du groupe de CloudWatch journaux auquel envoyer les journaux. LogTypes: types de journaux à activer. Les valeurs valides sont `FLOW`, `ALERT`, `TLS`. Aucune contrainte
security-hub-stepfunctions-1 StepFunctions.1 : La journalisation doit être activée sur les machines d'état Step Functions.	AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging	LogGroupName: nom du groupe de CloudWatch journaux pour la journalisation de Step Functions. LoggingLevel: niveau de journalisation pour Step Functions. Les valeurs valides sont `ALL`, `ERROR`, `FATAL`.
security-hub-lambda-7 Lambda.7 : Le suivi actif d'AWS X-Ray doit être activé pour les fonctions Lambda.	AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing	Aucun paramètre préconfiguré n'est autorisé. Aucune contrainte

Hub de sécurité IAM-22

IAM.22 : Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: défini sur true pour supprimer définitivement les clés d'accès non utilisées, ou sur false pour les désactiver (les rendant inactives mais récupérables).

Aucune contrainte

Hub de sécurité IAM-3

IAM.3 : Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins.

AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 jours

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Hub de sécurité IAM-8

IAM.8 : Les informations d'identification utilisateur IAM non utilisées doivent être supprimées.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: défini sur true pour supprimer définitivement les clés d'accès non utilisées, ou sur false pour les désactiver (les rendant inactives mais récupérables).

Aucune contrainte

security-hub-networkfirewall-10

NetworkFirewall.10 : La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

security-hub-networkfirewall-2

NetworkFirewall.2 : La journalisation du Network Firewall doit être activée.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog

LogGroupName: nom du groupe de CloudWatch journaux auquel envoyer les journaux.

LogTypes: types de journaux à activer. Les valeurs valides sont FLOW, ALERT, TLS.

Aucune contrainte

security-hub-stepfunctions-1

StepFunctions.1 : La journalisation doit être activée sur les machines d'état Step Functions.

AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging

LogGroupName: nom du groupe de CloudWatch journaux pour la journalisation de Step Functions.

LoggingLevel: niveau de journalisation pour Step Functions. Les valeurs valides sont ALL, ERROR, FATAL.

security-hub-lambda-7

Lambda.7 : Le suivi actif d'AWS X-Ray doit être activé pour les fonctions Lambda.

AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing

Aucun paramètre préconfiguré n'est autorisé.

Aucune contrainte

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Trusted Advisor Chèques pris en charge

Configuration de la correction des chèques