Kontrol Security Hub untuk Amazon Inspector - AWS Security Hub
[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2 [Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Amazon Inspector

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya Amazon Inspector.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

Persyaratan terkait: PCI DSS v4.0.1/11.3.1

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::::Account

AWS Config aturan: inspector-ec2-scan-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah EC2 pemindaian Amazon Inspector diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian Amazon EC2 Inspector dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak EC2 mengaktifkan pemindaian.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur EC2 pemindaian untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan FAILED temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian Amazon EC2 Inspector. Untuk menerima PASSED temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

EC2 Pemindaian Amazon Inspector mengekstrak metadata dari instans Amazon Elastic Compute Cloud ( EC2Amazon) Anda, lalu membandingkan metadata ini dengan aturan yang dikumpulkan dari penasihat keamanan untuk menghasilkan temuan. Amazon Inspector memindai instans untuk kerentanan paket dan masalah jangkauan jaringan. Untuk informasi tentang sistem operasi yang didukung, termasuk sistem operasi mana yang dapat dipindai tanpa agen SSM, lihat Sistem operasi yang didukung: Pemindaian Amazon EC2 .

Remediasi

Untuk mengaktifkan pemindaian Amazon Inspector, lihat Mengaktifkan EC2 pemindaian di Panduan Pengguna Amazon Inspector.

[Inspektor.2] Pemindaian ECR Amazon Inspector harus diaktifkan

Persyaratan terkait: PCI DSS v4.0.1/11.3.1

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::::Account

AWS Config aturan: inspector-ecr-scan-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah pemindaian Amazon Inspector ECR diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian Amazon Inspector ECR dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian ECR.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian ECR untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan FAILED temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian Amazon Inspector ECR. Untuk menerima PASSED temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Amazon Inspector memindai gambar kontainer yang disimpan di Amazon Elastic Container Registry (Amazon ECR) untuk mencari kerentanan perangkat lunak untuk menghasilkan temuan kerentanan paket. Saat mengaktifkan pemindaian Amazon Inspector untuk Amazon ECR, Anda menetapkan Amazon Inspector sebagai layanan pemindaian pilihan untuk registri pribadi Anda. Ini menggantikan pemindaian dasar, yang disediakan tanpa biaya oleh Amazon ECR, dengan pemindaian yang disempurnakan, yang disediakan dan ditagih melalui Amazon Inspector. Pemindaian yang disempurnakan memberi Anda manfaat pemindaian kerentanan untuk sistem operasi dan paket bahasa pemrograman di tingkat registri. Anda dapat meninjau temuan yang ditemukan menggunakan pemindaian yang disempurnakan pada tingkat gambar, untuk setiap lapisan gambar, di konsol Amazon ECR. Selain itu, Anda dapat meninjau dan bekerja dengan temuan ini di layanan lain yang tidak tersedia untuk temuan pemindaian dasar, termasuk AWS Security Hub dan Amazon EventBridge.

Remediasi

Untuk mengaktifkan pemindaian Amazon Inspector ECR, lihat Mengaktifkan pemindaian di Panduan Pengguna Amazon Inspector.

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

Persyaratan terkait: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::::Account

AWS Config aturan: inspector-lambda-code-scan-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah pemindaian kode Amazon Inspector Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian kode Amazon Inspector Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian kode Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian kode Lambda untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan FAILED temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian kode Amazon Inspector Lambda. Untuk menerima PASSED temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Pemindaian kode Amazon Inspector Lambda memindai kode aplikasi khusus dalam AWS Lambda fungsi untuk kerentanan kode berdasarkan praktik terbaik keamanan. AWS Pemindaian kode Lambda dapat mendeteksi kekurangan injeksi, kebocoran data, kriptografi lemah, atau enkripsi yang hilang dalam kode Anda. Fitur ini Wilayah AWS hanya tersedia secara spesifik. Anda dapat mengaktifkan pemindaian kode Lambda bersama dengan pemindaian standar Lambda (lihat). [Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

Remediasi

Untuk mengaktifkan pemindaian kode Amazon Inspector Lambda, lihat Mengaktifkan pemindaian di Panduan Pengguna Amazon Inspector.

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

Persyaratan terkait: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::::Account

AWS Config aturan: inspector-lambda-standard-scan-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah pemindaian standar Amazon Inspector Lambda diaktifkan. Untuk akun mandiri, kontrol gagal jika pemindaian standar Amazon Inspector Lambda dinonaktifkan di akun. Di lingkungan multi-akun, kontrol gagal jika akun administrator Amazon Inspector yang didelegasikan dan semua akun anggota tidak mengaktifkan pemindaian standar Lambda.

Dalam lingkungan multi-akun, kontrol menghasilkan temuan hanya di akun administrator Amazon Inspector yang didelegasikan. Hanya administrator yang didelegasikan yang dapat mengaktifkan atau menonaktifkan fitur pemindaian standar Lambda untuk akun anggota di organisasi. Akun anggota Amazon Inspector tidak dapat mengubah konfigurasi ini dari akun mereka. Kontrol ini menghasilkan FAILED temuan jika administrator yang didelegasikan memiliki akun anggota yang ditangguhkan yang tidak mengaktifkan pemindaian standar Amazon Inspector Lambda. Untuk menerima PASSED temuan, administrator yang didelegasikan harus memisahkan akun yang ditangguhkan ini di Amazon Inspector.

Pemindaian standar Amazon Inspector Lambda mengidentifikasi kerentanan perangkat lunak dalam dependensi paket aplikasi yang Anda tambahkan ke kode fungsi dan lapisan Anda. AWS Lambda Jika Amazon Inspector mendeteksi kerentanan dalam dependensi paket aplikasi fungsi Lambda Anda, Amazon Inspector menghasilkan temuan tipe terperinci. Package Vulnerability Anda dapat mengaktifkan pemindaian kode Lambda bersama dengan pemindaian standar Lambda (lihat). [Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

Remediasi

Untuk mengaktifkan pemindaian standar Amazon Inspector Lambda, lihat Mengaktifkan pemindaian di Panduan Pengguna Amazon Inspector.