Kontrol Security Hub untuk Systems Manager - AWS Security Hub
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT[SSM.4] Dokumen SSM seharusnya tidak bersifat publik[SSM.5] Dokumen SSM harus diberi tag[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch [SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk Systems Manager

AWS Security Hub Kontrol ini mengevaluasi layanan dan sumber daya AWS Systems Manager (SSM). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager

Persyaratan terkait: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8),, NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3

Kategori: Identifikasi > Persediaan

Tingkat keparahan: Sedang

Sumber daya yang dievaluasi: AWS::EC2::Instance

Sumber daya AWS Config perekaman yang diperlukan:AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config aturan: ec2-instance-managed-by-systems-manager

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah EC2 instans yang berhenti dan berjalan di akun Anda dikelola oleh AWS Systems Manager. Systems Manager adalah Layanan AWS yang dapat Anda gunakan untuk melihat dan mengontrol AWS infrastruktur Anda.

Untuk membantu Anda menjaga keamanan dan kepatuhan, Systems Manager memindai instans terkelola yang berhenti dan berjalan. Sebuah instance terkelola adalah mesin yang dikonfigurasi untuk digunakan dengan Systems Manager. Systems Manager kemudian melaporkan atau mengambil tindakan korektif atas setiap pelanggaran kebijakan yang terdeteksi. Systems Manager juga membantu Anda mengonfigurasi dan memelihara instans terkelola.

Untuk mempelajari lebih lanjut, lihat Panduan AWS Systems Manager Pengguna.

Remediasi

Untuk mengelola EC2 instans dengan Systems Manager, lihat Manajemen EC2 host Amazon di Panduan AWS Systems Manager Pengguna. Di bagian Opsi konfigurasi, Anda dapat menyimpan pilihan default atau mengubahnya seperlunya untuk konfigurasi pilihan Anda.

[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch

Persyaratan terkait: NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (3), Nist.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), Nist.800-53.r5 SI-2 (5), Nist.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::SSM::PatchCompliance

AWS Config aturan: ec2-managedinstance-patch-compliance-status-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah status kepatuhan kepatuhan patch Systems Manager COMPLIANT atau NON_COMPLIANT setelah instalasi patch pada instance. Kontrol gagal jika status kepatuhanNON_COMPLIANT. Kontrol hanya memeriksa instance yang dikelola oleh Systems Manager Patch Manager.

Menambal EC2 instance Anda seperti yang dipersyaratkan oleh organisasi Anda mengurangi permukaan serangan Anda. Akun AWS

Remediasi

Systems Manager merekomendasikan penggunaan kebijakan tambalan untuk mengonfigurasi patching untuk instance terkelola Anda. Anda juga dapat menggunakan dokumen Systems Manager, seperti yang dijelaskan dalam prosedur berikut, untuk menambal instance.

Untuk memulihkan tambalan yang tidak sesuai

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Untuk Node Management, pilih Run Command, lalu pilih Run command.

  3. Pilih opsi untuk AWS- RunPatchBaseline.

  4. Ubah Operasi untuk Menginstal.

  5. Pilih instance secara manual, lalu pilih instans yang tidak sesuai.

  6. Pilih Jalankan.

  7. Setelah perintah selesai, untuk memantau status kepatuhan baru dari instance yang ditambal, pilih Kepatuhan di panel navigasi.

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), Nist.800-53.r5 CM-8, Nist.800-53.r5 CM-8 (1), Nist.800-53.R5 CM-8 (3), Nist.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::SSM::AssociationCompliance

AWS Config aturan: ec2-managedinstance-association-compliance-status-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah status kepatuhan AWS Systems Manager asosiasi COMPLIANT atau NON_COMPLIANT setelah asosiasi dijalankan pada sebuah instance. Kontrol gagal jika status kepatuhan asosiasiNON_COMPLIANT.

Asosiasi State Manager adalah konfigurasi yang ditetapkan untuk instans terkelola Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada instans Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada instance Anda atau port tertentu harus ditutup.

Setelah Anda membuat satu atau beberapa asosiasi Manajer Negara, informasi status kepatuhan segera tersedia untuk Anda. Anda dapat melihat status kepatuhan di konsol atau sebagai respons terhadap AWS CLI perintah atau tindakan API Systems Manager terkait. Untuk asosiasi, Kepatuhan Konfigurasi menunjukkan status kepatuhan (CompliantatauNon-compliant). Ini juga menunjukkan tingkat keparahan yang ditetapkan untuk asosiasi, seperti Critical atauMedium.

Untuk mempelajari lebih lanjut tentang kepatuhan asosiasi Manajer Negara, lihat Tentang kepatuhan asosiasi Manajer Negara di Panduan AWS Systems Manager Pengguna.

Remediasi

Asosiasi yang gagal dapat dikaitkan dengan hal-hal yang berbeda, termasuk target dan nama dokumen Systems Manager. Untuk mengatasi masalah ini, Anda harus terlebih dahulu mengidentifikasi dan menyelidiki asosiasi dengan melihat riwayat asosiasi. Untuk petunjuk tentang melihat riwayat asosiasi, lihat Melihat riwayat asosiasi di Panduan AWS Systems Manager Pengguna.

Setelah menyelidiki, Anda dapat mengedit asosiasi untuk memperbaiki masalah yang diidentifikasi. Anda dapat mengedit asosiasi untuk menentukan nama, jadwal, tingkat keparahan, atau target baru. Setelah Anda mengedit asosiasi, AWS Systems Manager buat versi baru. Untuk petunjuk tentang mengedit asosiasi, lihat Mengedit dan membuat versi baru asosiasi di Panduan AWS Systems Manager Pengguna.

[SSM.4] Dokumen SSM seharusnya tidak bersifat publik

Persyaratan terkait: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Kategori: Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::SSM::Document

AWS Config aturan: ssm-document-not-public

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah AWS Systems Manager dokumen yang dimiliki oleh akun bersifat publik. Kontrol gagal jika dokumen Systems Manager yang memiliki Self sebagai pemilik bersifat publik.

Dokumen Systems Manager yang bersifat publik mungkin memungkinkan akses yang tidak diinginkan ke dokumen Anda. Dokumen Systems Manager publik dapat mengekspos informasi berharga tentang akun, sumber daya, dan proses internal Anda.

Kecuali kasus penggunaan Anda memerlukan berbagi publik, sebaiknya Anda memblokir berbagi publik untuk dokumen Systems Manager yang dimiliki Self sebagai pemiliknya.

Remediasi

Untuk informasi tentang mengonfigurasi berbagi untuk dokumen Systems Manager, lihat Membagikan dokumen SSM di AWS Systems Manager Panduan Pengguna.

[SSM.5] Dokumen SSM harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::SSM::Document

AWS Config aturan: ssm-document-tagged

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Tipe Nilai kustom yang diizinkan Nilai default Security Hub
requiredKeyTags Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList (maksimal 6 item) 1—6 kunci tag yang memenuhi persyaratan AWS . Tidak ada nilai default

Kontrol ini memeriksa apakah AWS Systems Manager dokumen memiliki kunci tag yang ditentukan oleh requiredKeyTags parameter. Kontrol gagal jika dokumen tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh requiredKeyTags parameter. Jika Anda tidak menentukan nilai apa pun untuk requiredKeyTags parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika dokumen tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki aws: awalan. Kontrol tidak mengevaluasi dokumen Systems Manager yang dimiliki oleh Amazon.

Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. Untuk informasi selengkapnya tentang strategi ABAC, lihat Menentukan izin berdasarkan atribut dengan otorisasi ABAC di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang tag, lihat Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag.

catatan

Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.

Remediasi

Untuk menambahkan tag ke AWS Systems Manager dokumen, Anda dapat menggunakan AddTagsToResourceoperasi AWS Systems Manager API atau, jika Anda menggunakan AWS CLI, jalankan add-tags-to-resourceperintah. Anda juga dapat menggunakan AWS Systems Manager konsol.

[SSM.6] Otomatisasi SSM seharusnya mengaktifkan pencatatan CloudWatch

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::::Account

AWS Config aturan: ssm-automation-logging-enabled

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah CloudWatch pencatatan Amazon diaktifkan untuk Otomasi AWS Systems Manager (SSM). Kontrol gagal jika CloudWatch logging tidak diaktifkan untuk SSM Automation.

SSM Automation adalah AWS Systems Manager alat yang membantu Anda membangun solusi otomatis untuk menyebarkan, mengonfigurasi, dan mengelola AWS sumber daya dalam skala besar menggunakan runbook yang telah ditentukan atau kustom. Untuk memenuhi persyaratan operasional atau keamanan untuk organisasi Anda, Anda mungkin perlu memberikan catatan skrip yang dijalankannya. Anda dapat mengonfigurasi SSM Automation untuk mengirim output dari aws:executeScript tindakan di runbook ke grup CloudWatch log Amazon Logs yang Anda tentukan. Dengan CloudWatch Log, Anda dapat memantau, menyimpan, dan mengakses file log dari berbagai file Layanan AWS.

Remediasi

Untuk informasi tentang mengaktifkan CloudWatch logging untuk Otomasi SSM, lihat Keluaran tindakan Otomasi Pencatatan dengan CloudWatch Log di AWS Systems Manager Panduan Pengguna.

[SSM.7] Dokumen SSM harus mengaktifkan pengaturan berbagi publik blok

Kategori: Lindungi > Manajemen akses aman > Sumber daya tidak dapat diakses publik

Tingkat keparahan: Kritis

Jenis sumber daya: AWS::::Account

AWS Config aturan: ssm-automation-block-public-sharing

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah setelan blok berbagi publik diaktifkan untuk AWS Systems Manager dokumen. Kontrol gagal jika setelan blok berbagi publik dinonaktifkan untuk dokumen Systems Manager.

Pengaturan blok berbagi publik untuk dokumen AWS Systems Manager (SSM) adalah pengaturan tingkat akun. Mengaktifkan pengaturan ini dapat mencegah akses yang tidak diinginkan ke dokumen SSM Anda. Jika Anda mengaktifkan setelan ini, perubahan Anda tidak memengaruhi dokumen SSM apa pun yang saat ini Anda bagikan dengan publik. Kecuali kasus penggunaan Anda mengharuskan Anda untuk berbagi dokumen SSM dengan publik, kami sarankan Anda mengaktifkan pengaturan blokir berbagi publik. Pengaturan dapat berbeda untuk masing-masing Wilayah AWS.

Remediasi

Untuk informasi tentang mengaktifkan setelan blokir berbagi publik untuk dokumen AWS Systems Manager (SSM), lihat Memblokir berbagi publik untuk dokumen SSM di Panduan Pengguna.AWS Systems Manager