Raccomandazioni CSPM di Security Hub supportate da Trusted Remediator

La tabella seguente elenca i consigli CSPM supportati da Security Hub, i documenti di automazione SSM, i parametri preconfigurati e il risultato previsto dei documenti di automazione. Esamina il risultato previsto per aiutarti a comprendere i possibili rischi in base ai requisiti aziendali prima di abilitare un documento di automazione SSM per la correzione degli assegni.

Assicurati di abilitare Security Hub CSPM per l'account. Per ulteriori informazioni, vedere, Enabling Security Hub CSPM.

Controlla l'ID e il nome Nome del documento SSM e risultato previsto Parametri e vincoli preconfigurati supportati

Controlla l'ID e il nome	Nome del documento SSM e risultato previsto	Parametri e vincoli preconfigurati supportati
Security-Hub-IAM-22 IAM.22: le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: Imposta su true per eliminare definitivamente le chiavi di accesso non utilizzate o su false per disattivarle (rendendole inattive ma recuperabili). Nessun vincolo
Security-hub-IAM-3 IAM.3: le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno.	AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 giorni	Non sono consentiti parametri preconfigurati. Nessun vincolo
Security-hub-IAM-8 IAM.8: le credenziali utente IAM non utilizzate devono essere rimosse.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: Imposta su true per eliminare definitivamente le chiavi di accesso non utilizzate o su false per disattivarle (rendendole inattive ma recuperabili). Nessun vincolo
security-hub-networkfirewall-10 NetworkFirewall.10: I firewall Network Firewall devono avere la protezione da modifica della sottorete abilitata.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection	Non sono consentiti parametri preconfigurati. Nessun vincolo
security-hub-networkfirewall-2 NetworkFirewall.2: La registrazione del Network Firewall deve essere abilitata.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog	LogGroupName: il nome del gruppo di CloudWatch log a cui inviare i log. LogTypes: i tipi di log da abilitare. I valori validi sono `FLOW`, `ALERT`, `TLS`. Nessun vincolo
security-hub-stepfunctions-1 StepFunctions.1: Le macchine a stati Step Functions dovrebbero avere la registrazione attivata.	AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging	LogGroupName: il nome del gruppo di CloudWatch log per la registrazione di Step Functions. LoggingLevel: Il livello di registrazione per Step Functions. I valori validi sono `ALL`, `ERROR`, `FATAL`.
security-hub-lambda-7 Lambda.7: le funzioni Lambda devono avere il tracciamento attivo AWS X-Ray abilitato.	AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing	Non sono consentiti parametri preconfigurati. Nessun vincolo

Security-Hub-IAM-22

IAM.22: le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: Imposta su true per eliminare definitivamente le chiavi di accesso non utilizzate o su false per disattivarle (rendendole inattive ma recuperabili).

Nessun vincolo

Security-hub-IAM-3

IAM.3: le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno.

AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 giorni

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Security-hub-IAM-8

IAM.8: le credenziali utente IAM non utilizzate devono essere rimosse.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: Imposta su true per eliminare definitivamente le chiavi di accesso non utilizzate o su false per disattivarle (rendendole inattive ma recuperabili).

Nessun vincolo

security-hub-networkfirewall-10

NetworkFirewall.10: I firewall Network Firewall devono avere la protezione da modifica della sottorete abilitata.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection

Non sono consentiti parametri preconfigurati.

Nessun vincolo

security-hub-networkfirewall-2

NetworkFirewall.2: La registrazione del Network Firewall deve essere abilitata.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog

LogGroupName: il nome del gruppo di CloudWatch log a cui inviare i log.

LogTypes: i tipi di log da abilitare. I valori validi sono FLOW, ALERT, TLS.

Nessun vincolo

security-hub-stepfunctions-1

StepFunctions.1: Le macchine a stati Step Functions dovrebbero avere la registrazione attivata.

AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging

LogGroupName: il nome del gruppo di CloudWatch log per la registrazione di Step Functions.

LoggingLevel: Il livello di registrazione per Step Functions. I valori validi sono ALL, ERROR, FATAL.

security-hub-lambda-7

Lambda.7: le funzioni Lambda devono avere il tracciamento attivo AWS X-Ray abilitato.

AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing

Non sono consentiti parametri preconfigurati.

Nessun vincolo

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlli supportati Trusted Advisor

Configura la correzione degli assegni