Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli CSPM Security Hub per Amazon GuardDuty
Questi AWS Security Hub CSPM controlli valutano il GuardDuty servizio e le risorse Amazon. I controlli potrebbero non essere disponibili in tuttiRegioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[GuardDuty.1] GuardDuty dovrebbe essere abilitato
Requisiti correlati: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 SA-1 1 (1), 1 (6) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, 5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (2), 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20, NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NIST.800-53.r5 nist.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (13) NIST.800-53.r5 SC-5, NIS.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (2), NIS.800-53.r5 SI-4 (22), NIS.800-53.r5 SI-4 (25), NIS.800-53.r5 SI-4 (4), NIS.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI-4 (5), nist.800-53.r5 SI800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS versione 3.2.1/11.4 NIST.800-53.r5 SA-8 , PCI DSS versione 4.0.1/11.5.1
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::::Account
Regola AWS Config: guardduty-enabled-centralized
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se Amazon GuardDuty è abilitato nel tuo GuardDuty account e nella tua regione.
Si consiglia vivamente di abilitarlo GuardDuty in tutte le AWS regioni supportate. In questo modo è possibile GuardDuty generare informazioni su attività non autorizzate o insolite, anche nelle regioni che non vengono utilizzate attivamente. Ciò consente anche GuardDuty di monitorare CloudTrail eventi globali Servizi AWS come IAM.
Correzione
Per abilitarlo GuardDuty, consulta la sezione Guida introduttiva GuardDuty nella Amazon GuardDuty User Guide.
[GuardDuty.2] GuardDuty i filtri devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::GuardDuty::Filter
AWS Configregola: tagged-guardduty-filter (regola CSPM Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | 1—6 tasti tag che soddisfano i requisitiAWS. |
No default value
|
Questo controllo verifica se un GuardDuty filtro Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il filtro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il filtro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a moltiServizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un GuardDuty filtro, TagResourceconsulta Amazon GuardDuty API Reference.
[GuardDuty.3] GuardDuty IPSets deve essere taggato
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::GuardDuty::IPSet
AWS Configregola: tagged-guardduty-ipset (regola CSPM Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | 1—6 tasti tag che soddisfano i requisitiAWS. |
No default value
|
Questo controllo verifica se un Amazon GuardDuty IPSet dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se IPSet non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se IPSet non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a moltiServizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a GuardDuty IPSet, TagResourceconsulta Amazon GuardDuty API Reference.
[GuardDuty.4] i GuardDuty rilevatori devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::GuardDuty::Detector
AWS Configregola: tagged-guardduty-detector (regola CSPM Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | 1—6 tasti tag che soddisfano i requisitiAWS. |
No default value
|
Questo controllo verifica se un GuardDuty rilevatore Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il rilevatore non dispone di chiavi tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave tag e fallisce se il rilevatore non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a moltiServizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un GuardDuty rilevatore, consulta TagResourceAmazon GuardDuty API Reference.
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring deve essere abilitato
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-eks-protection-audit-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se GuardDuty EKS Audit Log Monitoring è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Audit Log Monitoring è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno EKS Audit Log Monitoring abilitato.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzione EKS Audit Log Monitoring per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera FAILED risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha abilitato GuardDuty EKS Audit Log Monitoring. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty EKS Audit Log Monitoring ti aiuta a rilevare attività potenzialmente sospette nei cluster Amazon Elastic Kubernetes Service (Amazon EKS). Il monitoraggio dei log di audit EKS utilizza i log di audit di Kubernetes per acquisire le attività cronologiche degli utenti, delle applicazioni che utilizzano l'API Kubernetes e il piano di controllo (control-plane).
Correzione
Per abilitare GuardDuty EKS Audit Log Monitoring, consulta EKS Audit Log Monitoring nella Amazon GuardDuty User Guide.
[GuardDuty.6] La protezione GuardDuty Lambda deve essere abilitata
Requisiti correlati: PCI DSS v4.0.1/11.5.1
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-lambda-protection-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la protezione GuardDuty Lambda è abilitata. Per un account autonomo, il controllo fallisce se GuardDuty Lambda Protection è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione Lambda abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità Lambda Protection per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera FAILED risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty Lambda abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty Lambda Protection ti aiuta a identificare potenziali minacce alla sicurezza quando viene richiamata una AWS Lambda funzione. Dopo aver abilitato Lambda Protection, GuardDuty inizia a monitorare i registri delle attività di rete Lambda associati alle funzioni Lambda del tuo. Account AWS Quando viene richiamata una funzione Lambda e GuardDuty identifica traffico di rete sospetto che indica la presenza di un codice potenzialmente dannoso nella funzione Lambda, genera un risultato. GuardDuty
Correzione
Per abilitare GuardDuty Lambda Protection, consulta Configuring Lambda Protection nella Amazon User Guide. GuardDuty
[GuardDuty.7] GuardDuty EKS Runtime Monitoring deve essere abilitato
Requisiti correlati: PCI DSS v4.0.1/11.5.1
Categoria: Rileva > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-eks-protection-runtime-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty EKS Runtime Monitoring con gestione automatizzata degli agenti è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non dispongono di EKS Runtime Monitoring con la gestione automatizzata degli agenti abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità EKS Runtime Monitoring con gestione automatizzata degli agenti per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera FAILED risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha GuardDuty EKS Runtime Monitoring abilitato. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
EKS Protection in Amazon GuardDuty fornisce una copertura per il rilevamento delle minacce per aiutarti a proteggere i cluster Amazon EKS all'interno del tuo AWS ambiente. EKS Runtime Monitoring utilizza eventi a livello di sistema operativo per aiutarti a rilevare potenziali minacce nei nodi e nei contenitori EKS all'interno dei cluster EKS.
Correzione
Per abilitare EKS Runtime Monitoring con la gestione automatizzata degli agenti, consulta GuardDuty Enabling Runtime Monitoring nella Amazon GuardDuty User Guide.
[GuardDuty.8] La protezione GuardDuty da malware per EC2 deve essere abilitata
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-malware-protection-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la protezione GuardDuty da malware è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty da malware è disattivata nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membri non hanno la protezione antimalware abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato GuardDuty . Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione da malware per gli account dei membri dell'organizzazione. GuardDuty gli account membri non possono modificare questa configurazione dai propri account. Questo controllo genera FAILED risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty antimalware abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi. GuardDuty
GuardDuty Malware Protection for ti EC2 aiuta a rilevare la potenziale presenza di malware scansionando i volumi Amazon Elastic Block Store (Amazon EBS) collegati alle istanze di Amazon Elastic Compute Cloud ( EC2Amazon) e ai carichi di lavoro dei container. Malware Protection offre opzioni di scansione in cui puoi decidere se includere o escludere EC2 istanze e carichi di lavoro di container specifici al momento della scansione. Fornisce inoltre la possibilità di conservare le istantanee dei volumi EBS collegati alle EC2 istanze o ai carichi di lavoro dei container nei tuoi account. GuardDuty Gli snapshot vengono conservati solo in caso di rilevamento di malware e di generazione di esiti della protezione da malware.
Correzione
Per abilitare la protezione GuardDuty da malware per EC2, consulta Configurazione della scansione antimalware GuardDuty avviata nella Amazon GuardDuty User Guide.
[GuardDuty.9] La protezione GuardDuty RDS deve essere abilitata
Requisiti correlati: PCI DSS v4.0.1/11.5.1
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-rds-protection-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la protezione GuardDuty RDS è abilitata. Per un account autonomo, il controllo fallisce se la protezione GuardDuty RDS è disattivata nell'account. In un ambiente con più account, il controllo ha esito negativo se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno la protezione RDS abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione RDS per gli account dei membri dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera FAILED risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty RDS abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
RDS Protection in GuardDuty analisi e profila l'attività di accesso RDS per potenziali minacce di accesso ai database Amazon Aurora (Aurora MySQL Compatible Edition e Aurora PostgreSQL Compatible Edition). La funzionalità consente di identificare comportamenti di accesso potenzialmente sospetti. La Protezione RDS non richiede un'infrastruttura aggiuntiva ed è progettata in modo da non influire negativamente sulle prestazioni delle istanze di database. Quando RDS Protection rileva un tentativo di accesso potenzialmente sospetto o anomalo che indica una minaccia per il database, genera una nuova scoperta con dettagli sul database potenzialmente compromesso. GuardDuty
Correzione
Per abilitare GuardDuty RDS Protection, consulta GuardDuty RDS Protection nella Amazon GuardDuty User Guide.
[GuardDuty.10] La protezione GuardDuty S3 deve essere abilitata
Requisiti correlati: PCI DSS v4.0.1/11.5.1
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-s3-protection-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se GuardDuty S3 Protection è abilitato. Per un account autonomo, il controllo fallisce se GuardDuty S3 Protection è disabilitato nell'account. In un ambiente con più account, il controllo fallisce se l'account GuardDuty amministratore delegato e tutti gli account membro non hanno S3 Protection abilitato.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato. GuardDuty Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di protezione S3 per gli account membro dell'organizzazione. GuardDuty gli account membro non possono modificare questa configurazione dai propri account. Questo controllo genera FAILED risultati se l' GuardDuty amministratore delegato ha un account membro sospeso che non ha la protezione GuardDuty S3 abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in. GuardDuty
S3 Protection consente di monitorare le operazioni API GuardDuty a livello di oggetto per identificare potenziali rischi per la sicurezza dei dati all'interno dei bucket Amazon Simple Storage Service (Amazon S3). GuardDuty monitora le minacce contro le risorse S3 AWS CloudTrail analizzando gli eventi di gestione e gli eventi relativi ai dati S3. CloudTrail
Correzione
Per abilitare GuardDuty S3 Protection, consulta Amazon S3 Protection in Amazon nella GuardDuty GuardDuty Amazon User Guide.
[GuardDuty.11] Il monitoraggio del GuardDuty runtime deve essere abilitato
Categoria: Rileva > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-runtime-monitoring-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se il Runtime Monitoring è abilitato in Amazon GuardDuty. Per un account autonomo, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il GuardDuty Runtime Monitoring è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del GuardDuty runtime per gli account della propria organizzazione. Inoltre, solo l' GuardDuty amministratore può configurare e gestire gli agenti di sicurezza GuardDuty utilizzati per il monitoraggio in fase di esecuzione dei AWS carichi di lavoro e delle risorse per gli account dell'organizzazione. GuardDuty gli account dei membri non possono abilitare, configurare o disabilitare il monitoraggio del runtime per i propri account.
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di AWS lavoro specifici del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. Puoi abilitare e gestire l'agente di sicurezza per ogni tipo di risorsa che desideri monitorare per rilevare potenziali minacce, come i cluster Amazon EKS e le EC2 istanze Amazon.
Correzione
Per informazioni sulla configurazione e l'abilitazione del monitoraggio del GuardDuty runtime, consulta GuardDuty Runtime Monitoring e Enabling GuardDuty Runtime Monitoring nella Amazon GuardDuty User Guide.
[GuardDuty.12] Il monitoraggio del runtime GuardDuty ECS deve essere abilitato
Categoria: Rileva > Servizi di rilevamento
Gravità: media
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-ecs-protection-runtime-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio in fase di esecuzione dei cluster Amazon ECS su. AWS Fargate Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle risorse ECS-Fargate per gli account della propria organizzazione. GuardDuty gli account dei membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera FAILED risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle risorse ECS-Fargate è disabilitato per l'account membro. Per ricevere un PASSED risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Ciò include i cluster Amazon ECS attivi. AWS Fargate
Correzione
Per abilitare e gestire l'agente di sicurezza per il monitoraggio del GuardDuty runtime delle risorse ECS-Fargate, è necessario utilizzare direttamente. GuardDuty Non è possibile abilitarlo o gestirlo manualmente per le risorse ECS-Fargate. Per informazioni sull'attivazione e la gestione del security agent, consulta Prerequisiti per il supporto AWS Fargate (solo Amazon ECS) e Gestione dell'agente di sicurezza automatizzato per (solo AWS Fargate Amazon ECS) nella Amazon GuardDuty User Guide.
[GuardDuty.13] Il monitoraggio del GuardDuty EC2 runtime deve essere abilitato
Categoria: Rileva > Servizi di rilevamento
Gravità: media
Tipo di risorsa: AWS::GuardDuty::Detector
Regola AWS Config: guardduty-ec2-protection-runtime-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se l'agente di sicurezza GuardDuty automatizzato di Amazon è abilitato per il monitoraggio del runtime delle EC2 istanze Amazon. Per un account autonomo, il controllo fallisce se il security agent è disabilitato per l'account. In un ambiente con più account, il controllo fallisce se il Security Agent è disabilitato per l'account GuardDuty amministratore delegato e per tutti gli account dei membri.
In un ambiente con più account, questo controllo genera risultati solo nell'account amministratore delegato GuardDuty . Questo perché solo l' GuardDuty amministratore delegato può abilitare o disabilitare il monitoraggio del runtime delle EC2 istanze Amazon per gli account della propria organizzazione. GuardDuty gli account dei membri non possono eseguire questa operazione per i propri account. Inoltre, questo controllo genera FAILED risultati se GuardDuty è sospeso per un account membro e il monitoraggio del runtime delle EC2 istanze è disabilitato per l'account membro. Per ricevere un PASSED risultato, l' GuardDuty amministratore deve dissociare l'account membro sospeso dal proprio account amministratore utilizzando. GuardDuty
GuardDuty Runtime Monitoring osserva e analizza gli eventi a livello di sistema operativo, di rete e di file per aiutarti a rilevare potenziali minacce in carichi di lavoro specifici AWS del tuo ambiente. Utilizza agenti GuardDuty di sicurezza che aggiungono visibilità al comportamento di runtime, come l'accesso ai file, l'esecuzione dei processi, gli argomenti della riga di comando e le connessioni di rete. È possibile abilitare e gestire il security agent per ogni tipo di risorsa che si desidera monitorare per rilevare potenziali minacce. Sono incluse le EC2 istanze Amazon.
Correzione
Per informazioni sulla configurazione e la gestione dell'agente di sicurezza automatizzato per il monitoraggio del GuardDuty runtime delle EC2 istanze, consulta Prerequisiti per il supporto delle EC2 istanze Amazon e Abilitazione dell'agente di sicurezza automatizzato per le EC2 istanze Amazon nella Amazon User Guide. GuardDuty
