Recomendações de CSPM do Security Hub suportadas pelo Trusted Remediator

A tabela a seguir lista as recomendações de CSPM do Security Hub suportadas, os documentos de automação do SSM, os parâmetros pré-configurados e o resultado esperado dos documentos de automação. Analise o resultado esperado para ajudá-lo a entender os possíveis riscos com base nos requisitos de sua empresa antes de habilitar um documento de automação de SSM para remediação de cheques.

Certifique-se de habilitar o Security Hub CSPM para a conta. Para obter mais informações, consulte Habilitando o CSPM do Security Hub.

Verifique o ID e o nome Nome do documento SSM e resultado esperado Parâmetros e restrições pré-configurados suportados

Verifique o ID e o nome	Nome do documento SSM e resultado esperado	Parâmetros e restrições pré-configurados suportados
Hub de segurança - IAM-22 IAM.22: as credenciais de usuário do IAM que não foram usadas por 45 dias devem ser removidas.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: defina como verdadeiro para excluir permanentemente as chaves de acesso não utilizadas ou falso para desativá-las (tornando-as inativas, mas recuperáveis). Sem restrições
Hub de segurança - IAM-3 IAM.3: As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos.	AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 dias	Não são permitidos parâmetros pré-configurados. Sem restrições
Hub de segurança - IAM-8 IAM.8: As credenciais de usuário do IAM não utilizadas devem ser removidas.	AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials	DeleteAccessKeys: defina como verdadeiro para excluir permanentemente as chaves de acesso não utilizadas ou falso para desativá-las (tornando-as inativas, mas recuperáveis). Sem restrições
security-hub-networkfirewall-10 NetworkFirewall.10: Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection	Não são permitidos parâmetros pré-configurados. Sem restrições
security-hub-networkfirewall-2 NetworkFirewall.2: O registro do Firewall de Rede deve estar ativado.	AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog	LogGroupName: o nome do grupo de CloudWatch registros para o qual enviar os registros. LogTypes: os tipos de registros a serem ativados. Os valores válidos são `FLOW`, `ALERT`, `TLS`. Sem restrições
security-hub-stepfunctions-1 StepFunctions.1: As máquinas de estado do Step Functions devem ter o registro ativado.	AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging	LogGroupName: o nome do grupo de registros para o CloudWatch registro de Step Functions. LoggingLevel: O nível de registro para Step Functions. Os valores válidos são `ALL`, `ERROR`, `FATAL`.
security-hub-lambda-7 Lambda.7: As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray ativado.	AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing	Não são permitidos parâmetros pré-configurados. Sem restrições

Hub de segurança - IAM-22

IAM.22: as credenciais de usuário do IAM que não foram usadas por 45 dias devem ser removidas.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: defina como verdadeiro para excluir permanentemente as chaves de acesso não utilizadas ou falso para desativá-las (tornando-as inativas, mas recuperáveis).

Sem restrições

Hub de segurança - IAM-3

IAM.3: As chaves de acesso dos usuários do IAM devem ser trocadas a cada 90 dias ou menos.

AWSManagedServices-TrustedRemediatorRotateIamAccessKeysOlderThan90 dias

Não são permitidos parâmetros pré-configurados.

Sem restrições

Hub de segurança - IAM-8

IAM.8: As credenciais de usuário do IAM não utilizadas devem ser removidas.

AWSManagedServices-TrustedRemediatorDeactivateIamUserUnusedCredentials

DeleteAccessKeys: defina como verdadeiro para excluir permanentemente as chaves de acesso não utilizadas ou falso para desativá-las (tornando-as inativas, mas recuperáveis).

Sem restrições

security-hub-networkfirewall-10

NetworkFirewall.10: Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallSubnetChangeProtection

Não são permitidos parâmetros pré-configurados.

Sem restrições

security-hub-networkfirewall-2

NetworkFirewall.2: O registro do Firewall de Rede deve estar ativado.

AWSManagedServices-TrustedRemediatorEnableNetworkFirewallCloudWatchLog

LogGroupName: o nome do grupo de CloudWatch registros para o qual enviar os registros.

LogTypes: os tipos de registros a serem ativados. Os valores válidos são FLOW, ALERT, TLS.

Sem restrições

security-hub-stepfunctions-1

StepFunctions.1: As máquinas de estado do Step Functions devem ter o registro ativado.

AWSManagedServices-TrustedRemediatorEnableStepFunctionsLogging

LogGroupName: o nome do grupo de registros para o CloudWatch registro de Step Functions.

LoggingLevel: O nível de registro para Step Functions. Os valores válidos são ALL, ERROR, FATAL.

security-hub-lambda-7

Lambda.7: As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray ativado.

AWSManagedServices-TrustedRemediatorEnableLambdaXrayActiveTracing

Não são permitidos parâmetros pré-configurados.

Sem restrições

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Trusted Advisor Verificações suportadas

Configurar a remediação de cheques