Impacto da consolidação nos campos e valores do ASFF
O CSPM do AWS Security Hub oferece dois tipos de consolidação para controles:
-
Visualização de controles consolidados: com esse tipo de consolidação, cada controle tem um único identificador em todos os padrões. Além disso, no console do CSPM do Security Hub, a página Controles exibe todos os controles em todos os padrões.
-
Descobertas de controle consolidadas: com esse tipo de consolidação, o CSPM do Security Hub produz uma única descoberta para um controle, mesmo que o controle se aplique a vários padrões habilitados. Isso pode reduzir o ruído de descobertas.
Você não pode habilitar ou desabilitar a visualização de controles consolidados. Por padrão, as descobertas de controles consolidadas estarão ativadas se você tiver habilitado o CSPM do Security Hub a partir de 23 de fevereiro de 2023, inclusive. Caso contrário, elas estarão desativadas por padrão. No entanto, para as organizações, as descobertas de controle consolidadas serão habilitadas para contas de membro do CSPM do Security Hub somente se estiverem habilitadas para a conta do administrador. Para saber mais sobre descobertas de controle consolidadas, consulte Gerando e atualizando descobertas de controle.
Ambos os tipos de consolidação afetam campos e valores das descobertas de controle no Formato de descoberta de segurança da AWS (ASFF).
Visualização de controles consolidados - Alterações no ASFF
O atributo de visualização de controles consolidados introduziu as alterações a seguir nos campos e valores de descobertas de controles no ASFF. Se ps seus fluxos de trabalho não dependem dos valores desses campos de ASFF, nenhuma ação é necessária. Se você tiver fluxos de trabalho que dependam de valores específicos desses campos, atualize os fluxos de trabalho para usar os valores atuais.
| Campo do ASFF | Valor de exemplo antes da visualização dos controles consolidados | Valor de exemplo após a visualização dos controles consolidados e uma descrição da alteração |
|---|---|---|
|
Compliance.SecurityControlId |
Não aplicável (campo novo) |
EC2.2 Apresenta um único ID de controle em todos os padrões. |
|
Compliance.AssociatedStandards |
Não aplicável (campo novo) |
[{"StandardsId": "standards/aws-foundational-security-best-practices/v/1.0.0"}] Mostra em quais padrões um controle está habilitado. |
|
ProductFields.ArchivalReasons:0/Description |
Não aplicável (campo novo) |
“A descoberta está em um estado ARCHIVED porque as descobertas de controle consolidadas foram ativadas ou desativadas. Isso faz com que as descobertas no estado anterior sejam arquivadas quando novas descobertas estão sendo geradas.” Descreve por que o CSPM do Security Hub arquivou descobertas existentes. |
|
ProductFields.ArchivalReasons:0/ReasonCode |
Não aplicável (campo novo) |
"CONSOLIDATED_CONTROL_FINDINGS_UPDATE" Fornece o motivo pelo qual o CSPM do Security Hub arquivou descobertas existentes. |
|
ProductFields.RecommendationUrl |
https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation |
https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Esse campo não faz mais referência a um padrão. |
|
Remediation.Recommendation.Text |
“Para obter instruções sobre como corrigir esse problema, consulte a documentação do PCI DSS do CSPM do AWS Security Hub”. |
“Para obter instruções sobre como corrigir esse problema, consulte a documentação de controles do CSPM do AWS Security Hub”. Esse campo não faz mais referência a um padrão. |
|
Remediation.Recommendation.Url |
https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation |
https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation Esse campo não faz mais referência a um padrão. |
Descobertas de controle consolidadas - Alterações no ASFF
Se você habilitar as descobertas de controle consolidadas, poderá ser afetado pelas alterações a seguir nos campos e valores de descobertas de controle no ASFF. Essas alterações são adicionais às alterações introduzidas pelo atributo de visualização de controles consolidadas. Se ps seus fluxos de trabalho não dependem dos valores desses campos de ASFF, nenhuma ação é necessária. Se você tiver fluxos de trabalho que dependam de valores específicos desses campos, atualize os fluxos de trabalho para usar os valores atuais.
dica
Se você usa a solução Resposta de segurança automatizada na AWS v2.0.0
| Campo do ASFF | Valor de exemplo antes de habilitar as descobertas de controle consolidadas | Valor de exemplo após habilitar as descobertas de controle consolidadas e uma descrição da alteração |
|---|---|---|
| GeneratorId | aws-foundational-security-best-practices/v/1.0.0/Config.1 |
security-control/Config.1 Esse campo não faz mais referência a um padrão. |
| Cargo | PCI.Config.1 O AWS Config deve estar habilitado |
A AWS Config deve ser habilitada Esse campo não referencia mais informações específicas do padrão. |
| Id |
arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab6d6a26-a156-48f0-9403-115983e5a956 |
arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 Esse campo não faz mais referência a um padrão. |
| ProductFields.ControlId | PCI.EC2.2 |
Removido. Consulte Esse campo foi removido em favor de um único ID de controle independente do padrão. |
| ProductFields.RuleId | 1.3 |
Removido. Consulte Esse campo foi removido em favor de um único ID de controle independente do padrão. |
| Descrição | Esse controle PCI DSS verifica se o AWS Config está habilitado na conta e na região atuais. |
Esse controle da AWS verifica se o AWS Config está habilitado na conta e na região atuais. Esse campo não faz mais referência a um padrão. |
| Gravidade |
"Gravidade": { "Product": 90, "Etiqueta": "CRÍTICO", "Normalizado": 90, "Original": "CRÍTICO" } |
"Gravidade": { "Etiqueta": "CRÍTICO", "Normalizado": 90, "Original": "CRÍTICO" } O CSPM do Security Hub não usa mais o campo Produto para descrever a gravidade de uma descoberta. |
| Tipos | ["Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"] | ["Software and Configuration Checks/Industry and Regulatory Standards"] Esse campo não faz mais referência a um padrão. |
| Compliance.RelatedRequirements |
["PCI DSS 10.5.2", "PCI DSS 11.5", "CIS AWS Foundations 2.5"] |
["PCI DSS v3.2.1/10.5.2", "PCI DSS v3.2.1/11.5", “Referências do CIS AWS Foundations v1.2.0/2.5"] Esse campo mostrará os requisitos relacionados em todos os padrões habilitados. |
| CreatedAt | 2022-05-05T08:18:13.138Z |
2022-09-25T08:18:13.138Z O formato permanece igual, mas o valor é redefinido quando você habilita as descobertas de controles consolidadas. |
| Observado pela primeira vez em |
2022-05-07T08:18:13.138Z |
2022-09-28T08:18:13.138Z O formato permanece igual, mas o valor é redefinido quando você habilita as descobertas de controles consolidadas. |
| ProductFields.RecommendationUrl | https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation |
Removido. Consulte |
| ProductFields.StandardsArn |
arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0 |
Removido. Consulte |
| ProductFields.StandardsControlArn |
arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/Config.1 |
Removido. O CSPM do Security Hub gera uma única descoberta para uma verificação de segurança em todos os padrões. |
| ProductFields.StandardsGuideArn | arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0 |
Removido. Consulte |
| ProductFields.StandardsGuideSubscriptionArn | arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0 |
Removido. O CSPM do Security Hub gera uma única descoberta para uma verificação de segurança em todos os padrões. |
| ProductFields.StandardsSubscriptionArn | arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 |
Removido. O CSPM do Security Hub gera uma única descoberta para uma verificação de segurança em todos os padrões. |
| ProductFields.aws/securityhub/FindingId | arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67 |
arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67 Esse campo não faz mais referência a um padrão. |
Os valores de campos do ASFF fornecidos pelo cliente após ativar as descobertas de controles consolidadas
Se você habilitar as descobertas de controle consolidadas, o CSPM do Security Hub gerará uma descoberta em todos os padrões e arquivará as descobertas originais (descobertas separadas para cada padrão).
As atualizações feitas nas descobertas originais usando o console do CSPM do Security Hub ou a operação BatchUpdateFindings não serão preservadas nas novas descobertas. Se necessário, é possível recuperar esses dados consultando as descobertas arquivadas. Para analisar as descobertas arquivadas, é possível usar a página Descobertas no console do CSPM do Security Hub e definir o filtro de Estado do registro como ARQUIVADO. Como alternativa, é possível usar a operação GetFindings da API do CSPM do Security Hub.
| Campo do ASFF fornecido pelo cliente | Descrição da alteração após habilitar as descobertas de controle consolidadas |
|---|---|
| Confiança | Redefine para o estado vazio. |
| Criticidade | Redefine para o estado vazio. |
| Observação | Redefine para o estado vazio. |
| RelatedFindings | Redefine para o estado vazio. |
| Gravidade | Gravidade padrão da descoberta (corresponde à gravidade do controle). |
| Tipos | Redefine para o valor independente do padrão. |
| UserDefinedFields | Redefine para o estado vazio. |
| VerificationState | Redefine para o estado vazio. |
| Fluxo de trabalho | Novas descobertas com falhas têm um valor padrão de NEW. Novas descobertas passadas têm um valor padrão de RESOLVED. |
IDs do gerador antes e depois da habilitação das descobertas de controle consolidadas
A tabela a seguir lista as alterações nos valores de ID de geradores para controles quando você habilita descobertas de controles consolidadas. Essas alterações se aplicam aos controles com suporte no CSPM do Security Hub a partir de 15 de fevereiro de 2023.
| GeneratorID antes da habilitação das descobertas de controle consolidadas | GeneratorID depois da habilitação das descobertas de controle consolidadas |
|---|---|
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.1 |
security-control/CloudWatch.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.10 |
security-control/IAM.16 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.11 |
security-control/IAM.17 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.12 |
security-control/IAM.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13 |
security-control/IAM.9 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.14 |
security-control/IAM.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.16 |
security-control/IAM.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.2 |
security-control/IAM.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.20 |
security-control/IAM.18 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.22 |
security-control/IAM.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.3 |
security-control/IAM.8 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.4 |
security-control/IAM.3 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.5 |
security-control/IAM.11 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.6 |
security-control/IAM.12 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.7 |
security-control/IAM.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.8 |
security-control/IAM.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.9 |
security-control/IAM.15 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.1 |
security-control/CloudTrail.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.2 |
security-control/CloudTrail.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.3 |
security-control/CloudTrail.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.4 |
security-control/CloudTrail.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.5 |
security-control/Config.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.6 |
security-control/CloudTrail.7 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7 |
security-control/CloudTrail.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.8 |
security-control/KMS.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.9 |
security-control/EC2.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.1 |
security-control/CloudWatch.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.2 |
security-control/CloudWatch.3 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.3 |
security-control/CloudWatch.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.4 |
security-control/CloudWatch.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.5 |
security-control/CloudWatch.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.6 |
security-control/CloudWatch.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.7 |
security-control/CloudWatch.7 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.8 |
security-control/CloudWatch.8 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.9 |
security-control/CloudWatch.9 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.10 |
security-control/CloudWatch.10 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.11 |
security-control/CloudWatch.11 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.12 |
security-control/CloudWatch.12 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.13 |
security-control/CloudWatch.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.14 |
security-control/CloudWatch.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.1 |
security-control/EC2.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.2 |
security-control/EC2.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.3 |
security-control/EC2.2 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.10 |
security-control/IAM.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.14 |
security-control/IAM.3 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.16 |
security-control/IAM.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.17 |
security-control/IAM.18 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.4 |
security-control/IAM.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.5 |
security-control/IAM.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.6 |
security-control/IAM.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.7 |
security-control/CloudWatch.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.8 |
security-control/IAM.15 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.9 |
security-control/IAM.16 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.2 |
security-control/S3.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1 |
security-control/S3.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2 |
security-control/S3.8 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.2.1 |
security-control/EC2.7 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.3.1 |
security-control/RDS.3 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.1 |
security-control/CloudTrail.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.2 |
security-control/CloudTrail.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.4 |
security-control/CloudTrail.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.5 |
security-control/Config.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.6 |
security-control/S3.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.7 |
security-control/CloudTrail.2 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.8 |
security-control/KMS.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.9 |
security-control/EC2.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.3 |
security-control/CloudWatch.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.4 |
security-control/CloudWatch.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.5 |
security-control/CloudWatch.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.6 |
security-control/CloudWatch.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.7 |
security-control/CloudWatch.7 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.8 |
security-control/CloudWatch.8 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.9 |
security-control/CloudWatch.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.10 |
security-control/CloudWatch.10 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.11 |
security-control/CloudWatch.11 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.12 |
security-control/CloudWatch.12 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.13 |
security-control/CloudWatch.13 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.14 |
security-control/CloudWatch.14 |
|
cis-aws-foundations-benchmark/v/1.4.0/5.1 |
security-control/EC2.21 |
|
cis-aws-foundations-benchmark/v/1.4.0/5.3 |
security-control/EC2.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Account.1 |
security-control/Account.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ACM.1 |
security-control/ACM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.1 |
security-control/APIGateway.1 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.2 |
security-control/APIGateway.2 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.3 |
security-control/APIGateway.3 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.4 |
security-control/APIGateway.4 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.5 |
security-control/APIGateway.5 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.8 |
security-control/APIGateway.8 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.9 |
security-control/APIGateway.9 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.1 |
security-control/AutoScaling.1 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.2 |
security-control/AutoScaling.2 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.3 |
security-control/AutoScaling.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Autoscaling.5 |
security-control/Autoscaling.5 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.6 |
security-control/AutoScaling.6 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.9 |
security-control/AutoScaling.9 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.1 |
security-control/CloudFront.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.3 |
security-control/CloudFront.3 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.4 |
security-control/CloudFront.4 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.5 |
security-control/CloudFront.5 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.6 |
security-control/CloudFront.6 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.7 |
security-control/CloudFront.7 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.8 |
security-control/CloudFront.8 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.9 |
security-control/CloudFront.9 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.10 |
security-control/CloudFront.10 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.12 |
security-control/CloudFront.12 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.1 |
security-control/CloudTrail.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2 |
security-control/CloudTrail.2 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.4 |
security-control/CloudTrail.4 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.5 |
security-control/CloudTrail.5 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.1 |
security-control/CodeBuild.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.2 |
security-control/CodeBuild.2 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.3 |
security-control/CodeBuild.3 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.4 |
security-control/CodeBuild.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Config.1 |
security-control/Config.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DMS.1 |
security-control/DMS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.1 |
security-control/DynamoDB.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.2 |
security-control/DynamoDB.2 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.3 |
security-control/DynamoDB.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.1 |
security-control/EC2.1 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.3 |
security-control/EC2.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.4 |
security-control/EC2.4 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.6 |
security-control/EC2.6 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.7 |
security-control/EC2.7 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.8 |
security-control/EC2.8 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.9 |
security-control/EC2.9 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.10 |
security-control/EC2.10 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.15 |
security-control/EC2.15 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.16 |
security-control/EC2.16 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.17 |
security-control/EC2.17 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.18 |
security-control/EC2.18 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.19 |
security-control/EC2.19 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.2 |
security-control/EC2.2 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.20 |
security-control/EC2.20 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.21 |
security-control/EC2.21 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.23 |
security-control/EC2.23 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.24 |
security-control/EC2.24 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.25 |
security-control/EC2.25 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.1 |
security-control/ECR.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.2 |
security-control/ECR.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.3 |
security-control/ECR.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.1 |
security-control/ECS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.10 |
security-control/ECS.10 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.12 |
security-control/ECS.12 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.2 |
security-control/ECS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.3 |
security-control/ECS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.4 |
security-control/ECS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.5 |
security-control/ECS.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.8 |
security-control/ECS.8 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.1 |
security-control/EFS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.2 |
security-control/EFS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.3 |
security-control/EFS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.4 |
security-control/EFS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/EKS.2 |
security-control/EKS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.1 |
security-control/ElasticBeanstalk.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.2 |
security-control/ElasticBeanstalk.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ELBv2.1 |
security-control/ELB.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.2 |
security-control/ELB.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.3 |
security-control/ELB./* |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.4 |
security-control/ELB.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.5 |
security-control/ELB.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.6 |
security-control/ELB.6 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.7 |
security-control/ELB.7 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.8 |
security-control/ELB.8 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.9 |
security-control/ELB.9 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.10 |
security-control/ELB.10 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.11 |
security-control/ELB.11 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.12 |
security-control/ELB.12 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.13 |
security-control/ELB.13 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.14 |
security-control/ELB.14 |
|
aws-foundational-security-best-practices/v/1.0.0/EMR.1 |
security-control/EMR.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.1 |
security-control/ES.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.2 |
security-control/ES.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.3 |
security-control/ES.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.4 |
security-control/ES.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.5 |
security-control/ES.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.6 |
security-control/ES.6 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.7 |
security-control/ES.7 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.8 |
security-control/ES.8 |
|
aws-foundational-security-best-practices/v/1.0.0/GuardDuty.1 |
security-control/GuardDuty.1 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.1 |
security-control/IAM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.2 |
security-control/IAM.2 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.21 |
security-control/IAM.21 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.3 |
security-control/IAM.3 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.4 |
security-control/IAM.4 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.5 |
security-control/IAM.5 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.6 |
security-control/IAM.6 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.7 |
security-control/IAM.7 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.8 |
security-control/IAM.8 |
|
aws-foundational-security-best-practices/v/1.0.0/Kinesis.1 |
security-control/Kinesis.1 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.1 |
security-control/KMS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.2 |
security-control/KMS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.3 |
security-control/KMS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.1 |
security-control/Lambda.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.2 |
security-control/Lambda.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.5 |
security-control/Lambda.5 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.3 |
security-control/NetworkFirewall.3 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.4 |
security-control/NetworkFirewall.4 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.5 |
security-control/NetworkFirewall.5 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.6 |
security-control/NetworkFirewall.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.1 |
security-control/Opensearch.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.2 |
security-control/Opensearch.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.3 |
security-control/Opensearch.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.4 |
security-control/Opensearch.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.5 |
security-control/Opensearch.5 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.6 |
security-control/Opensearch.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.7 |
security-control/Opensearch.7 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.8 |
security-control/Opensearch.8 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.1 |
security-control/RDS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.10 |
security-control/RDS.10 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.11 |
security-control/RDS.11 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.12 |
security-control/RDS.12 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.13 |
security-control/RDS.13 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.14 |
security-control/RDS.14 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.15 |
security-control/RDS.15 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.16 |
security-control/RDS.16 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.17 |
security-control/RDS.17 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.19 |
security-control/RDS.19 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.2 |
security-control/RDS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.20 |
security-control/RDS.20 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.21 |
security-control/RDS.21 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.22 |
security-control/RDS.22 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.23 |
security-control/RDS.23 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.24 |
security-control/RDS.24 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.25 |
security-control/RDS.25 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.3 |
security-control/RDS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.4 |
security-control/RDS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.5 |
security-control/RDS.5 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.6 |
security-control/RDS.6 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.7 |
security-control/RDS.7 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.8 |
security-control/RDS.8 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.9 |
security-control/RDS.9 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.1 |
security-control/Redshift.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.2 |
security-control/Redshift.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.3 |
security-control/Redshift.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.4 |
security-control/Redshift.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.6 |
security-control/Redshift.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.7 |
security-control/Redshift.7 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.8 |
security-control/Redshift.8 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.9 |
security-control/Redshift.9 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.1 |
security-control/S3.1 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.12 |
security-control/S3.12 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.13 |
security-control/S3.13 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.2 |
security-control/S3.2 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.3 |
security-control/S3.3 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.5 |
security-control/S3.5 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.6 |
security-control/S3.6 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.8 |
security-control/S3.8 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.9 |
security-control/S3.9 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.1 |
security-control/SageMaker.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.2 |
security-control/SageMaker.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.3 |
security-control/SageMaker.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.1 |
security-control/SecretsManager.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.2 |
security-control/SecretsManager.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.3 |
security-control/SecretsManager.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.4 |
security-control/SecretsManager.4 |
|
aws-foundational-security-best-practices/v/1.0.0/SQS.1 |
security-control/SQS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.1 |
security-control/SSM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.2 |
security-control/SSM.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.3 |
security-control/SSM.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.4 |
security-control/SSM.4 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.1 |
security-control/WAF.1 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.2 |
security-control/WAF.2 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.3 |
security-control/WAF.3 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.4 |
security-control/WAF.4 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.6 |
security-control/WAF.6 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.7 |
security-control/WAF.7 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.8 |
security-control/WAF.8 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.10 |
security-control/WAF.10 |
|
pci-dss/v/3.2.1/PCI.AutoScaling.1 |
security-control/AutoScaling.1 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.1 |
security-control/CloudTrail.2 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.2 |
security-control/CloudTrail.3 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.3 |
security-control/CloudTrail.4 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.4 |
security-control/CloudTrail.5 |
|
pci-dss/v/3.2.1/PCI.CodeBuild.1 |
security-control/CodeBuild.1 |
|
pci-dss/v/3.2.1/PCI.CodeBuild.2 |
security-control/CodeBuild.2 |
|
pci-dss/v/3.2.1/PCI.Config.1 |
security-control/Config.1 |
|
pci-dss/v/3.2.1/PCI.CW.1 |
security-control/CloudWatch.1 |
|
pci-dss/v/3.2.1/PCI.DMS.1 |
security-control/DMS.1 |
|
pci-dss/v/3.2.1/PCI.EC2.1 |
security-control/EC2.1 |
|
pci-dss/v/3.2.1/PCI.EC2.2 |
security-control/EC2.2 |
|
pci-dss/v/3.2.1/PCI.EC2.4 |
security-control/EC2.12 |
|
pci-dss/v/3.2.1/PCI.EC2.5 |
security-control/EC2.13 |
|
pci-dss/v/3.2.1/PCI.EC2.6 |
security-control/EC2.6 |
|
pci-dss/v/3.2.1/PCI.ELBv2.1 |
security-control/ELB.1 |
|
pci-dss/v/3.2.1/PCI.ES.1 |
security-control/ES.2 |
|
pci-dss/v/3.2.1/PCI.ES.2 |
security-control/ES.1 |
|
pci-dss/v/3.2.1/PCI.GuardDuty.1 |
security-control/GuardDuty.1 |
|
pci-dss/v/3.2.1/PCI.IAM.1 |
security-control/IAM.4 |
|
pci-dss/v/3.2.1/PCI.IAM.2 |
security-control/IAM.2 |
|
pci-dss/v/3.2.1/PCI.IAM.3 |
security-control/IAM.1 |
|
pci-dss/v/3.2.1/PCI.IAM.4 |
security-control/IAM.6 |
|
pci-dss/v/3.2.1/PCI.IAM.5 |
security-control/IAM.9 |
|
pci-dss/v/3.2.1/PCI.IAM.6 |
security-control/IAM.19 |
|
pci-dss/v/3.2.1/PCI.IAM.7 |
security-control/IAM.8 |
|
pci-dss/v/3.2.1/PCI.IAM.8 |
security-control/IAM.10 |
|
pci-dss/v/3.2.1/PCI.KMS.1 |
security-control/KMS.4 |
|
pci-dss/v/3.2.1/PCI.Lambda.1 |
security-control/Lambda.1 |
|
pci-dss/v/3.2.1/PCI.Lambda.2 |
security-control/Lambda.3 |
|
pci-dss/v/3.2.1/PCI.Opensearch.1 |
security-control/Opensearch.2 |
|
pci-dss/v/3.2.1/PCI.Opensearch.2 |
security-control/Opensearch.1 |
|
pci-dss/v/3.2.1/PCI.RDS.1 |
security-control/RDS.1 |
|
pci-dss/v/3.2.1/PCI.RDS.2 |
security-control/RDS.2 |
|
pci-dss/v/3.2.1/PCI.Redshift.1 |
security-control/Redshift.1 |
|
pci-dss/v/3.2.1/PCI.S3.1 |
security-control/S3.3 |
|
pci-dss/v/3.2.1/PCI.S3.2 |
security-control/S3.2 |
|
pci-dss/v/3.2.1/PCI.S3.3 |
security-control/S3.7 |
|
pci-dss/v/3.2.1/PCI.S3.5 |
security-control/S3.5 |
|
pci-dss/v/3.2.1/PCI.S3.6 |
security-control/S3.1 |
|
pci-dss/v/3.2.1/PCI.SageMaker.1 |
security-control/SageMaker.1 |
|
pci-dss/v/3.2.1/PCI.SSM.1 |
security-control/SSM.2 |
|
pci-dss/v/3.2.1/PCI.SSM.2 |
security-control/SSM.3 |
|
pci-dss/v/3.2.1/PCI.SSM.3 |
security-control/SSM.1 |
|
service-managed-aws-control-tower/v/1.0.0/ACM.1 |
security-control/ACM.1 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.1 |
security-control/APIGateway.1 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.2 |
security-control/APIGateway.2 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.3 |
security-control/APIGateway.3 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.4 |
security-control/APIGateway.4 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.5 |
security-control/APIGateway.5 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.1 |
security-control/AutoScaling.1 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.2 |
security-control/AutoScaling.2 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.3 |
security-control/AutoScaling.3 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.4 |
security-control/AutoScaling.4 |
|
service-managed-aws-control-tower/v/1.0.0/Autoscaling.5 |
security-control/Autoscaling.5 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.6 |
security-control/AutoScaling.6 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.9 |
security-control/AutoScaling.9 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.1 |
security-control/CloudTrail.1 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.2 |
security-control/CloudTrail.2 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.4 |
security-control/CloudTrail.4 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.5 |
security-control/CloudTrail.5 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1 |
security-control/CodeBuild.1 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.2 |
security-control/CodeBuild.2 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.4 |
security-control/CodeBuild.4 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.5 |
security-control/CodeBuild.5 |
|
service-managed-aws-control-tower/v/1.0.0/DMS.1 |
security-control/DMS.1 |
|
service-managed-aws-control-tower/v/1.0.0/DynamoDB.1 |
security-control/DynamoDB.1 |
|
service-managed-aws-control-tower/v/1.0.0/DynamoDB.2 |
security-control/DynamoDB.2 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.1 |
security-control/EC2.1 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.2 |
security-control/EC2.2 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.3 |
security-control/EC2.3 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.4 |
security-control/EC2.4 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.6 |
security-control/EC2.6 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.7 |
security-control/EC2.7 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.8 |
security-control/EC2.8 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.9 |
security-control/EC2.9 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.10 |
security-control/EC2.10 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.15 |
security-control/EC2.15 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.16 |
security-control/EC2.16 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.17 |
security-control/EC2.17 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.18 |
security-control/EC2.18 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.19 |
security-control/EC2.19 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.20 |
security-control/EC2.20 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.21 |
security-control/EC2.21 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.22 |
security-control/EC2.22 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.1 |
security-control/ECR.1 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.2 |
security-control/ECR.2 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.3 |
security-control/ECR.3 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.1 |
security-control/ECS.1 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.2 |
security-control/ECS.2 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.3 |
security-control/ECS.3 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.4 |
security-control/ECS.4 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.5 |
security-control/ECS.5 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.8 |
security-control/ECS.8 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.10 |
security-control/ECS.10 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.12 |
security-control/ECS.12 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.1 |
security-control/EFS.1 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.2 |
security-control/EFS.2 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.3 |
security-control/EFS.3 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.4 |
security-control/EFS.4 |
|
service-managed-aws-control-tower/v/1.0.0/EKS.2 |
security-control/EKS.2 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.2 |
security-control/ELB.2 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.3 |
security-control/ELB./* |
|
service-managed-aws-control-tower/v/1.0.0/ELB.4 |
security-control/ELB.4 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.5 |
security-control/ELB.5 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.6 |
security-control/ELB.6 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.7 |
security-control/ELB.7 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.8 |
security-control/ELB.8 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.9 |
security-control/ELB.9 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.10 |
security-control/ELB.10 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.12 |
security-control/ELB.12 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.13 |
security-control/ELB.13 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.14 |
security-control/ELB.14 |
|
service-managed-aws-control-tower/v/1.0.0/ELBv2.1 |
security-control/ELBv2.1 |
|
service-managed-aws-control-tower/v/1.0.0/EMR.1 |
security-control/EMR.1 |
|
service-managed-aws-control-tower/v/1.0.0/ES.1 |
security-control/ES.1 |
|
service-managed-aws-control-tower/v/1.0.0/ES.2 |
security-control/ES.2 |
|
service-managed-aws-control-tower/v/1.0.0/ES.3 |
security-control/ES.3 |
|
service-managed-aws-control-tower/v/1.0.0/ES.4 |
security-control/ES.4 |
|
service-managed-aws-control-tower/v/1.0.0/ES.5 |
security-control/ES.5 |
|
service-managed-aws-control-tower/v/1.0.0/ES.6 |
security-control/ES.6 |
|
service-managed-aws-control-tower/v/1.0.0/ES.7 |
security-control/ES.7 |
|
service-managed-aws-control-tower/v/1.0.0/ES.8 |
security-control/ES.8 |
|
service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.1 |
security-control/ElasticBeanstalk.1 |
|
service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.2 |
security-control/ElasticBeanstalk.2 |
|
service-managed-aws-control-tower/v/1.0.0/GuardDuty.1 |
security-control/GuardDuty.1 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.1 |
security-control/IAM.1 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.2 |
security-control/IAM.2 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.3 |
security-control/IAM.3 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.4 |
security-control/IAM.4 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.5 |
security-control/IAM.5 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.6 |
security-control/IAM.6 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.7 |
security-control/IAM.7 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.8 |
security-control/IAM.8 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.21 |
security-control/IAM.21 |
|
service-managed-aws-control-tower/v/1.0.0/Kinesis.1 |
security-control/Kinesis.1 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.1 |
security-control/KMS.1 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.2 |
security-control/KMS.2 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.3 |
security-control/KMS.3 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.1 |
security-control/Lambda.1 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.2 |
security-control/Lambda.2 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.5 |
security-control/Lambda.5 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.3 |
security-control/NetworkFirewall.3 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.4 |
security-control/NetworkFirewall.4 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.5 |
security-control/NetworkFirewall.5 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.6 |
security-control/NetworkFirewall.6 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.1 |
security-control/Opensearch.1 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.2 |
security-control/Opensearch.2 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.3 |
security-control/Opensearch.3 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.4 |
security-control/Opensearch.4 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.5 |
security-control/Opensearch.5 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.6 |
security-control/Opensearch.6 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.7 |
security-control/Opensearch.7 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.8 |
security-control/Opensearch.8 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.1 |
security-control/RDS.1 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.2 |
security-control/RDS.2 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.3 |
security-control/RDS.3 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.4 |
security-control/RDS.4 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.5 |
security-control/RDS.5 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.6 |
security-control/RDS.6 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.8 |
security-control/RDS.8 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.9 |
security-control/RDS.9 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.10 |
security-control/RDS.10 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.11 |
security-control/RDS.11 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.13 |
security-control/RDS.13 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.17 |
security-control/RDS.17 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.18 |
security-control/RDS.18 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.19 |
security-control/RDS.19 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.20 |
security-control/RDS.20 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.21 |
security-control/RDS.21 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.22 |
security-control/RDS.22 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.23 |
security-control/RDS.23 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.25 |
security-control/RDS.25 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.1 |
security-control/Redshift.1 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.2 |
security-control/Redshift.2 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.4 |
security-control/Redshift.4 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.6 |
security-control/Redshift.6 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.7 |
security-control/Redshift.7 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.8 |
security-control/Redshift.8 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.9 |
security-control/Redshift.9 |
|
service-managed-aws-control-tower/v/1.0.0/S3.1 |
security-control/S3.1 |
|
service-managed-aws-control-tower/v/1.0.0/S3.2 |
security-control/S3.2 |
|
service-managed-aws-control-tower/v/1.0.0/S3.3 |
security-control/S3.3 |
|
service-managed-aws-control-tower/v/1.0.0/S3.5 |
security-control/S3.5 |
|
service-managed-aws-control-tower/v/1.0.0/S3.6 |
security-control/S3.6 |
|
service-managed-aws-control-tower/v/1.0.0/S3.8 |
security-control/S3.8 |
|
service-managed-aws-control-tower/v/1.0.0/S3.9 |
security-control/S3.9 |
|
service-managed-aws-control-tower/v/1.0.0/S3.12 |
security-control/S3.12 |
|
service-managed-aws-control-tower/v/1.0.0/S3.13 |
security-control/S3.13 |
|
service-managed-aws-control-tower/v/1.0.0/SageMaker.1 |
security-control/SageMaker.1 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.1 |
security-control/SecretsManager.1 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.2 |
security-control/SecretsManager.2 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.3 |
security-control/SecretsManager.3 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.4 |
security-control/SecretsManager.4 |
|
service-managed-aws-control-tower/v/1.0.0/SQS.1 |
security-control/SQS.1 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.1 |
security-control/SSM.1 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.2 |
security-control/SSM.2 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.3 |
security-control/SSM.3 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.4 |
security-control/SSM.4 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.2 |
security-control/WAF.2 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.3 |
security-control/WAF.3 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.4 |
security-control/WAF.4 |
Como a consolidação afeta os IDs e títulos de controle
A visualização de controles consolidados e as descobertas de controle consolidadas padronizam IDs e títulos de controle em todos os padrões. Os termos ID de controle de segurança e título de controle de segurança se referem a esses valores independentes de padrão.
O console do CSPM do Security Hub exibe IDs e títulos de controle de segurança independentes do padrão, estejam as descobertas de controles consolidadas habilitadas ou não para sua conta. Porém, as descobertas do CSPM do Security Hub conterão títulos de controles específicos de padrões para o PCI DSS e o CIS v1.2.0 se as descobertas de controles consolidadas estiverem desabilitadas para sua conta. Além disso, as descobertas do CSPM do Security Hub conterão o ID e o título dos controles específicos do padrão. Para obter exemplos de como a consolidação afeta as descobertas de controle, consulte Exemplos de descobertas de controles.
Para controles que fazem parte do padrão gerenciado por serviço AWS Control Tower, o prefixo CT. é removido do ID de controle e do título nas descobertas quando as descobertas de controle consolidadas são habilitadas.
Para desabilitar um controle de segurança no CSPM do Security Hub, é necessário desabilitar todos os controles de padrões que correspondam ao controle de segurança. A tabela a seguir mostra o mapeamento de IDs e títulos de controle de segurança para IDs e títulos de controle específicos do padrão. Os IDs e títulos dos controles que pertencem ao padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP) já são independentes do padrão. Para um mapeamento dos controles de acordo com os requisitos do Center for Internet Security (CIS) v3.0.0, consulte Mapeamento de controles para os requisitos do CIS em cada versão. Para executar seus próprios scripts nessa tabela, baixe-a como um arquivo .csv.
| Padrão | Título e ID do controle de padrão | Título e ID do controle de segurança |
|---|---|---|
|
CIS v1.2.0 |
1.1 Evitar o uso do "usuário raiz" |
Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz" |
|
CIS v1.2.0 |
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas |
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas |
|
CIS v1.2.0 |
1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos |
1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos |
|
CIS v1.2.0 |
1.12 Certifique-se que não existam chaves de acesso do usuário raiz |
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir |
|
CIS v1.2.0 |
1.13 Certifique-se que MFA esteja habilitada para a usuário raiz |
|
|
CIS v1.2.0 |
1.14 Certifique-se que a MFA de hardware esteja habilitada para o usuário raiz |
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz |
|
CIS v1.2.0 |
1.16 Certifique-se que as políticas do IAM sejam anexadas somente a grupos ou funções |
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas |
|
CIS v1.2.0 |
1.2 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console |
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console |
|
CIS v1.2.0 |
1.20 Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com Suporte |
|
|
CIS v1.2.0 |
1.22 Certifique-se que as políticas do IAM que permitem privilégios administrativos "*:*" completos não sejam criadas |
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*" |
|
CIS v1.2.0 |
1.3 Certifique-se de que as credenciais não usadas por 90 dias ou mais sejam desativadas |
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas |
|
CIS v1.2.0 |
1.4 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos |
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos |
|
CIS v1.2.0 |
1.5 Certifique-se que política de senha do IAM exija pelo menos uma letra maiúscula |
1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula |
|
CIS v1.2.0 |
1.6 Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula |
1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula |
|
CIS v1.2.0 |
1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo |
1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo |
|
CIS v1.2.0 |
Certifique-se que a política de senha do IAM exija pelo menos um número |
Certifique-se de que política de senha do IAM exija pelo menos um número |
|
CIS v1.2.0 |
1.9 Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais |
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais |
|
CIS v1.2.0 |
2.1 Certifique-se que o CloudTrail esteja ativado em todas as regiões |
|
|
CIS v1.2.0 |
Verifique se a validação do arquivo de log do está habilitada |
[CloudTrail.4] A validação do arquivo de log do CloudTrail deve estar habilitada |
|
CIS v1.2.0 |
2.3 Certifique-se que os logs do do bucket do S3 não sejam acessíveis publicamente |
|
|
CIS v1.2.0 |
2.4 Certifique-se que as trilhas do CloudTrail estejam integradas ao CloudWatch Logs |
[CloudTrail.5] As trilhas do CloudTrail devem ser integradas ao Amazon CloudWatch Logs |
|
CIS v1.2.0 |
2.5 Verifique se o AWS Config está habilitado |
|
|
CIS v1.2.0 |
2.6 Verifique se o registro de log de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail |
|
|
CIS v1.2.0 |
2.7 Verifique se os logs do CloudTrail estão criptografados em repouso usando CMKs do KMS |
[CloudTrail.2] O CloudTrail deve ter a criptografia em repouso habilitada |
|
CIS v1.2.0 |
2.8 Verifique se a rotação para CMKs criadas pelo cliente está habilitada |
[KMS.4] A alternância de teclas do AWS KMS deve estar ativada |
|
CIS v1.2.0 |
2.9 Verifique se o registro de fluxo da VPC está ativado em todas as VPCs |
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs |
|
CIS v1.2.0 |
3.1 Certifique-se de que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas |
|
|
CIS v1.2.0 |
3.10 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança |
|
|
CIS v1.2.0 |
3.11 Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL) |
|
|
CIS v1.2.0 |
3.12 Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede |
|
|
CIS v1.2.0 |
3.13 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas |
|
|
CIS v1.2.0 |
3.14 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC |
|
|
CIS v1.2.0 |
3.2 Certifique-se que um filtro e um alarme de métrica de logs existam para login do Management Console sem a MFA |
|
|
CIS v1.2.0 |
3.3 Certifique-se que um filtro e um alarme de métrica de logs existam para uso do usuário raiz |
Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz" |
|
CIS v1.2.0 |
3.4 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política do IAM |
|
|
CIS v1.2.0 |
3.5 Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do CloudTrail |
|
|
CIS v1.2.0 |
3.6 Certifique-se que um filtro e um alarme de métrica de logs existam para falhas de autenticação do Console de gerenciamento da AWS |
|
|
CIS v1.2.0 |
3.7 Certifique-se de que exita um filtro e um alarme de métrica de logs para a desativação ou exclusão programada de CMKs criadas pelo cliente |
|
|
CIS v1.2.0 |
3.8 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3 |
|
|
CIS v1.2.0 |
3.9 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config |
|
|
CIS v1.2.0 |
4.1 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 22 |
[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22 |
|
CIS v1.2.0 |
4.2 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389 |
[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389 |
|
CIS v1.2.0 |
4.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego |
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída |
|
CIS v1.4.0 |
1.10 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console |
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console |
|
CIS v1.4.0 |
1.14 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos |
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos |
|
CIS v1.4.0 |
1.16 Certifique-se que as políticas do IAM que permitem privilégios administrativos "*:*" completos não sejam A |
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*" |
|
CIS v1.4.0 |
1.17 Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com Suporte |
|
|
CIS v1.4.0 |
1.4 Certifique-se de que não existam chaves de acesso da conta raiz |
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir |
|
CIS v1.4.0 |
1.5 Certifique-se que A MFA esteja habilitada para a conta do usuário raiz |
|
|
CIS v1.4.0 |
1.14 Certifique-se que a MFA de hardware esteja habilitada para a conta de usuário raiz |
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz |
|
CIS v1.4.0 |
1.7 Elimine o uso do usuário raiz para tarefas administrativas e diárias |
Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz" |
|
CIS v1.4.0 |
1.8 Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais |
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais |
|
CIS v1.4.0 |
1.9 Certifique-se que a política de senha do IAM impeça a reutilização de senhas |
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas |
|
CIS v1.4.0 |
2.1.2 Certifique-se que a política de bucket do S3 esteja configurada para negar solicitações HTTP |
[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL |
|
CIS v1.4.0 |
2.1.5.1 A configuração do S3 Block Public Access deve estar habilitada |
|
|
CIS v1.4.0 |
2.1.5.2 A configuração de acesso público do bloco S3 deve ser ativada no nível do bucket |
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público |
|
CIS v1.4.0 |
2.2.1 Certifique-se que a criptografia de volume do EBS esteja ativada |
|
|
CIS v1.4.0 |
2.3.1 Certifique-se de que a criptografia esteja habilitada para instâncias do RDS |
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada. |
|
CIS v1.4.0 |
3.1 Certifique-se de que o CloudTrail esteja ativado em todas as regiões |
|
|
CIS v1.4.0 |
3.2 Certifique-se que a validação do arquivo de log do CloudTrail esteja habilitada |
[CloudTrail.4] A validação do arquivo de log do CloudTrail deve estar habilitada |
|
CIS v1.4.0 |
2.4 Certifique-se que as trilhas do CloudTrail estejam integradas ao CloudWatch Logs |
[CloudTrail.5] As trilhas do CloudTrail devem ser integradas ao Amazon CloudWatch Logs |
|
CIS v1.4.0 |
3.5 Verifique se o AWS Config está ativado em todas as regiões |
|
|
CIS v1.4.0 |
3.6 Verifique se o registro de log de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail |
|
|
CIS v1.4.0 |
2.7 Verifique se os logs do CloudTrail estão criptografados em repouso usando CMKs do KMS |
[CloudTrail.2] O CloudTrail deve ter a criptografia em repouso habilitada |
|
CIS v1.4.0 |
3.8 Verifique se a alternância para CMKs criadas pelo cliente está habilitada |
[KMS.4] A alternância de teclas do AWS KMS deve estar ativada |
|
CIS v1.4.0 |
3.9 Verifique se o registro de fluxo da VPC está ativado em todas as VPCs |
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs |
|
CIS v1.4.0 |
4.4 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política do IAM |
|
|
CIS v1.4.0 |
4.5 Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do CloudTrail |
|
|
CIS v1.4.0 |
4.6 Certifique-se que um filtro e um alarme de métrica de logs existam para falhas de autenticação do Console de gerenciamento da AWS |
|
|
CIS v1.4.0 |
4.7 Certifique-se de que exita um filtro e um alarme de métrica de logs para a desativação ou exclusão programada de CMKs criadas pelo cliente |
|
|
CIS v1.4.0 |
4.8 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3 |
|
|
CIS v1.4.0 |
4.9 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config |
|
|
CIS v1.4.0 |
4.10 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança |
|
|
CIS v1.4.0 |
4.11 Garanta que um filtro e um alarme de métrica de log existem para alterações em listas de controle de acesso à rede (NACL) |
|
|
CIS v1.4.0 |
4.12 Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede |
|
|
CIS v1.4.0 |
4.13 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas |
|
|
CIS v1.4.0 |
4.14 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC |
|
|
CIS v1.4.0 |
5.1 Garanta que nenhuma ACL de rede permita a entrada de 0.0.0.0/0 para as portas de administração do servidor remoto |
[EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389 |
|
CIS v1.4.0 |
5.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego |
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída |
|
PCI DSS v3.2.1 |
Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do balanceador de carga |
|
|
PCI DSS v3.2.1 |
[CI.CloudTrail.1 Os logs do devem ser criptografados em repouso usando CMKs do AWS KMS |
[CloudTrail.2] O CloudTrail deve ter a criptografia em repouso habilitada |
|
PCI DSS v3.2.1 |
PCI.CloudTrail.2 O CloudTrail deve estar habilitado |
[CloudTrail.3] Pelo menos uma trilha do CloudTrail deve estar habilitada |
|
PCI DSS v3.2.1 |
PCI.CloudTrail.3 Avalidação do arquivo de log do CloudTrail deve estar habilitada |
[CloudTrail.4] A validação do arquivo de log do CloudTrail deve estar habilitada |
|
PCI DSS v3.2.1 |
PCI.CloudTrail.4 As trilhas do CloudTrail devem ser integradas ao Amazon CloudWatch Logs |
[CloudTrail.5] As trilhas do CloudTrail devem ser integradas ao Amazon CloudWatch Logs |
|
PCI DSS v3.2.1 |
PCI.CodeBuild.1 URLs do repositório de origem do CodeBuild GitHub ou do Bitbucket devem usar o OAuth |
|
|
PCI DSS v3.2.1 |
PCI.CodeBuild.2 As variáveis de ambiente do projeto do CodeBuild não devem conter credenciais de texto simples |
|
|
PCI DSS v3.2.1 |
PCI.Config.1 O AWS Config deve estar habilitado |
|
|
PCI DSS v3.2.1 |
PCI.CW.1 Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz" |
Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz" |
|
PCI DSS v3.2.1 |
PCI.DMS.1 As instâncias de replicação do Database Migration Service não devem ser públicas |
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas |
|
PCI DSS v3.2.1 |
PCI.EC2.1 Os snapshots do EBS não devem ser restauráveis publicamente |
[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente |
|
PCI DSS v3.2.1 |
PCI.EC2.2 O grupo de segurança padrão da VPC deve proibir o tráfego de entrada e de saída |
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída |
|
PCI DSS v3.2.1 |
CI.EC2.4 Os EIPs do EC2 não utilizados devem ser removidos |
[EC2.12] Os EIPs do Amazon EC2 não utilizados devem ser removidos |
|
PCI DSS v3.2.1 |
PCI.EC2.5Os grupo de segurança não devem permitir de 0.0.0.0/0 na porta 22 |
[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22 |
|
PCI DSS v3.2.1 |
PCI.EC2.6 O registro em log do fluxo de VPC deve ser ativado em todas as VPCs |
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs |
|
PCI DSS v3.2.1 |
ELBv2.1 O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS |
|
|
PCI DSS v3.2.1 |
PCI.ES.1 Os domínios do Elasticsearch devem estar em uma VPC |
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis |
|
PCI DSS v3.2.1 |
PCI.ES.2 Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada |
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada. |
|
PCI DSS v3.2.1 |
PCI.GuardDuty.1 O GuardDuty deve estar habilitado |
|
|
PCI DSS v3.2.1 |
PCI.IAM.1 A chave de acesso do usuário raiz do IAM não deve existir |
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir |
|
PCI DSS v3.2.1 |
PCI.IAM.2 Os usuários do IAM não devem ter políticas do IAM anexadas |
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas |
|
PCI DSS v3.2.1 |
PCI.IAM.3 As políticas do IAM não devem permitir privilégios administrativos completos "*" |
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*" |
|
PCI DSS v3.2.1 |
PCI.IAM.4 A MFA de hardware deve estar habilitada para o usuário raiz |
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz |
|
PCI DSS v3.2.1 |
PCI.IAM.5 A MFA virtual deve estar habilitada para o usuário raiz |
|
|
PCI DSS v3.2.1 |
PCI.IAM.6 A MFA deve estar habilitada para todos os usuários do IAM |
[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM |
|
PCI DSS v3.2.1 |
PCI.IAM.7 As credenciais de usuário do IAM devem ser desativadas se não forem usadas dentro de um número predefinido de dias |
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas |
|
PCI DSS v3.2.1 |
PCI.IAM.8 Políticas de senha para usuários do IAM que devem ter configurações fortes |
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes |
|
PCI DSS v3.2.1 |
PCI.KMS.1 A alternância da chave mestra do cliente (CMK) deve estar habilitada |
[KMS.4] A alternância de teclas do AWS KMS deve estar ativada |
|
PCI DSS v3.2.1 |
PCI.lambda.1 As funções do Lambda devem proibir o acesso público |
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público |
|
PCI DSS v3.2.1 |
PCI.Lambda.2 As funções do Lambda devem estar em uma VPC |
|
|
PCI DSS v3.2.1 |
PCI.opensearch.1 Os domínios do OpenSearch devem estar em uma VPC |
[Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis |
|
PCI DSS v3.2.1 |
PCI.Opensearch.2 Os snapshots do EBS não devem ser restauráveis publicamente |
[Opensearch.1] Os domínios do OpenSearch devem ter a criptografia em repouso habilitada |
|
PCI DSS v3.2.1 |
PCI.RDS.1 Os snapshots do RDS devem ser privados |
|
|
PCI DSS v3.2.1 |
PCI.RDS.2 As instâncias de banco de dados do RDS devem proibir o acesso público |
|
|
PCI DSS v3.2.1 |
PCI.Redshift.1 Os clusters do Amazon Redshift devem proibir o acesso público |
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público |
|
PCI DSS v3.2.1 |
PCI.S3.1 Os buckets do S3 devem proibir o acesso público à gravação |
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação |
|
PCI DSS v3.2.1 |
PCI.S3.2 Os buckets do S3 devem proibir o acesso público à leitura |
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura |
|
PCI DSS v3.2.1 |
PCI.S3.3 Os buckets do S3 devem ter a replicação entre regiões ativada |
[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões |
|
PCI DSS v3.2.1 |
PCI.S3.5 Os buckets do S3 devem exigir solicitações para usar o Secure Socket Layer |
[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL |
|
PCI DSS v3.2.1 |
PCI.S3.6 A configuração do S3 Block Public Access deve estar habilitada |
|
|
PCI DSS v3.2.1 |
PCI.SageMaker.1 As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet |
[SageMaker.1] As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet |
|
PCI DSS v3.2.1 |
PCI.SSM.1 As instâncias do gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT após a instalação do patch |
|
|
PCI DSS v3.2.1 |
PCI.SSM.2 As instâncias de EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL |
|
|
PCI DSS v3.2.1 |
PCI.SSM.3 As instâncias do EC2 devem ser gerenciadas pelo AWS Systems Manager |
PCI.SSM.3 As instâncias do Amazon EC2 devem ser gerenciadas pelo AWS Systems Manager |
Atualização de fluxos de trabalho para consolidação
Se os seus fluxos de trabalho não dependem do formato específico de nenhum campo nas descobertas de controles, nenhuma ação será necessária.
Se seus fluxos de trabalho dependerem do formato específico de um ou mais campos nas descobertas de controles, como observado nas tabelas anteriores, será necessário atualizar seus fluxos de trabalho. Por exemplo, se você criou uma regra do Amazon EventBridge que tenha disparado uma ação para um ID de controle específico, como invocar uma função do AWS Lambda se o ID do controle for igual ao CIS 2.7, atualize a regra para usar o CloudTrail.2, que é o valor do campo Compliance.SecurityControlId desse controle.
Se você criou insights personalizados que usem qualquer um dos campos ou valores que foram alterados, atualize esses insights para usar os novos campos ou valores.
