Descobertas de cobertura no Security Hub - AWS Security Hub
Resultados da cobertura do AWS Security Hub CSPMResultados da cobertura da Amazon GuardDutyDescobertas de cobertura do Amazon InspectorDescobertas de cobertura do Amazon MacieSuprimindo as descobertas de cobertura

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Descobertas de cobertura no Security Hub

As descobertas de cobertura do Security Hub fornecem visibilidade sobre quais recursos de AWS segurança estão habilitados e onde pode haver lacunas na cobertura em uma conta independente ou nas contas dos membros de uma organização. Atualmente, as descobertas de cobertura oferecem suporte à emissão de relatórios sobre quais serviços e recursos estão habilitados para Amazon GuardDuty, Amazon Inspector, Amazon Macie e Security AWS Hub CSPM. Essas descobertas aparecem no widget Cobertura de Segurança no painel do Security Hub, com a capacidade de detalhar visualizações mais detalhadas por recurso de segurança específico.

Limitações

  • Para contas de membros, as informações de cobertura são agregadas em todas as contas vinculadas Regiões da AWS, mas somente para essa conta de membro.

  • As informações de cobertura não são mostradas para contas não integradas ao Security Hub.

Resultados da cobertura do AWS Security Hub CSPM

As descobertas da cobertura do CSPM do Security Hub avaliam se um padrão de segurança qualificado de gerenciamento de postura está habilitado em uma conta. A ativação de qualquer padrão CSPM do Security Hub se qualificará, com exceção dos padrões de marcação AWS Control Tower de recursos.

Pode demorar até 24 horas para detectar padrões habilitados por padrão ao habilitar o CSPM do Security Hub.

Resultados da cobertura da Amazon GuardDuty

GuardDuty os resultados de cobertura avaliam se GuardDuty está habilitado e quais GuardDuty recursos estão habilitados em um Conta da AWS:

  • GuardDuty Proteção contra malware para a Amazon EC2 — verifica as EC2 instâncias da Amazon em busca de possíveis malwares

  • GuardDuty Proteção do Amazon EKS — monitora os registros de auditoria do Kubernetes em busca de ameaças nos clusters do Amazon EKS

  • GuardDuty Proteção Lambda — analisa as invocações da função Lambda em busca de possíveis ameaças

  • GuardDuty Proteção do Amazon S3 — analisa eventos de dados em busca de possíveis ameaças aos buckets do Amazon S3

  • GuardDuty Proteção do Amazon RDS — monitora ameaças aos bancos de dados do Amazon RDS

  • GuardDuty Monitoramento do tempo de execução — Fornece monitoramento em tempo real do comportamento do tempo de execução nas EC2 instâncias da Amazon

  • GuardDuty Cobertura básica — GuardDuty recursos básicos que são ativados automaticamente quando GuardDuty ativados

nota

Para a cobertura GuardDuty básica, as descobertas de cobertura que indicam que o recurso está desativado significam que GuardDuty não estão habilitadas na conta para a descoberta de cobertura.

Pode levar até 24 horas para que as atualizações da GuardDuty cobertura sejam refletidas em todas as contas dos membros de uma organização.

Descobertas de cobertura do Amazon Inspector

As descobertas de cobertura do Amazon Inspector avaliam se o Amazon Inspector está ativado e quais atributos estão habilitados em uma conta:

  • Análise do Inspector — EC2 Escaneia instâncias da EC2 Amazon em busca de vulnerabilidades

  • Varredura do ECR do Inspector: verifica imagens de contêineres do Amazon ECR em busca de vulnerabilidades

  • Varredura do padrão do Lambda do Inspector: verifica as funções do Lambda em busca de vulnerabilidades

  • Varredura do código do Lambda do Inspector: verifica as funções de código do Lambda em busca de vulnerabilidades de código

Descobertas de cobertura do Amazon Macie

As descobertas de cobertura do Macie avaliam se o Macie está habilitado nas Contas da AWS:

  • Cobertura automatizada de descoberta de dados sensíveis do Macie: avalia continuamente seu patrimônio de dados do Amazon S3 em busca de dados sensíveis.

Pode levar até 24 horas para que as atualizações de descobertas automatizadas de dados sensíveis do Macie sejam refletidas em todas as contas de membro de uma organização.

Suprimindo as descobertas de cobertura

Por padrão, os resultados da cobertura de segurança avaliam quais recursos do Amazon GuardDuty, Amazon Inspector, Amazon Macie e Security AWS Hub CSPM estão habilitados para uma conta e região. Se determinados recursos de segurança não forem aplicáveis a você ou forem um risco aceito, você poderá usar o recurso de supressão para suprimir descobertas de cobertura semelhantes a todas as outras descobertas. Quando uma descoberta de cobertura for suprimida, ela não será incluída nos cálculos de cobertura no widget de cobertura de segurança e o widget exibirá uma mensagem de que a cobertura de recursos de segurança foi excluída por meio de descobertas de cobertura suprimidas, seguida por uma contagem de quantas descobertas foram suprimidas.

Para suprimir uma descoberta de cobertura no Security Hub

  1. Ao visualizar o widget de cobertura de segurança, escolha o link de porcentagem coberta.

  2. No pop-up de cobertura, escolha Exibir descobertas de cobertura. Cada descoberta com o status de Nova será uma descoberta que descreve uma lacuna de cobertura observada.

  3. Clique na caixa de seleção ao lado de cada descoberta que você gostaria de suprimir.

  4. Na parte superior da página, escolha Atualizar status e, em seguida, escolha Suprimido.

  5. Na caixa de diálogo Definir status como Suprimido, opcionalmente, insira uma nota que detalha o motivo da alteração do status. Escolha Definir status.