Descobertas de cobertura no Security Hub
nota
O Security Hub está em versão de pré-visualização e está sujeito à alterações.
As descobertas de cobertura do Security Hub fornecem visibilidade sobre quais recursos de segurança da AWS estão habilitados e onde pode haver lacunas na cobertura em uma conta autônoma ou nas contas de membro de uma organização. A habilitação de recursos de segurança adicionais aprimorará os recursos de detecção do Security Hub. As descobertas de cobertura avaliam quais recursos do GuardDuty, Amazon Inspector, Macie e CSPM do Security Hub estão habilitados para uma conta. Essas descobertas aparecem no widget Cobertura de Segurança no painel do Security Hub, com a capacidade de detalhar visualizações mais detalhadas por recurso de segurança específico. Para o administrador delegado, esse widget mostra o detalhamento da cobertura em todas as contas de membro habilitadas para o Security Hub.
Limitações
-
Para contas de membro, as informações de cobertura são agregadas em todas as Regiões da AWS vinculadas, mas somente para essa conta de membro.
-
As informações de cobertura não são mostradas para contas não integradas ao Security Hub
Descobertas de cobertura para o CSPM do AWS Security Hub
As descobertas da cobertura do CSPM do Security Hub avaliam se um padrão de segurança qualificado de gerenciamento de postura está habilitado em uma conta. A ativação de qualquer padrão do CSPM do Security Hub se qualificará, com exceção dos padrões AWS Control Tower e Marcação de Recursos.
Pode demorar até 24 horas para detectar padrões habilitados por padrão ao habilitar o CSPM do Security Hub.
Descobertas de cobertura para o Amazon GuardDuty
As descobertas de cobertura do GuardDuty avaliam se o GuardDuty está habilitado e quais atributos do GuardDuty estão habilitados em uma Conta da AWS:
-
Proteção contra malware do GuardDuty para o Amazon EC2: verifica instâncias do Amazon EC2 em busca de possíveis malwares
-
Proteção do Amazon EKS do GuardDuty: monitora os registros de auditoria do Kubernetes em busca de ameaças nos clusters do Amazon EKS
-
Proteção do Lambda do GuardDuty: analisa as invocações de funções do Lambda em busca de possíveis ameaças
-
Proteção do Amazon S3 do GuardDuty: analisa eventos de dados em busca de possíveis ameaças aos buckets do Amazon S3
-
Proteção Amazon RDS do GuardDuty: monitora ameaças aos bancos de dados do Amazon RDS
-
Monitoramento de runtime do GuardDuty: fornece monitoramento em tempo real do comportamento do runtime nas instâncias do Amazon EC2
-
Cobertura básica do GuardDuty: recursos básicos do GuardDuty que são ativados automaticamente quando o GuardDuty está habilitado
nota
Para a Cobertura básica do GuardDuty, as descobertas de cobertura que indicam que o atributo está desativado significam que o GuardDuty não está habilitado na conta para a descoberta de cobertura.
Pode demorar até 24 horas para que atualizações da cobertura do GuardDuty sejam refletidas em todas as contas de membro de uma organização.
Descobertas de cobertura do Amazon Inspector
As descobertas de cobertura do Amazon Inspector avaliam se o Amazon Inspector está ativado e quais atributos estão habilitados em uma conta:
-
Varredura do EC2 do Inspector: verifica instâncias do Amazon EC2 em busca de vulnerabilidades
-
Varredura do ECR do Inspector: verifica imagens de contêineres do Amazon ECR em busca de vulnerabilidades
-
Varredura do padrão do Lambda do Inspector: verifica as funções do Lambda em busca de vulnerabilidades
-
Varredura do código do Lambda do Inspector: verifica as funções de código do Lambda em busca de vulnerabilidades de código
Descobertas de cobertura do Amazon Macie
As descobertas de cobertura do Macie avaliam se o Macie está habilitado nas Contas da AWS:
-
Cobertura automatizada de descoberta de dados sensíveis do Macie: avalia continuamente seu patrimônio de dados do Amazon S3 em busca de dados sensíveis.
Pode levar até 24 horas para que as atualizações de descobertas automatizadas de dados sensíveis do Macie sejam refletidas em todas as contas de membro de uma organização.
