Controles do Security Hub para o Amazon GuardDuty
Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon GuardDuty. Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[GuardDuty.1] O GuardDuty deve estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3(4), NIST.800-53.r5 SA-11(1), NIST.800-53.r5 SA-11(6), NIST.800-53.r5 SA-15(2), NIST.800-53.r5 SA-15(8), NIST.800-53.r5 SA-8(19), NIST.800-53.r5 SA-8(21), NIST.800-53.r5 SA-8(25), NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-5(1), NIST.800-53.r5 SC-5(3), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(1), NIST.800-53.r5 SI-4(13), NIST.800-53.r5 SI-4(2), NIST.800-53.r5 SI-4(22), NIST.800-53.r5 SI-4(25), NIST.800-53.r5 SI-4(4), NIST.800-53.r5 SI-4(5), NIST.800-171.r2 3,4.2, NIST.800-171.r2 3,14.6, NIST.800-171.r2 3,14.7, PCI DSS v3.2.1/11.4, PCI DSS v4.0.1/11.5.1
Categoria: Detectar > Serviços de detecção
Gravidade: alta
Tipo de recurso: AWS::::Account
AWS Config Regra: guardduty-enabled-centralized
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o Amazon GuardDuty está habilitado na conta e na região do GuardDuty.
É altamente recomendável que você ative o GuardDuty em todas as regiões da AWS compatíveis. Isso permite que o GuardDuty gere descobertas sobre atividades incomuns ou não autorizadas, mesmo em regiões não utilizadas ativamente. Isso também permite que o GuardDuty monitore eventos do CloudTrail para Serviços da AWS globais, como o IAM.
Correção
Para habilitar o GuardDuty, consulte Getting started with GuardDuty no Amazon GuardDuty User Guide.
[GuardDuty.2] Os filtros GuardDuty devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::GuardDuty::Filter
Regra AWS Config: tagged-guardduty-filter (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se um volume do Amazon GuardDuty tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o filtro não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o filtro não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um filtro do GuardDuty, consulte TagResource na Amazon GuardDuty API Reference.
[GuardDuty.3] Os IPSets do GuardDuty devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::GuardDuty::IPSet
Regra AWS Config: tagged-guardduty-ipset (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se um IPSet do Amazon GuardDuty tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o IPSet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o IPSet não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um IPSet do GuardDuty, consulte TagResource na Amazon GuardDuty API Reference.
[GuardDuty.4] Os detectores do GuardDuty devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::GuardDuty::Detector
Regra AWS Config: tagged-guardduty-detector (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. |
No default value
|
Esse controle verifica se um detector Amazon GuardDuty tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o detector não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o detector não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um detector GuardDuty, consulte TagResource na Amazon GuardDuty API Reference.
[GuardDuty.5] O Monitoramento de Logs de Auditoria do EKS do GuardDuty deve estar habilitado
Categoria: Detectar > Serviços de detecção
Gravidade: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-eks-protection-audit-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o Monitoramento de Logs de Auditoria do EKS do GuardDuty está habilitado. Para uma conta autônoma, o controle falhará se o Monitoramento de Logs de Auditoria do EKS do GuardDuty estiver desabilitado na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do GuardDuty e todas as contas de membro não tiverem o Monitoramento de Logs de Auditoria do EKS ativado.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do GuardDuty. Apenas o administrador delegado pode habilitar ou desabilitar o atributo Monitoramento de Logs de Auditoria do EKS nas contas de membro da organização. As contas de membro do GuardDuty não podem modificar essa configuração nas suas contas. Esse controle gera FAILED descobertas se o administrador delegado do GuardDuty tiver uma conta de membro suspensa que não tenha o Monitoramento de Logs de Auditoria do EKS do GuardDuty habilitado. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no GuardDuty.
O Monitoramento de Logs de Auditoria do EKS do GuardDuty ajuda a detectar atividades potencialmente suspeitas nos clusters do EKS Amazon Elastic Kubernetes Service (Amazon EKS). O Monitoramento de logs de auditoria do EKS usa registros de auditoria do Kubernetes para capturar atividades cronológicas de usuários e aplicações usando a API Kubernetes e o ambiente de gerenciamento.
Correção
Para habilitar o Monitoramento de Logs de Auditoria do EKS no GuardDuty, consulte EKS Audit Log Monitoring no Amazon GuardDuty User Guide.
[GuardDuty.6] A Proteção do Lambda do GuardDuty deve estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoria: Detectar > Serviços de detecção
Gravidade: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-lambda-protection-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se a Proteção do Lambda do GuardDuty está habilitada. Para uma conta autônoma, o controle falhará se a Proteção do Lambda do GuardDuty estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do GuardDuty e todas as contas de membro não tiverem a Proteção do Lambda do GuardDuty habilitada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do GuardDuty. Apenas o administrador delegado pode habilitar ou desabilitar o atributo Proteção do Lambda do GuardDuty nas contas de membro da organização. As contas de membro do GuardDuty não podem modificar essa configuração nas suas contas. Esse controle gera descobertas FAILED se o administrador delegado do GuardDuty tiver uma conta de membro suspensa que não tenha a Proteção do Lambda do GuardDuty habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no GuardDuty.
A Proteção do Lambda do GuardDuty ajuda você a identificar possíveis ameaças à segurança quando uma função do AWS Lambda é invocada. Depois que você habilita a Proteção do Lambda, o GuardDuty começa a monitorar os logs de atividades da rede do Lambda associados às funções do Lambda na sua Conta da AWS. Quando uma função do Lambda é invocada e o GuardDuty identifica tráfego de rede suspeito que indica a presença de um código potencialmente mal-intencionado em sua função do Lambda, o GuardDuty gera uma descoberta.
Correção
Para habilitar a Proteção do Lambda no GuardDuty, consulte Configuring Lambda Protection no Amazon GuardDuty User Guide.
[GuardDuty.7] O Monitoramento de Runtime do EKS do GuardDuty deve estar habilitado
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoria: Detectar > Serviços de detecção
Gravidade: média
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-eks-protection-runtime-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o Monitoramento de Runtime do EKS do GuardDuty com gerenciamento automatizado de agentes está habilitado. Para uma conta autônoma, o controle falhará se o Monitoramento de Runtime do EKS do GuardDuty com gerenciamento automatizado de agentes estiver desabilitado na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do GuardDuty e todas as contas de membro não tiverem o Monitoramento de Runtime do EKS do GuardDuty com gerenciamento automatizado de agentes habilitado.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do GuardDuty. Apenas o administrador delegado pode habilitar ou desabilitar o atributo Monitoramento de Runtime do EKS do GuardDuty com gerenciamento automatizado de agentes nas contas de membro da organização. As contas de membro do GuardDuty não podem modificar essa configuração nas suas contas. Esse controle gera descobertas FAILED se o administrador delegado do GuardDuty tiver uma conta de membro suspensa que não tenha o Monitoramento de Runtime do EKS do GuardDuty habilitado. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no GuardDuty.
O recurso Proteção do EKS no Amazon GuardDuty fornece cobertura de detecção de ameaças para ajudar você a proteger clusters do Amazon EKS no seu ambiente da AWS. O Monitoramento de Runtime do EKS usa eventos ao nível do sistema operacional para ajudar a detectar possíveis ameaças nos nós e contêineres do EKS em seus clusters do EKS.
Correção
Para habilitar o Monitoramento de Runtime do EKS com Gerenciamento Automatizado de Agentes, consulte Enabling GuardDuty Runtime Monitoring no Amazon GuardDuty User Guide.
[GuardDuty.8] A Proteção contra Malware para EC2 do GuardDuty deve estar habilitada
Categoria: Detectar > Serviços de detecção
Gravidade: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-malware-protection-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se a Proteção contra Malware do GuardDuty está habilitada. Para uma conta autônoma, o controle falhará se a Proteção contra Malware do GuardDuty estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do GuardDuty e todas as contas de membro não tiverem a Proteção contra Malware habilitada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do GuardDuty. Apenas o administrador delegado pode habilitar ou desabilitar o atributo Proteção contra Malware nas contas de membro da organização. As contas de membro do GuardDuty não podem modificar essa configuração nas suas contas. Esse controle gera descobertas FAILED se o administrador delegado do GuardDuty tiver uma conta de membro suspensa que não tenha a Proteção contra Malware do GuardDuty habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no GuardDuty.
A Proteção contra Malware para EC2 ajuda você a detectar a presença de malware ao varrer os volumes do Amazon Elastic Block Store (Amazon EBS) que são anexados a workloads de contêiner e instâncias do Amazon Elastic Compute Cloud (Amazon EC2). A Proteção contra Malware fornece opções de verificação nas quais você pode decidir se deseja incluir ou excluir workloads de contêineres e instâncias específicas do EC2 na hora da varredura. Ela também oferece a opção de reter os snapshots dos volumes do EBS anexados a workloads de contêineres e instâncias do EC2 em suas contas do GuardDuty. Os snapshots são retidos somente quando o malware é encontrado e as descobertas da Proteção contra malware são geradas.
Correção
Para habilitar a Proteção contra Malware para o EC2 no GuardDuty, consulte Configuring GuardDuty-initiated malware scan no Amazon GuardDuty User Guide.
[GuardDuty.9] A proteção do RDS do GuardDuty deve estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoria: Detectar > Serviços de detecção
Gravidade: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-rds-protection-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se a Proteção do RDS do GuardDuty está habilitada. Para uma conta autônoma, o controle falhará se a Proteção do RDS do GuardDuty estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do GuardDuty e todas as contas de membro não tiverem a Proteção do RDS habilitada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do GuardDuty. Apenas o administrador delegado pode habilitar ou desabilitar o atributo Proteção do RDS nas contas de membro da organização. As contas de membro do GuardDuty não podem modificar essa configuração nas suas contas. Esse controle gera descobertas FAILED se o administrador delegado do GuardDuty tiver uma conta de membro suspensa que não tenha a Proteção do RDS do GuardDuty habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no GuardDuty.
A proteção do RDS no GuardDuty analisa e traça o perfil da atividade de login do RDS em busca de possíveis ameaças de acesso aos seus bancos de dados do Amazon Aurora (Aurora MySQL-Compatible Edition e Aurora PostgreSQL-Compatible Edition). Esse recurso permite identificar comportamentos de login potencialmente suspeitos. A Proteção do RDS não requer infraestrutura adicional. Ela foi projetada para não afetar a performance de suas instâncias de banco de dados. Quando a Proteção do RDS do GuardDuty detecta uma ameaça em potencial, o GuardDuty gera uma nova descoberta com detalhes sobre o banco de dados possivelmente comprometido.
Correção
Para habilitar a Proteção do RDS do GuardDuty, consulte GuardDuty RDS Protection no Amazon GuardDuty User Guide.
[GuardDuty.10] A proteção do S3 do GuardDuty deve estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoria: Detectar > Serviços de detecção
Gravidade: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-s3-protection-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se a Proteção do S3 do GuardDuty está habilitada. Para uma conta autônoma, o controle falhará se a Proteção do S3 do GuardDuty estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do GuardDuty e todas as contas de membro não tiverem a Proteção do S3 habilitada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do GuardDuty. Apenas o administrador delegado pode habilitar ou desabilitar o atributo Proteção do S3 nas contas de membro da organização. As contas de membro do GuardDuty não podem modificar essa configuração nas suas contas. Esse controle gera descobertas FAILED se o administrador delegado do GuardDuty tiver uma conta de membro suspensa que não tenha a Proteção do S3 do GuardDuty habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no GuardDuty.
A Proteção do S3 permite que o GuardDuty monitore operações de API ao nível do objeto para identificar possíveis riscos de segurança para os dados nos buckets do Amazon Simple Storage Service (Amazon S3). O GuardDuty monitora ameaças contra seus recursos do S3 analisando os eventos de gerenciamento do AWS CloudTrail e os eventos de dados do S3 no CloudTrail.
Correção
Para habilitar a Proteção do S3 do GuardDuty, consulte Amazon S3 Protection in Amazon GuardDuty no Amazon GuardDuty User Guide.
[GuardDuty.11] O Monitoramento de Runtime do GuardDuty deve estar habilitado
Categoria: Detectar > Serviços de detecção
Gravidade: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-runtime-monitoring-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o monitoramento de runtime está habilitado no Amazon GuardDuty. Para uma conta autônoma, o controle falhará se o monitoramento de runtime do GuardDuty estiver desabilitado para a conta. Em um ambiente com várias contas, o controle falhará se o monitoramento de runtime do GuardDuty estiver desabilitado para a conta de administrador delegado do GuardDuty e todas as contas de membro.
Em ambientes com várias contas, somente a conta de administrador delegado do GuardDuty pode habilitar ou desabilitar o Monitoramento de runtime do GuardDuty contas em sua organização. Além disso, somente o administrador do GuardDuty pode configurar e gerenciar os agentes de segurança que o GuardDuty usa para o monitoramento do runtime das workloads e recursos da AWS para as contas na organização. As contas de membro do GuardDuty não podem habilitar, configurar ou desabilitar o monitoramento de runtime para suas próprias contas.
O monitoramento de runtime do GuardDuty observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudar você a detectar possíveis ameaças em workloads da AWS específicas do seu ambiente. Ele usa agentes de segurança do GuardDuty que adicionam visibilidade ao comportamento do runtime, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que você deseja monitorar para possíveis ameaças, como clusters do Amazon EKS e instâncias do Amazon EC2.
Correção
Para obter informações sobre como configurar e habilitar o monitoramento de runtime do GuardDuty, consulte Monitoramento de runtime do GuardDuty e Habilitação do monitoramento de runtime do GuardDuty no Guia do usuário do Amazon GuardDuty.
[GuardDuty.12] O monitoramento de runtime do ECS do GuardDuty deve estar habilitado
Categoria: Detectar > Serviços de detecção
Gravidade: média
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-ecs-protection-runtime-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o agente de segurança automatizado do Amazon GuardDuty está habilitado para monitoramento de runtime dos clusters do Amazon ECS no AWS Fargate. Para uma conta autônoma, o controle falhará se o agente de segurança estiver desabilitado para a conta. Em um ambiente com várias contas, o controle falhará se o agente de segurança estiver desabilitado para a conta de administrador delegado do GuardDuty e todas as contas de membro.
Em um ambiente com várias contas, este controle gera descobertas somente na conta de administrador delegado do GuardDuty. Isso ocorre porque somente o administrador delegado do GuardDuty pode habilitar ou desabilitar o monitoramento de runtime dos recursos do ECS-Fargate para contas em sua organização. As contas de membro do GuardDuty não podem fazer isso com suas próprias contas. Além disso, esse controle gerará descobertas FAILED se o GuardDuty for suspenso para uma conta de membro e o monitoramento de runtime dos recursos do ECS-Fargate estiver desabilitado para a conta do membro. Para receber uma descoberta PASSED, o administrador do GuardDuty deve desassociar a conta de membro suspensa de sua conta de administrador usando o GuardDuty.
O monitoramento de runtime do GuardDuty observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudar você a detectar possíveis ameaças em workloads da AWS específicas do seu ambiente. Ele usa agentes de segurança do GuardDuty que adicionam visibilidade ao comportamento do runtime, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que deseja monitorar para possíveis ameaças. Isso inclui clusters do Amazon ECS no AWS Fargate.
Correção
Para habilitar e gerenciar o agente de segurança para o monitoramento de runtime do GuardDuty para recursos do ECS-Fargate, é necessário usar o GuardDuty diretamente. Você não pode habilitá-lo ou gerenciá-lo manualmente para recursos do ECS-Fargate. Para obter informações sobre como habilitar e gerenciar o agente de segurança, consulte Pré-requisitos para suporte do AWS Fargate (somente no Amazon ECS) e Gerenciamento do agente de segurança automatizado para o AWS Fargate (somente no Amazon ECS) no Guia do usuário do Amazon GuardDuty.
[GuardDuty.13] O monitoramento de runtime do EC2 do GuardDuty deve estar habilitado
Categoria: Detectar > Serviços de detecção
Gravidade: média
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regra: guardduty-ec2-protection-runtime-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o agente de segurança automatizado do Amazon GuardDuty está habilitado para monitoramento de runtime de instâncias do Amazon EC2. Para uma conta autônoma, o controle falhará se o agente de segurança estiver desabilitado para a conta. Em um ambiente com várias contas, o controle falhará se o agente de segurança estiver desabilitado para a conta de administrador delegado do GuardDuty e todas as contas de membro.
Em um ambiente com várias contas, este controle gera descobertas somente na conta de administrador delegado do GuardDuty. Isso ocorre porque somente o administrador delegado do GuardDuty pode habilitar ou desabilitar o monitoramento de runtime de instâncias do Amazon EC2 para contas em sua organização. As contas de membro do GuardDuty não podem fazer isso com suas próprias contas. Além disso, esse controle gerará descobertas FAILED se o GuardDuty for suspenso para uma conta de membro e o monitoramento de runtime de instâncias do EC2 estiver desabilitado para a conta do membro. Para receber uma descoberta PASSED, o administrador do GuardDuty deve desassociar a conta de membro suspensa de sua conta de administrador usando o GuardDuty.
O monitoramento de runtime do GuardDuty observa e analisa eventos em nível de sistema operacional, rede e arquivos para ajudar você a detectar possíveis ameaças em workloads da AWS específicas do seu ambiente. Ele usa agentes de segurança do GuardDuty que adicionam visibilidade ao comportamento do runtime, como acesso a arquivos, execução de processos, argumentos de linha de comando e conexões de rede. É possível habilitar e gerenciar o agente de segurança para cada tipo de recurso que deseja monitorar para possíveis ameaças. Isso inclui instâncias do Amazon EC2.
Correção
Para obter informações sobre como configurar e gerenciar o agente de segurança automatizado para o monitoramento de runtime do GuardDuty de instâncias do EC2, consulte Pré-requisitos para o suporte à instância do Amazon EC2 e Habilitação do agente de segurança automatizado para instâncias do Amazon EC2 no Guia do usuário do Amazon GuardDuty.
