Controles do Security Hub para o Amazon Inspector - AWS Security Hub
[Inspector.1] A varredura do EC2 do Amazon Inspector deve estar habilitada[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

Controles do Security Hub para o Amazon Inspector

Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do Amazon Inspector.

Esses controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[Inspector.1] A varredura do EC2 do Amazon Inspector deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/11.3.1

Categoria: Detectar > Serviços de detecção

Gravidade: alta

Tipo de recurso: AWS::::Account

AWS Config Regra: inspector-ec2-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a varredura do EC2 do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura do EC2 do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura do EC2 habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Apenas o administrador delegado pode habilitar ou desabilitar o atributo varredura do EC2 nas contas de membro da organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas FAILED se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura de EC2 do Amazon Inspector habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

A varredura do Ec2 do Amazon Inspector extrai metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2) e compara esses metadados com as regras coletadas dos avisos de segurança para produzir as descobertas. O Amazon Inspector varre as instâncias em busca de vulnerabilidades de pacotes e problemas de acessibilidade de rede. Para obter informações sobre os sistemas operacionais compatíveis, incluindo qual sistema operacional pode ser varrido sem um agente SSM, consulte Supported operating systems: Amazon EC2 scanning.

Correção

Para habilitar a varredura do EC2 do Amazon Inspector, consulte Activating scans no Amazon Inspector User Guide.

[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/11.3.1

Categoria: Detectar > Serviços de detecção

Gravidade: alta

Tipo de recurso: AWS::::Account

AWS Config Regra: inspector-ecr-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a varredura do ECR do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura do ECR do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura do ECR habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura do ECR para as contas de membro da organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas FAILED se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do ECR do Amazon Inspector habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

O Amazon Inspector varre as imagens de contêineres armazenadas no Amazon Elastic Container Registry (Amazon ECR) em busca de vulnerabilidades de software para gerar descobertas de vulnerabilidade de pacote. Ao ativar as verificações do Amazon Inspector para o Amazon ECR, você define o Amazon Inspector como seu serviço de verificação preferido para seu registro privado. Isso substitui o escaneamento básico, que é fornecido gratuitamente pelo Amazon ECR, pela varredura avançada que é fornecida e cobrada por meio do Amazon Inspector. O escaneamento avançado oferece o benefício de varrer para encontrar vulnerabilidades para pacotes de sistemas operacionais e de linguagens de programação ao nível do registro. Analise as descobertas usando o escaneamento avançado no nível da imagem, para cada camada da imagem, no console do Amazon ECR. Além disso, poderá analisar e trabalhar com essas descobertas em outros serviços não disponíveis para descobertas de escaneamento básico, inclusive o AWS Security Hub CSPM e o Amazon EventBridge.

Correção

Para habilitar a varredura do ECR do Amazon Inspector, consulte Activating scans no Amazon Inspector User Guide.

[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

Categoria: Detectar > Serviços de detecção

Gravidade: alta

Tipo de recurso: AWS::::Account

AWS Config Regra: inspector-lambda-code-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a varredura de código do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura de código do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura de código do Lambda habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura de código do Lambda para as contas de membro da organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas FAILED se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do varredura de código do Lambda do Amazon Inspector habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

A varredura de código do Lambda do Amazon Inspector, varre o código da aplicação personalizada dentro de uma função do AWS Lambda para detectar vulnerabilidades de código com base nas práticas recomendadas de segurança da AWS. O escaneamento de código do Lambda pode detectar falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente em seu código. Esse atributo está disponível em apenas em determinadas Regiões da AWS. É possível ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada).

Correção

Para habilitar varredura de código do Lambda do Amazon Inspector, consulte Activating scans no Amazon Inspector User Guide.

[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

Categoria: Detectar > Serviços de detecção

Gravidade: alta

Tipo de recurso: AWS::::Account

AWS Config Regra: inspector-lambda-standard-scan-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a varredura padrão do Lambda do Amazon Inspector está habilitada. Para uma conta autônoma, o controle falhará se a varredura padrão do Lambda do Amazon Inspector estiver desabilitada na conta. Em um ambiente com várias contas, o controle falhará se a conta de administrador delegado do Amazon Inspector e todas as contas de membro não tiverem a varredura padrão do Lambda habilitada.

Em um ambiente com várias contas, o controle gera descobertas somente na conta de administrador delegado do Amazon Inspector. Somente o administrador delegado pode habilitar ou desabilitar o atributo de varredura padão do Lambda para as contas de membros na organização. As contas de membro do Amazon Inspector não podem modificar essa configuração nas suas contas. Esse controle gerará descobertas FAILED se o administrador delegado tiver uma conta de membro suspensa que não tenha a varredura do varredura padrão do Lambda do Amazon Inspector habilitada. Para receber uma descoberta PASSED, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.

A varredura padrão do Lambda do Amazon Inspector identifica vulnerabilidades de software nas dependências do pacote de aplicação da função do Lambda que você adicionada ao código e às camadas de função do AWS Lambda. Se o Amazon Inspector detectar uma vulnerabilidade nas dependências do pacotes de aplicação da função do Lambda, o Amazon Inspector produzirá uma descoberta detalhada do tipo Package Vulnerability. É possível ativar a varredura de código do Lambda junto com a varredura padrão do Lambda (consulte [Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada).

Correção

Para habilitar a varredura padrão do Lambda do Amazon Inspector, consulte Activating scans no Amazon Inspector User Guide.