Referência de controle para o CSPM do Security Hub
Essa referência de controles fornece uma tabela dos controles disponíveis do CSPM do AWS Security Hub com links para mais informações sobre cada controle. Na tabela, os controles são listados em ordem alfabética por ID de controle. Apenas os controles em uso ativo pelo CSPM do Security Hub estão incluídos aqui. Os controles descontinuados são excluídos da tabela.
A tabela fornece as seguintes informações para cada controle:
-
ID de controle de segurança: essa ID se aplica a todos os padrões e indica o AWS service (Serviço da AWS) e o recurso ao qual o controle está relacionado. O console do CSPM do Security Hub exibe as IDs de controle de segurança, independentemente de se as descobertas de controle consolidadas estão ativadas ou desativadas em sua conta. Entretanto, as descobertas do CSPM do Security Hub fazem referência aos IDs de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns IDs de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento de IDs de controle específicos do padrão para IDs de controle de segurança, consulte Como a consolidação afeta os IDs e títulos de controle.
Se quiser configurar automações para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o CSPM do Security Hub possa ocasionalmente atualizar títulos ou descrições de controle, os IDs de controle permanecem os mesmos.
Os IDs de controle podem ignorar números. Esses são espaços reservados para futuros controles.
-
Título de controle de segurança: esse título se aplica a todos os padrões. O console do CSPM do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do CSPM do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento de IDs de controle específicos do padrão para IDs de controle de segurança, consulte Como a consolidação afeta os IDs e títulos de controle.
-
Padrões aplicáveis: indica a quais padrões um controle se aplica. Escolha um controle para analisar os requisitos específicos de estruturas de conformidade de terceiros.
-
Gravidade: a gravidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o CSPM do Security Hub determina a gravidade do controle, consulte Níveis de gravidade para as descobertas de controles.
-
Oferece suporte a parâmetros personalizados: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Escolha um controle para analisar os detalhes dos parâmetros. Para obter mais informações, consulte Noções básicas sobre os parâmetros de controles no CSPM do Security Hub.
-
Tipo de programação: indica quando o controle é avaliado. Para obter mais informações, consulte Programar a execução de verificações de segurança.
Escolha um controle para analisar os detalhes adicionais. Os controles são listados em ordem alfabética por ID de controle de segurança.
| ID do controle de segurança | Título de controle de segurança | Padrões aplicáveis | Gravidade | Oferece suporte a parâmetros personalizados | Tipo de programação |
|---|---|---|---|---|---|
| Account.1 | As informações de contato de segurança devem ser fornecidas para uma Conta da AWS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| Account.2 | Conta da AWS deve fazer parte de uma organização AWS Organizations | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ACM.1 | Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações e periódico |
| ACM.2 | Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| ACM.3 | Os certificados do ACM devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Amplify.1 | As aplicações do Amplify devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Amplify.2 | As ramificações do Amplify devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| APIGateway.1 | O registro de execução da API de Gateway, REST e API de WebSocket deve estar ativado. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| APIGateway.2 | Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| APIGateway.3 | Os estágios da API REST de Gateway devem ter o rastreamento AWS X-Ray habilitado. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| APIGateway.4 | O API Gateway deve ser associado a uma ACL da web do WAF | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| APIGateway.5 | Os dados do cache da API REST de Gateway devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| APIGateway.8 | As rotas do API de Gateway devem especificar um tipo de autorização | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| APIGateway.9 | O registro de acesso deve ser configurado para os estágios V2 do API de Gateway | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| AppConfig.1 | As aplicações do AWS AppConfig devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppConfig.2 | Os perfis de configuração do AWS AppConfig devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppConfig.3 | Os ambientes do AWS AppConfig devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppConfig.4 | As associações de extensão do AWS AppConfig devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppFlow.1 | Os fluxos do Amazon AppFlow devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppRunner.1 | Os serviços do App Runner devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppRunner.2 | Os conectores de VPC do App Runner devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppSync.1 | Os caches de API do AWS AppSync devem ser criptografados em repouso | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| AppSync.2 | O AWS AppSync deve ter o registro em log em nível de campo habilitado | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| AppSync.4 | As APIs GraphQL do AWS AppSync devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| AppSync.5 | As APIs GraphQL do AWS AppSync não devem ser autenticadas com chaves de API. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| AppSync.6 | Os caches de API do AWS AppSync devem ser criptografados em trânsito | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| Athena.2 | Os catálogos de dados do Athena devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Athena.3 | Os grupos de trabalho do Athena devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Athena.4 | Os grupos de trabalho do Athena devem ter o registro em log habilitado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| AutoScaling.1 | Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| AutoScaling.2 | O grupo Amazon EC2 Auto Scaling deve abranger diversas zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| AutoScaling.3 | As configurações de lançamento em grupo do Auto Scaling devem configurar as instâncias do EC2 para que exijam o Instance Metadata Service versão 2 (IMDSv2) | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| Auto Scaling.5 | As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| AutoScaling.6 | Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| AutoScaling.9 | Os grupos do EC2 Auto Scaling devem usar modelos de lançamento do EC2 | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| AutoScaling.10 | Os grupos do EC2 Auto Scaling devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Backup.1 | Os pontos de recuperação do AWS Backup devem ser criptografados em repouso | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| Backup.2 | Os pontos de recuperação do AWS Backup devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Backup.3 | Os cofres do AWS Backup devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Backup.4 | Os planos de relatórios do AWS Backup devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Backup.5 | Os planos de backup do AWS Backup devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Lote.1 | As filas de trabalhos do Batch devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Lote.2 | As políticas de agendamento do Batch devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Lote.3 | Os ambientes de computação do Batch devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Lote.4 | As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| CloudFormation.2 | As pilhas do CloudFormation devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| CloudFront.1 | As distribuições do CloudFront devem ter um objeto raiz padrão configurado | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações | |
| CloudFront.3 | As distribuições do CloudFront devem exigir criptografia em trânsito | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.4 | As distribuições do CloudFront devem ter o failover de origem configurado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| CloudFront.5 | As distribuições do CloudFront devem ter o registro de log ativado | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.6 | As distribuições do CloudFront devem ter a WAF ativada | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.7 | As distribuições do CloudFront devem usar certificados SSL/TLS personalizados | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| CloudFront.8 | As distribuições do CloudFront devem usar a SNI para atender às solicitações HTTPS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| CloudFront.9 | As distribuições do CloudFront devem criptografar o tráfego para origens personalizadas | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.10 | As distribuições do CloudFront não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.12 | As distribuições do CloudFront não devem apontar para origens inexistentes do S3 | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | |
Periódico |
| CloudFront.13 | As distribuições do CloudFront devem usar o controle de acesso de origem | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | |
Acionado por alterações |
| CloudFront.14 | As distribuições do CloudFront devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| CloudFront.15 | As distribuições do CloudFront devem usar a política de segurança de TLS recomendada | Práticas Recomendadas de Segurança Básica da AWS | MÉDIO | Acionado por alterações | |
| CloudFront.16 | As distribuições do CloudFront devem usar o controle de acesso de origem para origens de URL de função do Lambda | Práticas Recomendadas de Segurança Básica da AWS | MÉDIO | Acionado por alterações | |
| CloudTrail.1 | O CloudTrail deve ser ativado e configurado com pelo menos uma trilha de várias regiões que inclua eventos de gerenciamento de leitura e gravação | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | Periódico | |
| CloudTrail.2 | O CloudTrail deve ter a criptografia em repouso habilitada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Periódico |
| CloudTrail.3 | Pelo menos uma trilha do CloudTrail deve ser habilitada | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | HIGH (ALTO) | Periódico | |
| CloudTrail.4 | A validação do arquivo de log do CloudTrail deve estar habilitada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1, padrão gerenciado por serviço: AWS Control Tower | BAIXO | |
Periódico |
| CloudTrail.5 | As trilhas do CloudTrail devem ser integradas ao Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | BAIXO | |
Periódico |
| CloudTrail.6 | Certifique-se de que o bucket S3 usado para armazenar os registros do CloudTrail não seja acessível publicamente | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 | CRÍTICO | |
Acionado por alterações e periódico |
| CloudTrail.7 | Verifique se o registro de log de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | BAIXO | |
Periódico |
| CloudTrail.9 | As trilhas do CloudTrail devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| CloudTrail.10 | Os armazenamentos de dados de eventos do CloudTrail Lake devem ser criptografados com AWS KMS keys gerenciadas pelo cliente | NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| CloudWatch.1 | Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz” | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | BAIXO | |
Periódico |
| CloudWatch.2 | Certifique-se que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.3 | Certifique-se que um filtro e um alarme de métrica de logs existam para login do Management Console sem MFA | CIS AWS Foundations Benchmark v1.2.0 | BAIXO | |
Periódico |
| CloudWatch.4 | Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de política do IAM | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.5 | Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do CloudTrail | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.6 | Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do Console de gerenciamento da AWS | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.7 | Certifique-se de que exita um filtro e um alarme de métrica de logs para a desativação ou exclusão programada de CMKs criadas pelo cliente | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.8 | 03.8 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3 | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.9 | Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.10 | Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.11 | Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL) | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.12 | Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.13 | Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.14 | Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de VPC | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.15 | Os alarmes do CloudWatch devem ter ações especificadas configuradas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | |
Acionado por alterações |
| CloudWatch.16 | Os grupos de log do CloudWatch devem ser retidos por um período de tempo especificado | NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| CloudWatch.17 | As ações de alarme do CloudWatch devem ser ativadas | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| CodeArtifact.1 | Os repositórios CodeArtifact devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| CodeBuild.1 | URLs dos repositórios Bitbucket de fontes do CodeBuild não devem conter credenciais confidenciais | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | CRÍTICO | Acionado por alterações | |
| CodeBuild.2 | As variáveis de ambiente do projeto do CodeBuild não devem conter credenciais de texto não criptografado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| CodeBuild.3 | Os logs do CodeBuild S3 devem ser criptografados | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | BAIXO | |
Acionado por alterações |
| CodeBuild.4 | Os ambientes do projeto CodeBuild devem ter uma configuração de registro em log | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| CodeBuild.7 | As exportações de grupos de relatórios do CodeBuild devem ser criptografadas em repouso | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| CodeGuruProfiler.1 | Os grupos de criação de perfil do CodeGuru Profiler devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| CodeGuruReviewer.1 | As associações do repositório do CodeGuru Reviewer devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Cognito.1 | Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| Cognito.2 | Os bancos de identidades do Cognito não devem permitir identidades não autenticadas | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| Cognito.3 | As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| Config.1 | O AWS Config deve ser habilitado e usar o perfil vinculado ao serviço para registro de recursos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | CRÍTICO | Periódico | |
| Connect.1 | Os tipos de objeto Amazon Connect Customer Profiles devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Connect.2 | As instâncias do Amazon Connect devem ter o registro em log do CloudWatch ativado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| DataFirehose.1 | Os fluxos de entrega do Firehose devem ser criptografados em repouso | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| DataSync.1 | As tarefas do DataSync devem ter o registro em log habitado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| DataSync.2 | As tarefas do DataSync devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Detetive.1 | Gráficos de comportamento do Detective devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| DMS.1 | As instâncias de replicação do Database Migration Service não devem ser públicas | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | CRÍTICO | |
Periódico |
| DMS.2 | Os certificados do DMS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| DMS.3 | As assinaturas de eventos do DMS devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| DMS.4 | As instâncias de replicação do DMS devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| DMS.5 | Os grupos de sub-redes de replicação do DMS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| DMS.6 | As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| DMS.7 | As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| DMS.8 | As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| DMS.9 | Os endpoints do DMS devem usar SSL | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| DMS.10 | Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| DMS.11 | Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| DMS.12 | Os endpoints do DMS para o Redis OSS devem ter o TLS habitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| DMS.13 | As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| DocumentDB.1 | Os clusters do Amazon DocumentDB devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| DocumentDB.2 | Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| DocumentDB.3 | Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | |
Acionado por alterações |
| DocumentDB.4 | Os clusters do Amazon DocumentDB devem publicar logs de auditoria no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| DocumentDB.5 | Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DocumentDB.6 | Os clusters do Amazon DocumentDB devem ser criptografados em trânsito | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| DynamoDB.1 | As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| DynamoDB.2 | As tabelas do DynamoDB devem ter a recuperação pontual habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| DynamoDB.3 | Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| DynamoDB.4 | As tabelas do DynamoDB devem estar presentes em um plano de backup | NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| DynamoDB.5 | As tabelas do DynamoDB devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| DynamoDB.6 | As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DynamoDB.7 | Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| EC2.1 | Os snapshots do EBS não devem ser restauráveis publicamente | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| EC2.2 | Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| EC2.3 | Os volumes anexados do EBS devem ser criptografados em repouso. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| EC2.4 | As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| EC2.6 | O registro em de fluxo de VPC deve ser ativado em todas as VPCs | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| EC2.7 | A criptografia padrão do EBS deve estar ativada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| EC2.8 | As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2) | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| EC2.9 | As instâncias do EC2 não devem ter um endereço IPv4 público | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| EC2.10 | O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2 | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| EC2.12 | Os EIPs do EC2 não utilizados devem ser removidos | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| EC2.13 | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | Acionado por alterações e periódico | |
| EC2.14 | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 3389 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações e periódico | |
| EC2.15 | As sub-redes do EC2 não devem atribuir automaticamente endereços IP públicos | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| EC2.16 | As listas de controle de acesso à rede não utilizadas devem ser removidas | Práticas Recomendadas de Segurança Básica AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | BAIXO | |
Acionado por alterações |
| EC2.17 | As instâncias do EC2 não devem usar vários ENIs | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| EC2.18 | Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | |
Acionado por alterações |
| EC2.19 | Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRÍTICO | Acionado por alterações e periódico | |
| EC2.20 | Ambos os túneis VPN para uma conexão VPN site a site da AWS devem estar ativos | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| EC2.21 | As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| EC2.22 | Os grupos de segurança do EC2 não utilizados devem ser removidos | Padrão gerenciado por serviço: AWS Control Tower | MÉDIO | Periódico | |
| EC2.23 | Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| EC2.24 | Os tipos de instância paravirtual do EC2 não devem ser usados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| EC2.25 | Os modelos de lançamento do EC2 não devem atribuir IPs públicos às interfaces de rede | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | HIGH (ALTO) | |
Acionado por alterações |
| EC2.28 | Os volumes do EBS devem estar em um plano de backup | NIST SP 800-53 Rev. 5 | BAIXO | |
Periódico |
| EC2.33 | Os anexos do gateway de trânsito do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.34 | As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.35 | As interfaces de rede do EC2 devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.36 | Os gateways dos clientes do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.37 | Os endereços IP elásticos do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.38 | As instâncias do EC2 devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.39 | Os gateways da Internet do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.40 | Os gateways de NAT do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.41 | As ACLs de rede do EC2 devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.42 | As tabelas de rotas do EC2 devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.43 | Os grupos de segurança do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.44 | As sub-redes do EC2 devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.45 | Os volumes do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.46 | As Amazon VPCs devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.47 | Os serviços de endpoint da Amazon VPC devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.48 | Os logs de fluxo da Amazon VPC devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.49 | As conexões de emparelhamento da Amazon VPC devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.50 | Os gateways da VPN do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.51 | Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAIXO | |
Acionado por alterações |
| EC2.52 | Os gateways de trânsito do EC2 devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.53 | Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| EC2.54 | Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| EC2.55 | As VPCs devem ser configuradas com um endpoint de interface para a API do ECR | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC2.56 | As VPCs devem ser configuradas com um endpoint de interface para o registro do Docker | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC2.57 | As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC2.58 | As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC2.60 | As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC2.170 | Os modelos de inicialização do EC2 devem usar o Instance Metadata Service versão 2 (IMDSv2) | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | BAIXO | Acionado por alterações | |
| EC2.171 | As conexões de VPN do EC2 devem ter o registro em log habilitado | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| EC2.172 | As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| EC2.173 | Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| EC2.174 | Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.175 | Os modelos de execução do EC2 devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.176 | As listas de prefixos do EC2 devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.177 | As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.178 | Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.179 | Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EC2.180 | As interfaces de rede do EC2 devem ter a verificação de origem/destino habilitada | Práticas Recomendadas de Segurança Básica da AWS | MÉDIO | Acionado por alterações | |
| EC2.181 | Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS | Práticas Recomendadas de Segurança Básica da AWS | MÉDIO | Acionado por alterações | |
| ECR.1 | Os repositórios privados do ECR devem ter a digitalização de imagens configurada | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Periódico |
| ECR.2 | Os repositórios privados do ECR devem ter a imutabilidade de tags configurada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ECR.3 | Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ECR.4 | Os repositórios públicos do ECR devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| ECR.5 | Os repositórios de ECR devem ser criptografados com AWS KMS keys gerenciadas pelo cliente | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| ECS.1 | As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.2 | Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | HIGH (ALTO) | |
Acionado por alterações |
| ECS.3 | As definições de tarefas do ECS não devem compartilhar o namespace do processo do host | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.4 | Os contêineres ECS devem ser executados sem privilégios | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.5 | Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.8 | Os segredos não devem ser passados como variáveis de ambiente do contêiner | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | HIGH (ALTO) | |
Acionado por alterações |
| ECS.9 | As definições de tarefas do ECS devem ter uma configuração de registro em log | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| ECS.10 | Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| ECS.12 | Os clusters do ECS devem usar Container Insights | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ECS.13 | Os serviços do ECS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| ECS.14 | Os clusters do ECS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| ECS.15 | As definições de tarefa do ECS devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| ECS.16 | Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações | |
| ECS.17 | As definições de tarefas do ECS não devem usar o modo de rede host | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| EFS.1 | O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| EFS.2 | Os volumes do Amazon EBS devem estar em um plano de backup | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| EFS.3 | Os pontos de acesso do EFS devem impor um diretório raiz | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| EFS.4 | Os pontos de acesso do EFS devem impor uma identidade de usuário | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| EFS.5 | Os pontos de acesso do EFS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EFS.6 | Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| EFS.7 | Os sistemas de arquivos do EFS devem ter backups automáticos habilitados | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| EFS.8 | Os sistemas de arquivos do EFS devem ser criptografados em repouso | CIS AWS Foundations Benchmark v5.0.0, AWS Foundational Security Best Practices | MÉDIO | Acionado por alterações | |
| EKS.1 | Os endpoints do cluster EKS não devem ser acessíveis ao público | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | |
Periódico |
| EKS.2 | Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | HIGH (ALTO) | |
Acionado por alterações |
| EKS.3 | Os clusters do EKS devem usar segredos criptografados do Kubernetes | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| EKS.6 | Os clusters do EKS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EKS.7 | As configurações do provedor de identidades do EKS devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EKS.8 | Os clusters do EKS devem ter o registro em log de auditoria habilitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| ElastiCache.1 | Os clusters do ElastiCache (Redis OSS) devem ter os backups automáticos habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | Periódico | |
| ElastiCache.2 | Os clusters do ElastiCache devem ter as atualizações automáticas de versões secundárias habilitadas | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | |
Periódico |
| ElastiCache.3 | Os grupos de replicação do ElastiCache devem ter o failover automático ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ElastiCache.4 | Os grupos de replicação do ElastiCache devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ElastiCache.5 | Os grupos de replicação do ElastiCache devem ser criptografados em trânsito | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| ElastiCache.6 | Os grupos de replicação do ElastiCache (Redis OSS) de versões anteriores devem ter a AUTH do Redis OSS habilitada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| ElastiCache.7 | Os clusters do ElastiCache não devem usar o grupo de sub-redes padrão | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ElasticBeanstalk.1 | Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| ElasticBeanstalk.2 | As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | HIGH (ALTO) | |
Acionado por alterações |
| ElasticBeanstalk.3 | O Elastic Beanstalk deve transmitir logs para o CloudWatch | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| ELB.1 | O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ELB.2 | Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| ELB.3 | Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS | Práticas Recomendadas de Segurança Básica AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| ELB.4 | O Application Load Balancer deve ser configurado para eliminar cabeçalhos http | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| ELB.5 | O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.6 | A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| ELB.7 | Os Classic Load Balancers devem ter a drenagem da conexão ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.8 | Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração forte | Práticas Recomendadas de Segurança Básica AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| ELB.9 | Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.10 | O Classic Load Balancer deve abranger várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.12 | O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| ELB.13 | Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.14 | O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| ELB.16 | Os Application Load Balancers devem ser associados a um ACL da Web do AWS WAF | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| ELB.17 | Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| ELB.18 | Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito | Práticas Recomendadas de Segurança Básica da AWS | MÉDIO | Acionado por alterações | |
| EMR.1 | Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | HIGH (ALTO) | Periódico | |
| EMR.2 | A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | Periódico | |
| EMR.3 | As configurações de segurança do Amazon EMR devem ser criptografadas em repouso | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| EMR.4 | As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| ES.1 | Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ES.2 | Os domínios do Elasticsearch não devem ser publicamente acessíveis | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, padrão gerenciado por serviço: AWS Control Tower | CRÍTICO | |
Periódico |
| ES.3 | Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| ES.4 | O registro em log de erros do domínio Elasticsearch no CloudWatch Logs deve ser ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.5 | Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.6 | Os domínios do Elasticsearch devem ter pelo menos três nós de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.7 | Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.8 | As conexões com os domínios do Elasticsearch devem ser criptografadas com a política de segurança TLS mais recente | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | Acionado por alterações | |
| ES.9 | Os domínios do Elasticsearch devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EventBridge.2 | Os barramentos de eventos do EventBridge devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| EventBridge.3 | Os barramentos de eventos personalizados do EventBridge devem ter uma política baseada em recursos vinculada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | |
Acionado por alterações |
| EventBridge.4 | Os endpoints globais do EventBridge devem ter a replicação de eventos ativada | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| FraudDetector.1 | Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| FraudDetector.2 | Os rótulos do Amazon Fraud Detector devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| FraudDetector.3 | Os resultados do Amazon Fraud Detector devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| FraudDetector.4 | As variáveis do Amazon Fraud Detector devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| FSx.1 | Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes. | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Periódico |
| FSx.2 | Os sistemas de arquivos FSx para Lustre devem estar configurados para copiar tags em backups | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | BAIXO | Periódico | |
| FSx.3 | Os sistemas de arquivos FSx para OpenZFS devem estar configurados para implantação multi-AZ | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| FSx.4 | Os sistemas de arquivos NetApp ONTAP devem estar configurados para implantação multi-AZ | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| FSx.5 | Os sistemas de arquivos Windows File Server devem estar configurados para implantação multi-AZ | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| Glue.1 | Os trabalhos do AWS Glue devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Glue.3 | As transformações de machine learning do AWS Glue devem ser criptografadas em repouso | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| Glue.4 | Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| GlobalAccelerator.1 | Os aceleradores do Global Accelerator devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| GuardDuty.1 | O GuardDuty deve estar habilitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Periódico |
| GuardDuty.2 | Os filtros GuardDuty devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| GuardDuty.3 | Os IPSets do GuardDuty devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| GuardDuty.4 | Os detectores do GuardDuty devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| GuardDuty.5 | O Monitoramento de Logs de Auditoria do EKS do GuardDuty deve estar habilitado | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Periódico | |
| GuardDuty.6 | A Proteção do Lambda do GuardDuty deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| GuardDuty.7 | O Monitoramento de Runtime do EKS do GuardDuty deve estar habilitado | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| GuardDuty.8 | A Proteção contra Malware para EC2 do GuardDuty deve estar habilitada | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Periódico | |
| GuardDuty.9 | A Proteção do RDS do GuardDuty deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| GuardDuty.10 | A Proteção do S3 do GuardDuty deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| GuardDuty.11 | O monitoramento de runtime do GuardDuty deve estar habilitado | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Periódico | |
| GuardDuty.12 | O monitoramento de runtime do ECS do GuardDuty deve estar habilitado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| GuardDuty.13 | O monitoramento de runtime do EC2 do GuardDuty deve estar habilitado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| IAM.1 | As políticas do IAM não devem permitir privilégios administrativos completos "*" | CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | |
Acionado por alterações |
| IAM.2 | Os usuários do IAM não devem ter políticas do IAM anexadas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | |
Acionado por alterações |
| IAM.3 | As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Periódico |
| IAM.4 | A chave de acesso do usuário raiz do IAM não deve existir | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| IAM.5 | A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Periódico |
| IAM.6 | A MFA de hardware deve estar habilitada para o usuário raiz | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | CRÍTICO | |
Periódico |
| IAM.7 | Políticas de senha para usuários do IAM que devem ter configurações fortes | Práticas Recomendadas de Segurança Básica AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Periódico |
| IAM.8 | As credenciais de usuário do IAM não utilizadas devem ser removidas | CIS AWS Foundations Benchmark v1.2.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Periódico |
| IAM.9 | A MFA deve estar habilitada para o usuário raiz | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
Periódico |
| IAM.10 | Políticas de senha para usuários do IAM que devem ter configurações fortes | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | MÉDIO | |
Periódico |
| IAM.11 | Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.12 | Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.13 | Certifique-se que política de senha do IAM exija pelo menos um símbolo | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| IAM.14 | Certifique-se que política de senha do IAM exija pelo menos um número | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.15 | Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| IAM.16 | Certifique-se que a política de senha do IAM impeça a reutilização de senhas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAIXO | |
Periódico |
| IAM.17 | Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 | BAIXO | |
Periódico |
| IAM.18 | Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAIXO | |
Periódico |
| IAM.19 | A MFA deve estar habilitada para todos os usuários do IAM | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.21 | As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços. | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | |
Acionado por alterações |
| IAM.22 | As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| IAM.23 | Os analisadores do IAM Access Analyzer devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IAM.24 | Os perfis do IAM devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IAM.25 | Os usuários do IAM devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IAM.26 | Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MÉDIO | Periódico | |
| IAM.27 | As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MÉDIO | Acionado por alterações | |
| IAM.28 | O analisador de acesso externo do IAM Access Analyzer deve ser habilitado | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | HIGH (ALTO) | Periódico | |
| Inspector.1 | A varredura do EC2 pelo Amazon Inspector deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Inspector.2 | A varredura do ECR pelo Amazon Inspector deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Inspector.3 | A varredura de código do Lambda pelo Amazon Inspector deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Inspector.4 | A varredura padrão do Lambda pelo Amazon Inspector deve estar habilitada | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| IoT.1 | Perfis de segurança do AWS IoT Device Defender devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoT.2 | Ações de mitigação do AWS IoT Core devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoT.3 | As dimensões do AWS IoT Core devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoT.4 | Os autorizadores do AWS IoT Core devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoT.5 | Os aliases de perfil do AWS IoT Core devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoT.6 | As políticas do AWS IoT Core devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTEvents.1 | As entradas do AWS IoT Events devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTEvents.2 | Os modelos de detectores do AWS IoT Events devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTEvents.3 | Os modelos de alarme do AWS IoT Events devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTSiteWise.1 | Os modelos de ativos do AWS IoT SiteWise devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTSiteWise.2 | Os painéis do AWS IoT SiteWise devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTSiteWise.3 | Os gateways do AWS IoT SiteWise devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTSiteWise.4 | Os portais do AWS IoT SiteWise devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTSiteWise.5 | Os projetos do AWS IoT SiteWise devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTTwinMaker.1 | Os trabalhos de sincronização do AWS IoT TwinMaker devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTTwinMaker.2 | Os espaços de trabalho do AWS IoT TwinMaker devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTTwinMaker.3 | As cenas do AWS IoT TwinMaker devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTTwinMaker.4 | As entidades do AWS IoT TwinMaker devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTWireless.1 | Os grupos de multicast do AWS IoT Wireless devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTWireless.2 | Os perfis de serviços do AWS IoT Wireless devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IoTWireless.3 | As tarefas de FUOTA do AWS IoT Wireless devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IVS.1 | Os pares de chaves de reprodução do IVS devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IVS.2 | As configurações de gravação do IVS devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| IVS.3 | Os canais do IVS devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Keyspaces.1 | Os keyspaces do Amazon Keyspaces devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Kinesis.1 | Os fluxos do Kinesis devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Kinesis.2 | Os fluxos do Kinesis devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Kinesis.3 | Os fluxos do Kinesis devem ter um período de retenção de dados adequado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| KMS.1 | As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| KMS.2 | As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| KMS.3 | AWS KMS keys não deve ser excluído acidentalmente | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| KMS.4 | A alternância de AWS KMS key deve ser ativada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| KMS.5 | As chaves do KMS não devem ser acessíveis publicamente | AWS Práticas Recomendadas de Segurança Básica | CRÍTICO | Acionado por alterações | |
| Lambda.1 | As funções do Lambda devem proibir o acesso público | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| Lambda.2 | As funções do Lambda devem usar os tempos de execução compatíveis | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| Lambda.3 | As funções do Lambda devem estar em uma VPC | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| Lambda.5 | As funções do Lambda da VPC devem operar em várias zonas de disponibilidade | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Lambda.6 | As funções do Lambda devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Lambda.7 | As funções do Lambda devem ter o rastreamento ativo do AWS X-Ray habilitado | NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| Macie.1 | O Amazon Macie deve ser habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| Macie.2 | A descoberta automatizada de dados confidenciais do Macie deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | Periódico | |
| MSK.1 | Os clusters MSK devem ser criptografados em trânsito entre os nós do agente | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| MSK.2 | Os clusters do MSK devem ter um monitoramento aprimorado configurado | NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| MSK.3 | Os conectores da MSK Connect devem ser criptografados em trânsito | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| MSK.4 | Os clusters do MSK devem ter o acesso público desabilitado | AWS Práticas Recomendadas de Segurança Básica | CRÍTICO | Acionado por alterações | |
| MSK.5 | Os conectores do MSK devem ter o registro em log habilitado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| MSK.6 | Os clusters do MSK devem desabilitar o acesso não autenticado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| MQ.2 | Os agentes do ActiveMQ devem transmitir logs de auditoria para o CloudWatch | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| MQ.3 | Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | Acionado por alterações | |
| MQ.4 | Os agentes do Amazon MQ devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| MQ.5 | Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera | NIST SP 800-53 Rev. 5, padrão gerenciado por serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| MQ.6 | Os agentes do RabbitMQ devem usar o modo de implantação de cluster | NIST SP 800-53 Rev. 5, padrão gerenciado por serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| Neptune.1 | Os clusters de banco de dados Neptune devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.2 | Os clusters do banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| Neptune.3 | Os snapshots do cluster de banco de dados Neptune não devem ser públicos | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | CRÍTICO | |
Acionado por alterações |
| Neptune.4 | O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| Neptune.5 | Os clusters de banco de dados Neptune devem ter backups automatizados habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.6 | Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.7 | Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.8 | Os clusters de banco de dados Neptune devem ser configurados para copiar tags para snapshots | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| Neptune.9 | Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.1 | Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.2 | O registro em log do Network Firewall deve ser habilitado | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| NetworkFirewall.3 | As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.4 | A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.5 | A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados. | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.6 | O grupo de regras de firewall de rede sem estado não deve estar vazio | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.7 | Os firewalls do Network Firewall devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| NetworkFirewall.8 | As políticas de firewall do Network Firewall devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| NetworkFirewall.9 | Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.10 | Os firewalls do Network Firewall devem ter a proteção contra alteração de sub-rede habilitada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| Opensearch.1 | Os domínios do devem ter a criptografia em repouso habilitada | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| Opensearch.2 | Os domínios do OpenSearch não devem ser publicamente acessíveis | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Acionado por alterações |
| Opensearch.3 | Os domínios do OpenSearch devem criptografar os dados enviados entre os nós | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Opensearch.4 | O registro em log de erros do domínio OpenSearch no CloudWatch Logs deve ser ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Opensearch.5 | Os domínios do OpenSearch devem ter o registro em log de auditoria ativado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| Opensearch.6 | Os domínios do OpenSearch devem ter pelo menos três nós de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Opensearch.7 | Os domínios do OpenSearch devem ter um controle de acesso refinado habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| Opensearch.8 | As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| Opensearch.9 | Os domínios do OpenSearch devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Opensearch.10 | Os domínios do OpenSearch devem ter a atualização de software mais recente instalada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | |
Acionado por alterações |
| Opensearch.11 | Os domínios do OpenSearch devem ter pelo menos três nós primários dedicados | NIST SP 800-53 Rev. 5 | BAIXO | Periódico | |
| PCA.1 | A autoridade de certificação raiz CA Privada da AWS deve ser desabilitada | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Periódico |
| PCA.2 | As autoridades de certificado CA privadas da AWS devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| RDS.1 | [RDS.1] Os snapshots do RDS devem ser privados | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Acionado por alterações |
| RDS.2 | As instâncias de banco de dados do RDS deve proibir o acesso público, determinado pela configuração PubliclyAccessible | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
Acionado por alterações |
| RDS.3 | As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada. | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.4 | Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.5 | As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade | CIS AWS Foundations Benchmark v5.0.0, AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.6 | O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.7 | O cluster de banco de dados do RDS deve ter a proteção contra exclusão habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| RDS.8 | As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.9 | As instâncias de bancos de dados do RDS devem publicar logs no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| RDS.10 | A autenticação do IAM deve ser configurada para instâncias do RDS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.11 | As instâncias do RDS devem ter backups automáticos habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.12 | A autenticação do IAM deve ser configurada para clusters do RDS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.13 | As atualizações automáticas de versões secundárias do RDS devem estar habilitadas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| RDS.14 | Os clusters Amazon Aurora devem ter o backtracking habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.15 | Os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade | CIS AWS Foundations Benchmark v5.0.0, Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.16 | Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| RDS.17 | As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.18 | As instâncias do RDS devem ser implantadas em uma VPC | Padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| RDS.19 | As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.20 | As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | BAIXO | |
Acionado por alterações |
| RDS.21 | Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | BAIXO | |
Acionado por alterações |
| RDS.22 | Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | BAIXO | |
Acionado por alterações |
| RDS.23 | As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.24 | Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| RDS.25 | As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| RDS.26 | As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup | NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| RDS.27 | Os clusters de banco de dados do RDS devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.28 | Os clusters de bancos de dados do RDS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| RDS.29 | Os snapshots de cluster de bancos de dados do RDS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| RDS.30 | As instâncias de bancos de dados do RDS devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| RDS.31 | Os grupos de segurança de bancos de dados do RDS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| RDS.32 | Os snapshots de bancos de dados do RDS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| RDS.33 | Os grupos de sub-redes de bancos de dados do RDS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| RDS.34 | Os clusters de banco de dados do MySQL devem publicar logs de auditoria no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| RDS.35 | Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| RDS.36 | As instâncias de bancos de dados do RDS para PostgreSDL devem publicar logs no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| RDS.37 | Os clusters de bancos de dados PostgreSQL do Aurora devem publicar logs de auditoria no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| RDS.38 | As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografadas em trânsito | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| RDS.39 | As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| RDS.40 | As instâncias de bancos de dados do RDS para SQL Server devem publicar logs no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| RDS.41 | As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| RDS.42 | As instâncias de bancos de dados do RDS para MariaDB devem publicar logs no CloudWatch Logs | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| RDS.43 | Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| RDS.44 | As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| RDS.45 | Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| RDS.46 | As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Periódico | |
| RDS.47 | Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots | AWS Práticas Recomendadas de Segurança Básica | BAIXO | Acionado por alterações | |
| RDS.48 | Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots | AWS Práticas Recomendadas de Segurança Básica | BAIXO | Acionado por alterações | |
| Redshift.1 | Os clusters do Amazon Redshift devem proibir o acesso público | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| Redshift.2 | As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| Redshift.3 | Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| Redshift.4 | Os clusters do Amazon Redshift devem ter o registro de auditoria ativado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| Redshift.6 | O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.7 | Os clusters do Redshift devem usar roteamento de VPC aprimorado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.8 | Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.10 | Os clusters do Redshift devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.11 | Os clusters do Redshift devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Redshift.12 | As notificações de assinatura de eventos do Redshift devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Redshift.13 | Os snapshots de clusters do Redshift devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Redshift.14 | Os grupos de sub-redes de clusters do Redshift devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Redshift.15 | Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster de origens restritas | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Redshift.16 | Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| Redshift.17 | Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Redshift.18 | Os clusters do Redshift devem ter implantações multi-AZ habilitadas | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| RedshiftServerless.1 | Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Periódico | |
| RedshiftServerless.2 | As conexões com grupos de trabalho do Redshift sem servidor devem ser obrigatórias para o uso de SSL | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| RedshiftServerless.3 | Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Periódico | |
| RedshiftServerless.4 | Os namespaces do Redshift sem servidor devem ser criptografados com o AWS KMS keys gerenciadas pelo cliente | NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| RedshiftServerless.5 | Os namespaces do Redshift sem servidor não devem usar o nome de usuário admin padrão | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| RedshiftServerless.6 | Os namespaces do Redshift sem servidor devem exportar logs para o CloudWatch Logs | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| Route53.1 | As verificações de integridade do Route 53 devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Route53.2 | As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| S3.1 | Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | Periódico | |
| S3.2 | Os buckets de uso geral do S3 devem bloquear o acesso público para leitura | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | Acionado por alterações e periódico | |
| S3.3 | Os buckets de uso geral do S3 devem bloquear o acesso público para gravação | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | Acionado por alterações e periódico | |
| S3.5 | Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | Acionado por alterações | |
| S3.6 | As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | Acionado por alterações | |
| S3.7 | Os buckets de uso geral do S3 devem usar replicação entre regiões | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| S3.8 | Os buckets de uso geral do S3 devem bloquear o acesso público | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | Acionado por alterações | |
| S3.9 | Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado | Práticas Recomendadas de Segurança Básica AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | Acionado por alterações | |
| S3.10 | Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| S3.11 | Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | Acionado por alterações | |
| S3.12 | As ACLs não devem ser usadas para gerenciar o acesso de usuários aos buckets de uso geral do S3 | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| S3.13 | Os buckets de uso geral do S3 devem ter configurações de ciclo de vida | Práticas Recomendadas de Segurança Básica da AWS, padrão gerenciado por serviço: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| S3.14 | Os buckets de uso geral do S3 devem ter o versionamento habilitado | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | Acionado por alterações | |
| S3.15 | Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| S3.17 | Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | Acionado por alterações | |
| S3.19 | Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | Acionado por alterações | |
| S3.20 | Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| S3.22 | Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| S3.23 | Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| S3.24 | Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas | Práticas Recomendadas de Segurança Básica da AWS, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações | |
| S3.25 | Os buckets de diretório do S3 devem ter configurações de ciclo de vida | AWS Práticas Recomendadas de Segurança Básica | BAIXO | Acionado por alterações | |
| SageMaker.1 | As instâncias de caderno do Amazon SageMaker não devem ter acesso direto à Internet | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Periódico |
| SageMaker.2 | As instâncias do notebook SageMaker devem ser iniciadas em uma VPC personalizada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| SageMaker.3 | Os usuários não devem ter acesso raiz às instâncias do notebook SageMaker | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| SageMaker.4 | As variantes de produção de endpoints do SageMaker devem ter uma contagem inicial de instâncias maior do que 1 | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| SageMaker.5 | Os modelos do SageMaker devem ter o isolamento de rede habilitado | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| SageMaker.6 | As configurações de imagem de aplicação do SageMaker devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| SageMaker.7 | As imagens do SageMaker devem ser marcadas com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| SageMaker.8 | As instâncias de notebook do SageMaker devem ser executadas em plataformas com suporte | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Periódico | |
| SecretsManager.1 | Os segredos do Secrets Manager devem ter a alternância automática ativada | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| SecretsManager.2 | Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Acionado por alterações |
| SecretsManager.3 | Remover segredos do Secrets Manager não utilizados | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, padrão gerenciado por serviço: AWS Control Tower | MÉDIO | |
Periódico |
| SecretsManager.4 | Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower, | MÉDIO | |
Periódico |
| SecretsManager.5 | Os segredos do Secrets Manager devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| ServiceCatalog.1 | Os portfólios do Service Catalog só devem ser compartilhados somente dentro de uma organização da AWS | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | Periódico | |
| SES.1 | As listas de contatos do SES devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| SES.2 | Os conjuntos de configuração do SES devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| SNS.1 | Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | Acionado por alterações | |
| SNS.3 | Os tópicos do SNS devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| SNS.4 | As políticas de acesso a tópicos do SNS não devem permitir o acesso público | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Acionado por alterações | |
| SQS.1 | As filas do Amazon SQS devem ser criptografadas em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| SQS.2 | As filas do SQS devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| SQS.3 | As políticas de acesso a filas do SQS não devem permitir o acesso público | AWS Práticas Recomendadas de Segurança Básica | HIGH (ALTO) | Acionado por alterações | |
| SSM.1 | As instâncias do EC2 devem ser gerenciadas pelo AWS Systems Manager | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado por serviço: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| SSM.2 | As instâncias do EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT após a instalação do patch | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| SSM.3 | As instâncias de EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| SSM.4 | Os documentos SSM não devem ser públicos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | CRÍTICO | |
Periódico |
| SSM.5 | Os documentos do SSM devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| SSM.6 | A automação do SSM deve ter o registro em log do CloudWatch habilitado | Práticas Recomendadas de Segurança Básica da AWS | MÉDIO | Periódico | |
| SSM.7 | Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público ativada | AWS Foundational Security Best Practices v1.0.0 | CRÍTICO | Periódico | |
| StepFunctions.1 | As máquinas de estado do Step Functions devem ter o registro ativado | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| StepFunctions.2 | As atividades do Step Functions devem ser marcadas | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Transfer.1 | Os fluxos de trabalho do Transfer Family devem ser marcados | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Transfer.2 | Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| Transfer.3 | Os conectores do Transfer Family devem ter o registro em log habilitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| Transfer.4 | Os contratos do Transfer Family devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Transfer.5 | Os certificados do Transfer Family devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Transfer.6 | Os conectores do Transfer Family devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| Transfer.7 | Os perfis do Transfer Family devem ser marcados com tags | Padrão Marcação de Recursos da AWS | BAIXO | Acionado por alterações | |
| WAF.1 | O registro em log da ACL da Web do AWS WAF Classic Global deve estar habilitado | Práticas Recomendadas de Segurança Básica da AWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| WAF.2 | As regras AWS WAF Classic Regional devem ter pelo menos uma condição | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| WAF.3 | Os grupos de regras do AWS WAF Classic Regional devem ter pelo menos uma regra | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| WAF.4 | As ACLs da Web do AWS WAF Clasic Regional devem ter pelo menos uma regra ou grupo de regras | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| WAF.6 | As regras do AWS WAF Classic Global devem ter pelo menos uma condição | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| WAF.7 | Os grupos de regras do AWS WAF Classic Global devem ter pelo menos uma regra | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| WAF.8 | As ACLs da Web do AWS WAF Classic Global devem ter pelo menos uma regra ou grupo de regras | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| WAF.10 | As ACLs da Web do AWS WAF devem ter pelo menos uma regra ou grupo de regras | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| WAF.11 | O registro em log de ACLs da Web do AWS WAF deve estar habilitado | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | |
Periódico |
| WAF.12 | As regras do AWS WAF devem ter as métricas do CloudWatch habilitadas | Práticas Recomendadas de Segurança Básica da AWS v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| WorkSpaces.1 | Os volumes de usuários do WorkSpaces devem ser criptografados em repouso | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações | |
| WorkSpaces.2 | Os volumes-raiz do WorkSpaces devem ser criptografados em repouso | AWS Práticas Recomendadas de Segurança Básica | MÉDIO | Acionado por alterações |
