Recomendações do Security Hub

nota

O Security Hub está em versão de pré-visualização e está sujeito à alterações.

Os serviços de segurança a seguir na AWS enviam descobertas para o Security Hub no formato OCSF. Depois de habilitar o Security Hub, recomendamos habilitar esses Serviços da AWS para segurança adicional.

CSPM do Security Hub

Ao habilitar o CSPM do Security Hub, você obterá uma visão abrangente do seu estado de segurança na AWS. Isso ajuda você a avaliar seu ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Embora você possa começar a usar o Security Hub sem habilitar o CSPM do Security Hub, recomendamos habilitá-lo, pois o Security Hub correlaciona os sinais de segurança do CSPM do Security Hub para melhorar seu gerenciamento de postura.

Se você habilitar o CSPM do Security Hub, também recomendamos habilitar o padrão Práticas Recomendadas de Segurança Básica da AWS para sua conta. Esse padrão consiste em um conjunto de controles que detectam quando as Contas da AWS e os recursos implantados se desviam das práticas recomendadas de segurança. Quando você habilita o padrão Práticas Recomendadas de Segurança Básica da AWS para sua conta, o CSPM do AWS Security Hub habilita automaticamente todos os seus controles, incluindo controles para os tipos de recursos a seguir:

Controles de conta
Controles do Amazon DynamoDB
Controles do Amazon Elastic Compute Cloud
Controles do AWS Identity and Access Management (IAM)
Controles do AWS Lambda
Controles do Amazon Relational Database Service (Amazon RDS)
Controles do Amazon Simple Storage Service

É possível desabilitar qualquer um dos controles dessa lista. No entanto, se você desabilitar qualquer um desses controles, não poderá receber descobertas de exposição dos recursos com suporte. Para obter informações sobre os controles que se aplicam ao padrão Práticas Recomendadas de Segurança Básica da AWS, consulte padrão Práticas Recomendadas de Segurança Básica da AWS v1.0.0 (FSBP).

GuardDuty

Ao habilitar o GuardDuty, será possível ver todas as suas descobertas sobre ameaças e cobertura de segurança no painel do console do Security Hub. Se você habilitar o GuardDuty, ele começará automaticamente a enviar dados para o Security Hub no formato OCSF.

Amazon Inspector

Ao habilitar o Amazon Inspector, será possível visualizar todas as suas exposições e descobertas sobre a cobertura de segurança no painel do console do Security Hub. Se você habilitar o Amazon Inspector, ele começará automaticamente a enviar dados para o Security Hub no formato OCSF.

Recomendamos ativar a varredura do Amazon EC2 e a varredura padrão do Lambda. Ao habilitar a varredura do Amazon EC2, o Amazon Inspector verificará todas as instâncias do Amazon EC2 na conta em busca de vulnerabilidades em pacotes e problemas de acessibilidade de rede. Ao habilitar a varredura padrão do Lambda, o Amazon Inspector verificará as funções do Lambda em busca de vulnerabilidades de software nas dependências de pacotes. Para obter mais informações, consulte Ativação de um tipo de varredura no Guia do usuário do Amazon Inspector.

Macie

Ao habilitar o Macie, será possível detectar exposições adicionais para seus buckets do Amazon S3. Recomendamos configurar a descoberta automática de dados sensíveis, para que o Macie possa avaliar seu inventário de buckets do Amazon S3 diariamente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Removendo um administrador delegado

Painel