Recomendações do Security Hub

Os seguintes serviços de segurança AWS enviam descobertas para o Security Hub no formato OCSF. Depois de habilitar o Security Hub, recomendamos habilitá-los Serviços da AWS para segurança adicional.

CSPM do Security Hub

Ao habilitar o CSPM do Security Hub, você obterá uma visão abrangente do seu estado de segurança na AWS. Isso ajuda você a avaliar seu ambiente em relação aos padrões e práticas recomendadas do setor de segurança. Embora você possa começar a usar o Security Hub sem habilitar o CSPM do Security Hub, recomendamos habilitá-lo, pois o Security Hub correlaciona os sinais de segurança do CSPM do Security Hub para melhorar seu gerenciamento de postura.

Se você habilitar o CSPM do Security Hub, também recomendamos ativar o padrão AWS Foundational Security Best Practices para sua conta. Esse padrão consiste em um conjunto de controles que detectam quando seus recursos Contas da AWS e recursos se desviam das melhores práticas de segurança. Quando você ativa o padrão AWS Foundational Security Best Practices para sua conta, o AWS Security Hub CSPM ativa automaticamente todos os seus controles, incluindo controles para os seguintes tipos de recursos:

Controles de conta
Controles do Amazon DynamoDB
Controles do Amazon Elastic Compute Cloud
AWS Identity and Access ManagementControles (IAM)
AWS Lambdacontroles
Controles do Amazon Relational Database Service (Amazon RDS)
Controles do Amazon Simple Storage Service

É possível desabilitar qualquer um dos controles dessa lista. No entanto, se você desabilitar qualquer um desses controles, não poderá receber descobertas de exposição dos recursos com suporte. Para obter informações sobre controles que se aplicam ao padrão AWS Foundational Security Best Practices, consulte o padrão AWSFoundational Security Best Practices v1.0.0 (FSBP).

GuardDuty

Ao habilitar GuardDuty, você pode visualizar todas as suas descobertas sobre ameaças e cobertura de segurança no painel do console do Security Hub. Se você habilitar GuardDuty, começará GuardDuty automaticamente a enviar dados para o Security Hub no formato OCSF.

Amazon Inspector

Ao habilitar o Amazon Inspector, será possível visualizar todas as suas exposições e descobertas sobre a cobertura de segurança no painel do console do Security Hub. Se você habilitar o Amazon Inspector, ele começará automaticamente a enviar dados para o Security Hub no formato OCSF.

Recomendamos ativar o escaneamento da Amazon e o EC2 escaneamento padrão Lambda. Quando você ativa o EC2 escaneamento da Amazon, o Amazon Inspector verifica as instâncias da EC2 Amazon em sua conta em busca de vulnerabilidades de pacotes e problemas de acessibilidade de rede. Ao habilitar a varredura padrão do Lambda, o Amazon Inspector verificará as funções do Lambda em busca de vulnerabilidades de software nas dependências de pacotes. Para obter mais informações, consulte Ativação de um tipo de varredura no Guia do usuário do Amazon Inspector.

Macie

Ao habilitar o Macie, será possível detectar exposições adicionais para seus buckets do Amazon S3. Recomendamos configurar a descoberta automática de dados sensíveis, para que o Macie possa avaliar seu inventário de buckets do Amazon S3 diariamente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Removendo um administrador delegado

Cobertura da conta