本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于亚马逊的 Security Hub CSPM 控件 GuardDuty
这些 AWS Security Hub CSPM 控制措施用于评估 Amazon GuardDuty 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [GuardDuty.1] GuardDuty 应该启用
**相关要求:** NIST.800-53.r5 AC-2(12)、、(4)、1 (1)、1 (6)、5 (2) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (8)、(19)、(21)、(21)、(25)、( NIST.800-53.r5 SA-11)、 NIST.800-53.r5 SA-1 (3)、nist.800-53.r5 SI-20、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-3 (8)、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-4、 NIST.800-53.r5 SA-8 nist.800-53.r5 SI-4、 NIST.800-53.r5 SA-8 nist.800-53.r5 SI-4、 NIST.800-53.r5 SA-8 nist.800-53.r5 NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-5 nist.800-53.r5 SI-3 NIST.800-53.r5 SC-5 (8) 800-53.r5 SI-4 (1)、nist.800-53.r5 SI-4 (13)、nist.800-53.r5 SI-4 (2)、nist.800-53.r5 SI-4 (22)、nist.800-53.r5 SI-4 (25)、nist.800-53.r5 SI-4 (4)、nist.800-53.r5 SI-4 (4)、nist.800-53.r5 SI-4 (4) .800-53.r5 SI-4 (5)、nist.800-171.r2 3.4.2、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7、PCI DSS v3.2.1/11.4,PCI DSS v4.0.1/11.5.1
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::::Account`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)
**计划类型:**定期
**参数:**无
此控件会检查您的 GuardDuty 账户和地区 GuardDuty 是否启用了 Amazon。
强烈建议您在所有支持的 AWS 区域 GuardDuty 中启用。这样 GuardDuty 做可以生成有关未经授权或异常活动的调查结果,即使在您不经常使用的地区也是如此。这还 GuardDuty 允许监控全球 CloudTrail 事件, AWS 服务 例如 IAM。
### 修复
要启用 GuardDuty,请参阅 *Amazon GuardDuty 用户指南 GuardDuty中的[入门](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)指南*。
## [GuardDuty.2] 应给 GuardDuty 过滤器加标签
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::GuardDuty::Filter`
**AWS Config 规则:**`tagged-guardduty-filter`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | No default value |
此控件会检查 Amazon GuardDuty 筛选条件是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果筛选条件没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键,则此控件将失败。如果未提供 `requiredTagKeys` 参数,则此控件仅检查是否存在标签键,如果筛选条件未使用任何键进行标记,则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
**注意**
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*
### 修复
要向 GuardDuty 筛选条件添加标签,请参阅 *Amazon GuardDuty API 参考[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*中的。
## [GuardDuty.3] GuardDuty IPSets 应该被标记
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::GuardDuty::IPSet`
**AWS Config 规则:**`tagged-guardduty-ipset`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | No default value |
此控件检查 Amazon 是否 GuardDuty IPSet 具有参数中定义的特定密钥的标签`requiredTagKeys`。如果没有任何标签密钥或参数中没有指定的所有密钥,则控件将失败`requiredTagKeys`。 IPSet 如果`requiredTagKeys`未提供该参数,则该控件仅检查标签密钥是否存在,如果未使用任何密钥进行标记,则该控 IPSet 件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
**注意**
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*
### 修复
要向添加标签 GuardDuty IPSet,请参阅*亚马逊 GuardDuty API 参考[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*中的。
## [GuardDuty.4] 应 GuardDuty 标记探测器
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**`tagged-guardduty-detector`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | No default value |
此控件检查 Amazon GuardDuty 探测器是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果检测器没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键,则此控件将失败。如果未提供 `requiredTagKeys` 参数,则此控件仅检查是否存在标签键,如果检测器未使用任何键进行标记,则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
**注意**
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*
### 修复
要向 GuardDuty 探测器添加标签,请参阅 *Amazon GuardDuty API 参考[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)*中的。
## [GuardDuty.5] 应启 GuardDuty 用 EKS 审核日志监控
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查 GuardDuty EKS 审核日志监控是否已启用。对于独立账户,如果在账户中禁用 GuardDuty EKS 审核日志监控,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用 EKS 审核日志监控,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 EKS 审核日志监控功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停的成员帐户,但未启用 GuardDuty EKS 审核日志监控,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty EKS 审计日志监控可帮助您检测亚马逊 Elastic Kubernetes Service(亚马逊 EKS)集群中潜在的可疑活动。EKS 审计日志监控使用 Kubernetes 审计日志来捕获来自用户、使用 Kubernetes API 的应用程序和控制面板的按时间顺序排列的活动。
### 修复
要启用 GuardDuty EKS 审计日志监控,请参阅 [A *mazon GuardDuty 用户指南*中的 EKS 审计日志监控](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html)。
## [GuardDuty.6] 应启用 Lamb GuardDuty da 保护
**相关要求:**PCI DSS v4.0.1/11.5.1
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查 GuardDuty Lambda 保护是否已启用。对于独立账户,如果在账户中禁用 GuardDuty Lambda 保护,则控制失败。在多账户环境中,如果委托的 GuardDuty 管理员账户和所有成员账户未启用 Lambda Protection,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有委派的管理员才能为组织中的成员账户启用或禁用 Lambda 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托 GuardDuty 管理员有未启用 GuardDuty Lambda Protection 的已暂停成员账户,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty Lambda Protection 可帮助您在 AWS Lambda 函数被调用时识别潜在的安全威胁。启用 Lambda 保护后, GuardDuty 开始监控与中的 Lambda 函数关联的 Lambda 网络活动日志。 AWS 账户当 Lambda 函数被调用并 GuardDuty 识别出表明您的 Lambda 函数中存在潜在恶意代码的可疑网络流量时, GuardDuty 会生成调查结果。
### 修复
*要启用 GuardDuty Lambda 保护,请参阅亚马逊用户[指南中的配置 Lambda](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html) 保护。 GuardDuty *
## [GuardDuty.7] 应启用 GuardDuty EKS 运行时监控
**相关要求:**PCI DSS v4.0.1/11.5.1
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查是否启用了具有自动代理管理功能的 GuardDuty EKS 运行时监控。对于独立账户,如果账户中禁用了带有自动代理管理功能的 GuardDuty EKS 运行时监控,则该控制将失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户都没有启用自动代理管理的 EKS 运行时监控,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 EKS 运行时监控功能以及自动代理管理。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停的成员帐户,但未启用 GuardDuty EKS 运行时监控,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
Amazon 中的 EKS Protec GuardDuty tion 提供威胁检测覆盖范围,可帮助您保护 AWS 环境中的 Amazon EKS 集群。EKS 运行时监控使用操作系统级事件来帮助您检测 EKS 集群内的 EKS 节点和容器中的潜在威胁。
### 修复
要通过自动代理管理启用 EKS 运行时监控,请参阅 *Amazon GuardDuty 用户指南*中的[启用 GuardDuty 运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。
## [GuardDuty.8] 应启用 EC2 GuardDuty 恶意软件防护
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查是否启用了 GuardDuty 恶意软件防护。对于独立帐户,如果该帐户中禁用了 GuardDuty 恶意软件防护,则该控制将失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用恶意软件防护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员帐户启用或禁用恶意软件防护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停但未启用 GuardDuty 恶意软件防护的成员帐户,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty EC2 恶意软件防护通过扫描附加到亚马逊弹性计算云 (Amazon EC2) 实例和容器工作负载的亚马逊弹性区块存储 (Amazon EBS) 卷来帮助您检测恶意软件的潜在存在。恶意软件防护提供扫描选项,您可以在扫描时决定要包含还是排除特定的 EC2 实例和容器工作负载。它还提供了在您的 GuardDuty 账户中保留附加到 EC2 实例或容器工作负载的 EBS 卷快照的选项。只有在发现恶意软件并生成恶意软件防护调查发现时,才会保留快照。
### 修复
要为 EC2 启用 GuardDuty 恶意软件防护,请参阅 [ GuardDutyA *mazon GuardDuty 用户指南*中的配置启动的恶意软件扫描](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html)。
## [GuardDuty.9] 应启用 GuardDuty RDS 保护
**相关要求:**PCI DSS v4.0.1/11.5.1
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查 GuardDuty RDS 保护是否已启用。对于独立账户,如果账户中禁用 GuardDuty RDS 保护,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用 RDS 保护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 RDS 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有未启用 GuardDuty RDS 保护的已暂停成员账户,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
RDS Protection 可以 GuardDuty 分析和分析 RDS 登录活动,了解您的亚马逊 Aurora 数据库(兼容 Aurora MySQL 的版本和兼容 Aurora PostgreSQL 的版本)是否存在潜在的访问威胁。此功能允许您识别潜在的可疑登录行为。RDS 保护不需要额外的基础设施,其设计初衷即是为了不影响数据库实例的性能。当 RDS Protection 检测到表明您的数据库存在威胁的潜在可疑或异常登录尝试时, GuardDuty 会生成新的调查结果,其中包含有关可能受感染的数据库的详细信息。
### 修复
要启用 GuardDuty RDS 保护,请参阅 *Amazon GuardDuty 用户指南*中的 [GuardDuty RDS 保护](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html)。
## [GuardDuty.10] 应启用 GuardDuty S3 保护
**相关要求:**PCI DSS v4.0.1/11.5.1
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查 GuardDuty S3 保护是否已启用。对于独立账户,如果在账户中禁用 GuardDuty S3 保护,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用 S3 保护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 S3 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委派的 GuardDuty 管理员有未启用 GuardDuty S3 保护的已暂停成员账户,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
S3 Protection GuardDuty 允许监控对象级 API 操作,以识别您的亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险。 GuardDuty 通过分析 AWS CloudTrail 管理事件和 S3 数据事件来监控针对您CloudTrail 的 S3 资源的威胁。
### 修复
要启用 GuardDuty S3 保护,请参阅[亚马逊* GuardDuty 用户指南 GuardDuty中的亚马逊* S3 保护](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)。
## [GuardDuty.11] 应启用 “ GuardDuty 运行时监控”
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)
**计划类型:**定期
**参数:**无
此控件可检查 Amazon 中是否启用了运行时监控 GuardDuty。对于独立帐户,如果为该帐户禁用 GuardDuty 运行时监控,则该控制将失败。在多账户环境中,如果为委派的 GuardDuty 管理员账户和所有成员账户禁用 GuardDuty 运行时监控,则控制失败。
在多账户环境中,只有授权的 GuardDuty 管理员才能为其组织中的账户启用或禁用 GuardDuty 运行时监控。此外,只有 GuardDuty 管理员才能配置和管理 GuardDuty 用于运行时监控组织中帐户的工作 AWS 负载和资源的安全代理。 GuardDuty 成员账户无法为自己的账户启用、配置或禁用运行时监控。
GuardDuty 运行时监控可观察和分析操作系统级别、网络和文件事件,以帮助您检测环境中特定 AWS 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加运行时行为的可见性,例如文件访问、进程执行、命令行参数和网络连接。您可以为要监控潜在威胁的每种资源类型(例如 Amazon EKS 集群和 Amazon EC2 实例)启用和管理安全代理。
### 修复
有关配置和启用 GuardDuty 运行时监控的信息,请参阅 GuardDuty *Amazon GuardDuty 用户指南*中的[ GuardDuty 运行时[监控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)和启用运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。
## [GuardDuty.12] 应启用 GuardDuty ECS 运行时监控
**类别:**检测 > 检测服务
**严重性:**中
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查是否启用了亚马逊 GuardDuty 自动安全代理,以便对开启的 Amazon ECS 集群进行运行时监控 AWS Fargate。对于独立账户,如果账户禁用了安全代理,则该控件会失败。在多账户环境中,如果为委派的 GuardDuty管理员账户和所有成员账户禁用安全代理,则控制失败。
在多账户环境中,此控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。这是因为只有授权的 GuardDuty 管理员才能为其组织中的账户启用或禁用 ECS-FarGate 资源的运行时监控。 GuardDuty 成员账户无法为自己的账户执行此操作。此外,如果 GuardDuty 成员账户被暂停且成员账户禁用 ECS-Fargate 资源的运行时监控,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果, GuardDuty 管理员必须使用 GuardDuty解除被暂停的成员帐户与其管理员帐户的关联。
GuardDuty 运行时监控可观察和分析操作系统级别、网络和文件事件,以帮助您检测环境中特定 AWS 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加运行时行为的可见性,例如文件访问、进程执行、命令行参数和网络连接。您可以为要监控潜在威胁的每种资源类型启用和管理安全代理。这包括 AWS Fargate上的 Amazon ECS 集群。
### 修复
要启用和管理用于对 ECS-Fargate 资源进行 GuardDuty 运行时监控的安全代理,必须直接使用。 GuardDuty 对于 ECS-Fargate 资源,您无法手动启用或管理它。有关启用和管理安全代理的信息,请参阅《[亚马逊 GuardDuty 用户指南》中的 AWS Fargate (仅限 Amazon ECS)支持的先决条件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)*和管理自动安全代理 AWS Fargate (仅限 Amazon* [ECS)](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html)。
## [GuardDuty.13] 应启用 GuardDuty EC2 运行时监控
**类别:**检测 > 检测服务
**严重性:**中
**资源类型:**`AWS::GuardDuty::Detector`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查是否启用了亚马逊 GuardDuty 自动安全代理,以便对 Amazon EC2 实例进行运行时监控。对于独立账户,如果账户禁用了安全代理,则该控件会失败。在多账户环境中,如果为委派的 GuardDuty 管理员账户和所有成员账户禁用安全代理,则控制失败。
在多账户环境中,此控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。这是因为只有授权的 GuardDuty 管理员才能为其组织中的账户启用或禁用 Amazon EC2 实例的运行时监控。 GuardDuty 成员账户无法为自己的账户执行此操作。此外,如果成员账户被暂停,且该成员账户 GuardDuty 的 EC2 实例运行时监控被禁用,则此控件会生成`FAILED`调查结果。要获得`PASSED`调查结果, GuardDuty 管理员必须使用 GuardDuty解除被暂停的成员帐户与其管理员帐户的关联。
GuardDuty 运行时监控可观察和分析操作系统级别、网络和文件事件,以帮助您检测环境中特定 AWS 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加运行时行为的可见性,例如文件访问、进程执行、命令行参数和网络连接。您可以为要监控潜在威胁的每种资源类型启用和管理安全代理。这包括 Amazon EC2 实例。
### 修复
有关配置和管理 EC2 实例 GuardDuty 运行时监控的自动安全代理的信息,请参阅 Amazon * GuardDuty 用户指南*[中的 Amazon EC2 实例支持的先决条件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)和[为 Amazon EC2 实例启用自动安全代理](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html)。