本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon GuardDuty 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon GuardDuty 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【GuardDuty.1] 應啟用 GuardDuty
**相關要求:** NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3(4), NIST.800-53.r5 SA-11(1), NIST.800-53.r5 SA-11(6), NIST.800-53.r5 SA-15(2), NIST.800-53.r5 SA-15(8), NIST.800-53.r5 SA-8(19), NIST.800-53.r5 SA-8(21), NIST.800-53.r5 SA-8(25), NIST.800-53.r5 SC-5、 NIST.800-53.r5 SC-5(1), NIST.800-53.r5 SC-5(3), NIST.800-53.r5 SI-20、 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4、 NIST.800-53.r5 SI-4(1), NIST.800-53.r5 SI-4(13), NIST.800-53.r5 SI-4(2), NIST.800-53.r5 SI-4(22), NIST.800-53.r5 SI-4(25), NIST.800-53.r5 SI-4(4), NIST.800-53.r5 SI-4(5), NIST.800-171.r2 3.4.2、 NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7、 PCI DSS 3.2.1/11.4 版, PCI DSS 4.0.1/11.5.1 版
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::::Account`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html)
**排程類型:**定期
**參數:**無
此控制項會檢查您的 Amazon GuardDuty帳戶和區域中是否已啟用 Amazon GuardDuty。
強烈建議您在所有支援的區域中啟用 GuardDuty AWS 。這樣做可讓 GuardDuty 產生有關未經授權或異常活動的調查結果,即使在您未主動使用的區域中也是如此。這也允許 GuardDuty 監控全域 AWS 服務 的 CloudTrail 事件,例如 IAM。
### 修補
若要啟用 GuardDuty,請參閱《Amazon [GuardDuty 使用者指南](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)》中的 GuardDuty 入門。 *Amazon GuardDuty *
## 【GuardDuty.2] GuardDuty 篩選條件應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::GuardDuty::Filter`
**AWS Config rule:**`tagged-guardduty-filter`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | No default value |
此控制項會檢查 Amazon GuardDuty 篩選條件是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果篩選條件沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果篩選條件未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 GuardDuty 篩選條件,請參閱《*Amazon GuardDuty API 參考*[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)》中的 。
## 【GuardDuty.3] GuardDuty IPSets 應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::GuardDuty::IPSet`
**AWS Config rule:**`tagged-guardduty-ipset`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | No default value |
此控制項會檢查 Amazon GuardDuty IPSet 是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果 IPSet 沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果 IPSet 未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 GuardDuty IPSet,請參閱《*Amazon GuardDuty API 參考*[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)》中的 。
## 【GuardDuty.4] GuardDuty 偵測器應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config rule:**`tagged-guardduty-detector`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | No default value |
此控制項會檢查 Amazon GuardDuty 偵測器是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果偵測器沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果偵測器未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 GuardDuty 偵測器,請參閱《*Amazon GuardDuty API 參考*[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_TagResource.html)》中的 。
## 【GuardDuty.5] 應啟用 GuardDuty EKS 稽核日誌監控
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-audit-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否啟用 GuardDuty EKS 稽核日誌監控。對於獨立帳戶,如果帳戶中停用 GuardDuty EKS 稽核日誌監控,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 EKS 稽核日誌監控,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 EKS 稽核日誌監控功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty EKS 稽核日誌監控的暫停成員帳戶,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單,委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。
GuardDuty EKS 稽核日誌監控可協助您偵測 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集中的潛在可疑活動。EKS 稽核日誌監控使用 Kubernetes 稽核日誌,從使用者、使用 Kubernetes API 的應用程式和控制平面,擷取依時間順序排列的活動。
### 修補
若要啟用 GuardDuty EKS 稽核日誌監控,請參閱《*Amazon GuardDuty 使用者指南*》中的 [EKS 稽核日誌監控](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-eks-audit-log-monitoring.html)。
## 【GuardDuty.6] 應啟用 GuardDuty Lambda 保護
**相關要求:**PCI DSS v4.0.1/11.5.1
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-lambda-protection-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否已啟用 GuardDuty Lambda 保護。對於獨立帳戶,如果在帳戶中停用 GuardDuty Lambda 保護,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 Lambda 保護,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 保護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty Lambda 保護的暫停成員帳戶,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單,委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。
GuardDuty Lambda 保護可協助您在叫用 AWS Lambda 函數時識別潛在的安全威脅。啟用 Lambda 保護之後,GuardDuty 會開始監控與 中 Lambda 函數相關聯的 Lambda 網路活動日誌 AWS 帳戶。當叫用 Lambda 函數且 GuardDuty 識別可疑的網路流量,指出 Lambda 函數中存在潛在惡意的程式碼片段時,GuardDuty 會產生問題清單。
### 修補
若要啟用 GuardDuty Lambda 保護,請參閱《*Amazon GuardDuty 使用者指南*》中的[設定 Lambda 保護](https://docs.aws.amazon.com/guardduty/latest/ug/configuring-lambda-protection.html)。
## 【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控
**相關要求:**PCI DSS v4.0.1/11.5.1
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-eks-protection-runtime-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否已啟用具有自動代理程式管理的 GuardDuty EKS 執行期監控。對於獨立帳戶,如果在帳戶中停用具有自動代理程式管理的 GuardDuty EKS 執行期監控,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用自動代理程式管理的 EKS 執行期監控,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能為組織中的成員帳戶啟用或停用具有自動代理程式管理的 EKS 執行期監控功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty EKS 執行期監控的暫停成員帳戶,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單,委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。
Amazon GuardDuty 中的 EKS 保護提供威脅偵測涵蓋範圍,有助於保護 AWS 環境中的 Amazon EKS 叢集。EKS 執行期監控使用作業系統層級事件,協助您偵測 EKS 叢集內 EKS 節點和容器中的潛在威脅。
### 修補
若要使用自動代理程式管理啟用 EKS 執行期監控,請參閱《Amazon [GuardDuty 使用者指南》中的啟用 GuardDuty 執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。 *Amazon GuardDuty *
## 【GuardDuty.8] 應啟用 EC2 的 GuardDuty 惡意軟體防護
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-malware-protection-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否啟用 GuardDuty 惡意軟體防護。對於獨立帳戶,如果帳戶中停用 GuardDuty 惡意軟體防護,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用惡意軟體防護,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員可以啟用或停用組織中成員帳戶的惡意軟體防護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty 惡意軟體防護的暫停成員帳戶,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單,委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。
GuardDuty Malware Protection for EC2 透過掃描連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體和容器工作負載的 Amazon Elastic Block Store (Amazon EBS) 磁碟區,協助您偵測潛在的惡意軟體存在。惡意軟體防護提供掃描選項,您可以在掃描時決定是否要包含或排除特定 EC2 執行個體和容器工作負載。它還提供在 GuardDuty 帳戶中保留連接到 EC2 執行個體或容器工作負載之 EBS 磁碟區的快照的選項。只有在發現惡意軟體並產生惡意軟體防護調查結果時,才會保留快照。
### 修補
若要啟用 EC2 的 GuardDuty 惡意軟體防護,請參閱《Amazon [GuardDuty 使用者指南》中的設定 GuardDuty 起始的惡意軟體掃描](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-initiated-malware-scan-configuration.html)。 *Amazon GuardDuty *
## 【GuardDuty.9] 應啟用 GuardDuty RDS 保護
**相關要求:**PCI DSS v4.0.1/11.5.1
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-rds-protection-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否已啟用 GuardDuty RDS 保護。對於獨立帳戶,如果在帳戶中停用 GuardDuty RDS 保護,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 RDS 保護,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 RDS 保護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty RDS 保護的暫停成員帳戶,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單,委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。
GuardDuty 中的 RDS 保護會分析和分析 RDS 登入活動,以找出對 Amazon Aurora 資料庫的潛在存取威脅 (Aurora MySQL 相容版本和 Aurora PostgreSQL 相容版本)。此功能可讓您識別潛在的可疑登入行為。RDS 保護不需要額外的基礎設施;專門為不影響資料庫執行個體的效能而設計。當 RDS 保護偵測到潛在的可疑或異常登入嘗試 (這表明資料庫存在安全威脅) 時,GuardDuty 會產生新的調查結果,其中包含可能被盜用之資料庫的詳細資訊。
### 修補
若要啟用 GuardDuty RDS 保護,請參閱《Amazon [GuardDuty 使用者指南》中的 GuardDuty RDS 保護](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html)。 *Amazon GuardDuty *
## 【GuardDuty.10] 應啟用 GuardDuty S3 保護
**相關要求:**PCI DSS v4.0.1/11.5.1
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-s3-protection-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否已啟用 GuardDuty S3 保護。對於獨立帳戶,如果在帳戶中停用 GuardDuty S3 保護,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶未啟用 S3 保護,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 GuardDuty 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 S3 保護功能。GuardDuty 成員帳戶無法從其帳戶修改此組態。如果委派的 GuardDuty 管理員具有未啟用 GuardDuty S3 保護的暫停成員帳戶,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`問題清單,委派管理員必須在 GuardDuty 中取消這些暫停帳戶的關聯。
S3 保護可讓 GuardDuty 監控物件層級 API 操作,以識別 Amazon Simple Storage Service (Amazon S3) 儲存貯體中資料的潛在安全風險。GuardDuty 透過分析 AWS CloudTrail 管理事件和 CloudTrail S3 資料事件來監控對 S3 資源的威脅。 S3
### 修補
若要啟用 GuardDuty S3 保護,請參閱《[Amazon S3 Amazon GuardDuty使用者指南》中的 Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html)*Amazon GuardDuty *S3 保護。
## 【GuardDuty.11] 應啟用 GuardDuty 執行期監控
**類別:**偵測 > 偵測服務
**嚴重性:**高
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-runtime-monitoring-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否在 Amazon GuardDuty 中啟用執行期監控。對於獨立帳戶,如果帳戶停用 GuardDuty 執行期監控,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶停用 GuardDuty 執行期監控,則控制項會失敗。
在多帳戶環境中,只有委派的 GuardDuty 管理員可以啟用或停用組織中帳戶的 GuardDuty 執行期監控。此外,只有 GuardDuty 管理員可以設定和管理 GuardDuty 用來監控組織中帳戶 AWS 工作負載和資源的執行時間的安全代理程式。GuardDuty 成員帳戶無法為自己的帳戶啟用、設定或停用執行期監控。
GuardDuty 執行期監控會觀察和分析作業系統層級、聯網和檔案事件,以協助您偵測環境中特定 AWS 工作負載的潛在威脅。它使用 GuardDuty 安全代理程式來增加執行時間行為的可見性,例如檔案存取、程序執行、命令列引數和網路連線。您可以為要監控潛在威脅的每種資源類型啟用和管理安全代理程式,例如 Amazon EKS 叢集和 Amazon EC2 執行個體。
### 修補
如需有關設定和啟用 GuardDuty 執行期監控的資訊,請參閱《Amazon [GuardDuty 使用者指南》中的 GuardDuty 執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html)和[啟用 GuardDuty 執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-configuration.html)。 *Amazon GuardDuty *
## 【GuardDuty.12] 應啟用 GuardDuty ECS 執行期監控
**類別:**偵測 > 偵測服務
**嚴重性:**中
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ecs-protection-runtime-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否已啟用 Amazon GuardDuty 自動化安全代理程式,以監控 Amazon ECS 叢集的執行時間 AWS Fargate。對於獨立帳戶,如果停用帳戶的安全代理程式,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶停用安全代理程式,則控制項會失敗。
在多帳戶環境中,此控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。這是因為只有委派的 GuardDuty 管理員可以啟用或停用組織中帳戶的 ECS-Fargate 資源執行期監控。GuardDuty 成員帳戶無法對自己的帳戶執行此操作。此外,如果成員帳戶的 GuardDuty 暫停,且成員帳戶的 ECS-Fargate 資源的執行期監控已停用,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`調查結果,GuardDuty 管理員必須使用 GuardDuty 取消暫停的成員帳戶與其管理員帳戶的關聯。
GuardDuty 執行期監控會觀察和分析作業系統層級、聯網和檔案事件,以協助您偵測環境中特定 AWS 工作負載的潛在威脅。它使用 GuardDuty 安全代理程式來增加執行時間行為的可見性,例如檔案存取、程序執行、命令列引數和網路連線。您可以為要監控潛在威脅的每種資源類型啟用和管理安全代理程式。這包括 上的 Amazon ECS 叢集 AWS Fargate。
### 修補
若要啟用和管理 ECS-Fargate 資源的 GuardDuty 執行期監控的安全代理程式,您必須直接使用 GuardDuty。您無法為 ECS-Fargate 資源啟用或手動管理它。如需有關啟用和管理安全代理程式的資訊,請參閱《[Amazon GuardDuty 使用者指南》中的 AWS Fargate (僅限 Amazon ECS) 支援和管理 (僅限 Amazon ECS) 的自動化安全代理程式的先決條件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ecs-support.html)。 [AWS Fargate](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ecs-automated.html) *Amazon GuardDuty *
## 【GuardDuty.13] 應啟用 GuardDuty EC2 執行期監控
**類別:**偵測 > 偵測服務
**嚴重性:**中
**資源類型:** `AWS::GuardDuty::Detector`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-ec2-protection-runtime-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查 Amazon GuardDuty 自動化安全代理程式是否已啟用 Amazon EC2 執行個體的執行期監控。對於獨立帳戶,如果停用帳戶的安全代理程式,則控制項會失敗。在多帳戶環境中,如果委派的 GuardDuty 管理員帳戶和所有成員帳戶停用安全代理程式,則控制項會失敗。
在多帳戶環境中,此控制項只會在委派的 GuardDuty 管理員帳戶中產生調查結果。這是因為只有委派的 GuardDuty 管理員可以為組織中的帳戶啟用或停用 Amazon EC2 執行個體的執行期監控。GuardDuty 成員帳戶無法對自己的帳戶執行此操作。此外,如果成員帳戶的 GuardDuty 暫停,且成員帳戶的 EC2 執行個體執行期監控已停用,則此控制項會產生`FAILED`調查結果。若要接收`PASSED`調查結果,GuardDuty 管理員必須使用 GuardDuty 取消暫停的成員帳戶與其管理員帳戶的關聯。
GuardDuty 執行期監控會觀察和分析作業系統層級、聯網和檔案事件,以協助您偵測環境中特定 AWS 工作負載的潛在威脅。它使用 GuardDuty 安全代理程式來增加執行時間行為的可見性,例如檔案存取、程序執行、命令列引數和網路連線。您可以為要監控潛在威脅的每種資源類型啟用和管理安全代理程式。這包括 Amazon EC2 執行個體。
### 修補
如需為 EC2 執行個體的 GuardDuty 執行期監控設定和管理自動化安全代理程式的相關資訊,請參閱《Amazon GuardDuty 使用者指南》中的 [Amazon EC2 執行個體支援和啟用 Amazon EC2 執行個體的自動化安全代理程式的先決條件](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html)。 [ Amazon EC2 ](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-automated.html) *Amazon GuardDuty *