本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件适用于 GuardDuty
这些 Amazon Security Hub 控制措施用于评估 Amazon GuardDuty 服务和资源。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[GuardDuty.1] GuardDuty 应该启用
相关要求:PCIDSSv3.2.1/11.4、PCI DSS v4.0.1/11.5.1、 NIST.800-53.r5 AC-2 (12)、、(4)、1 (1)、1 (6)、5 (2)、5 (8) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (19)、(21)、(25)、( NIST.800-53.r5 SA-11)、(3)、 NIST.800-53.r5 SA-1 .800-53.r NIST.800-53.r5 SA-1 5 SI-20、.800-53.r5、.800-53.r NIST.800-53.r5 SA-1 5 SI-3 NIST.800-53.r5 SA-8 (8)、.800-53.rr 5 SI-4、 NIST.800-53.r5 SA-8 .800-53.r5 SI-4 NIST.800-53.r5 SC-5 (1)、.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (13)、NIST .800-53.r5 SI-4 (2)、NIST .800-53.r5 SI-4 (22)、.800-53.r5 SI-4 (22)、NIST .800-53.r5 SI-4 (25) NIST.800-53.r5 SA-8 NIST.800-53.r5 SC-5 NIST NIST NIST NIST NIST)、NIST .800-53.r5 SI-4 (4)、.800-53.r5 SI-4 (5) NIST
类别:检测 > 检测服务
严重性:高
资源类型:AWS::::Account
Amazon Config 规则:guardduty-enabled-centralized
计划类型:定期
参数:无
此控件会检查您的 GuardDuty 账户和地区 GuardDuty 是否启用了 Amazon。
强烈建议您在所有支持的 Amazon 区域 GuardDuty 中启用。这样 GuardDuty 做可以生成有关未经授权或异常活动的调查结果,即使在您不经常使用的地区也是如此。这还 GuardDuty 允许监控全球 CloudTrail 事件, Amazon Web Services 服务 例如IAM。
修复
要启用 GuardDuty,请参阅 Amazon GuardDuty 用户指南 GuardDuty中的入门指南。
[GuardDuty.2] 应给 GuardDuty 过滤器加标签
类别:识别 > 清单 > 标记
严重性:低
资源类型:Amazon::GuardDuty::Filter
Amazon Config 规则:tagged-guardduty-filter
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 Amazon 要求的标签列表 |
No default value
|
此控件会检查 Amazon GuardDuty 筛选条件是否具有参数中定义的特定密钥的标签requiredTagKeys
。如果筛选条件没有任何标签键或者未在 requiredTagKeys
参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys
参数,则此控件仅检查是否存在标签键,如果筛选条件未使用任何键进行标记,则此控件将失败。自动应用并以 aws:
为开头的系统标签会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 Amazon 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 Amazon? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services 服务,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 GuardDuty 筛选器添加标签,请参阅 TagResource在 Amazon GuardDuty API 参考中。
[GuardDuty.3] GuardDuty IPSets 应该被标记
类别:识别 > 清单 > 标记
严重性:低
资源类型:Amazon::GuardDuty::IPSet
Amazon Config 规则:tagged-guardduty-ipset
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 Amazon 要求的标签列表 |
No default value
|
此控件检查 Amazon 是否 GuardDuty IPSet具有参数中定义的特定密钥的标签requiredTagKeys
。如果没有任何标签密钥或参数中没有指定的所有密钥,则控件将失败requiredTagKeys
。IPSet如果requiredTagKeys
未提供该参数,则该控件仅检查标签密钥是否存在,如果未使用任何密钥进行标记,则该控IPSet件将失败。自动应用并以 aws:
为开头的系统标签会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 Amazon 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 Amazon? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services 服务,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 a 添加标签 GuardDuty IPSet,请参阅 TagResource在 Amazon GuardDuty API 参考中。
[GuardDuty.4] 应 GuardDuty 标记探测器
类别:识别 > 清单 > 标记
严重性:低
资源类型:Amazon::GuardDuty::Detector
Amazon Config 规则:tagged-guardduty-detector
(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 Amazon 要求的标签列表 |
No default value
|
此控件检查 Amazon GuardDuty 探测器是否具有参数中定义的特定密钥的标签requiredTagKeys
。如果检测器没有任何标签键或者未在 requiredTagKeys
参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys
参数,则此控件仅检查是否存在标签键,如果检测器未使用任何键进行标记,则此控件将失败。自动应用并以 aws:
为开头的系统标签会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 Amazon 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 Amazon? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services 服务,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 GuardDuty 探测器添加标签,请参见 TagResource在 Amazon GuardDuty API 参考中。
[GuardDuty.5] 应启用 “ GuardDuty EKS审计日志监控”
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
Amazon Config 规则:guardduty-eks-protection-audit-enabled
计划类型:定期
参数:无
此控件检查是否启用了 GuardDuty EKS审核日志监控。对于独立账户,如果在账户中禁用 “ GuardDuty EKS审计日志监控”,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用 “EKS审核日志监控”,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员帐户启用或禁用 “EKS审核日志监控” 功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委派的 GuardDuty 管理员有未启用 “ GuardDuty EKS审核日志监控” 的已暂停成员帐户,则此控件会生成FAILED
调查结果。要获得PASSED
调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty EKS审计日志监控可帮助您检测亚马逊 Elastic Kubernetes Service(亚马逊)集群中可能存在的可疑活动。EKS EKS审计日志监控使用 Kubernetes 审计日志来捕获用户、使用 Kubernetes API 的应用程序和控制平面按时间顺序排列的活动。
修复
要启用 GuardDuty EKS审计日志监控,请参阅 Amazon GuardDuty 用户指南中的EKS审计日志监控。
[GuardDuty.6] 应启用 Lamb GuardDuty da 保护
相关要求:PCIDSSv4.0.1/11.5.1
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
Amazon Config 规则:guardduty-lambda-protection-enabled
计划类型:定期
参数:无
此控件检查 GuardDuty Lambda 保护是否已启用。对于独立账户,如果在账户中禁用 GuardDuty Lambda 保护,则控制失败。在多账户环境中,如果委托的 GuardDuty 管理员账户和所有成员账户未启用 Lambda Protection,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有委派的管理员才能为组织中的成员账户启用或禁用 Lambda 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托 GuardDuty 管理员有未启用 GuardDuty Lambda Protection 的已暂停成员账户,则此控件会生成FAILED
调查结果。要获得PASSED
调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty Lambda Protection 可帮助您在 Amazon Lambda 函数被调用时识别潜在的安全威胁。启用 Lambda 保护后, GuardDuty 开始监控与中的 Lambda 函数关联的 Lambda 网络活动日志。 Amazon Web Services 账户当 Lambda 函数被调用并 GuardDuty 识别出表明您的 Lambda 函数中存在潜在恶意代码的可疑网络流量时, GuardDuty 会生成调查结果。
修复
要启用 GuardDuty Lambda 保护,请参阅亚马逊用户指南中的配置 Lambda 保护。 GuardDuty
[GuardDuty.7] 应启用 “ GuardDuty EKS运行时监控”
相关要求:PCIDSSv4.0.1/11.5.1
类别:检测 > 检测服务
严重性:中
资源类型:AWS::GuardDuty::Detector
Amazon Config 规则:guardduty-eks-protection-runtime-enabled
计划类型:定期
参数:无
此控件检查是否启用了带有自动代理管理功能的 GuardDuty EKS运行时监控。对于独立帐户,如果在帐户中禁用了带有自动代理管理功能的 GuardDuty EKS运行时监控,则该控制将失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户都没有启用自动代理管理的 EKS Runtime Monitoring,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员帐户启用或禁用 “EKS运行时监控” 功能以及自动代理管理。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托 GuardDuty 管理员的成员帐户已暂停,但未启用 “ GuardDuty EKS运行时监控”,则此控件会生成FAILED
调查结果。要获得PASSED
调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
EKSAmazon 中的保护 GuardDuty 提供威胁检测覆盖范围,以帮助您保护 Amazon 环境中的亚马逊EKS集群。 EKS运行时监控使用操作系统级别的事件来帮助您检测EKS集群内EKS节点和容器中的潜在威胁。
修复
要通过自动代理管理启用EKS运行时监控,请参阅 Amazon GuardDuty 用户指南中的启用 GuardDuty 运行时监控。
[GuardDuty.8] EC2 应 GuardDuty 启用恶意软件防护
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
Amazon Config 规则:guardduty-malware-protection-enabled
计划类型:定期
参数:无
此控件检查是否启用了 GuardDuty 恶意软件防护。对于独立帐户,如果该帐户中禁用了 GuardDuty 恶意软件防护,则该控制将失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用恶意软件防护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员帐户启用或禁用恶意软件防护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停但未启用 GuardDuty 恶意软件防护的成员帐户,则此控件会生成FAILED
调查结果。要获得PASSED
调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty 恶意软件防护通过扫描附加到亚马逊弹性计算云 (AmazonEBS) 实例和容器工作负载的亚马逊弹性区块存储 (AmazonEC2) 卷来EC2帮助您检测恶意软件的潜在存在。恶意软件防护提供扫描选项,您可以在扫描时决定是否要包括或排除特定EC2实例和容器工作负载。它还提供了一个选项,可以在您的 GuardDuty 账户中保留挂载到EC2实例或容器工作负载的EBS卷的快照。只有在发现恶意软件并生成恶意软件防护调查发现时,才会保留快照。
修复
要为启用 GuardDuty 恶意软件防护EC2,请参阅 Amazon GuardDuty 用户指南中的配置 GuardDuty启动的恶意软件扫描。
[GuardDuty.9] 应启用 GuardDuty RDS保护
相关要求:PCIDSSv4.0.1/11.5.1
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
Amazon Config 规则:guardduty-rds-protection-enabled
计划类型:定期
参数:无
此控件检查 GuardDuty RDS保护是否已启用。对于独立账户,如果账户中禁用了 GuardDuty RDS保护,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用RDS保护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用RDS保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有未启用 GuardDuty RDS保护的已暂停成员帐户,则此控件会生成FAILED
调查结果。要获得PASSED
调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
RDS在 GuardDuty 分析和分析RDS登录活动中保护您的亚马逊 Aurora 数据库(Aurora 我的SQL兼容版和 Aurora Postgre SQL-兼容版)的潜在访问威胁。此功能允许您识别潜在的可疑登录行为。 RDS保护不需要额外的基础架构;其设计目的在于不影响数据库实例的性能。当 P RDS rotection 检测到表明您的数据库存在威胁的潜在可疑或异常登录尝试时, GuardDuty 会生成新的调查结果,其中包含有关可能受感染的数据库的详细信息。
修复
要启用 GuardDuty RDS保护,请参阅 Amazon GuardDuty 用户指南中的GuardDuty RDS保护。
[GuardDuty.10] 应启用 GuardDuty S3 保护
相关要求:PCIDSSv4.0.1/11.5.1
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
Amazon Config 规则:guardduty-s3-protection-enabled
计划类型:定期
参数:无
此控件检查 GuardDuty S3 保护是否已启用。对于独立账户,如果在账户中禁用 GuardDuty S3 保护,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用 S3 保护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 S3 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委派的 GuardDuty 管理员有未启用 GuardDuty S3 保护的已暂停成员账户,则此控件会生成FAILED
调查结果。要获得PASSED
调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
S3 Protection 允许 GuardDuty 监控对象级API操作,以识别您的亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险。 GuardDuty 通过分析 Amazon CloudTrail 管理事件和 S3 数据事件来监控针对您CloudTrail 的 S3 资源的威胁。
修复
要启用 GuardDuty S3 保护,请参阅亚马逊 GuardDuty 用户指南 GuardDuty中的亚马逊 S3 保护。