Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

适用于 Amazon GuardDuty 的 Security Hub 控件

这些 Amazon Security Hub CSPM 控件可评估 Amazon GuardDuty 服务和资源。这些控件可能并非在所有 Amazon Web Services 区域都可用。有关更多信息，请参阅 按地区划分的控件可用性。

[GuardDuty.1] 应启用 GuardDuty

相关要求： NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 RA-3(4)、NIST.800-53.r5 SA-11(1)、NIST.800-53.r5 SA-11(6)、NIST.800-53.r5 SA-15(2)、NIST.800-53.r5 SA-15(8)、NIST.800-53.r5 SA-8(19)、NIST.800-53.r5 SA-8(21)、NIST.800-53.r5 SA-8(25)、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-5(1)、NIST.800-53.r5 SC-5(3)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(1)、NIST.800-53.r5 SI-4(13)、NIST.800-53.r5 SI-4(2)、NIST.800-53.r5 SI-4(22)、NIST.800-53.r5 SI-4(25)、NIST.800-53.r5 SI-4(4)、NIST.800-53.r5 SI-4(5)、NIST.800-171.r2 3.4.2、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/11.4、PCI DSS v4.0.1/11.5.1

类别：检测 > 检测服务

严重性：高

资源类型：AWS::::Account

Amazon Config 规则： guardduty-enabled-centralized

计划类型：定期

参数：无

此控件检查 GuardDuty 账户和区域中是否启用了 Amazon GuardDuty。

强烈建议您在所有受支持的 Amazon 区域中启用 GuardDuty。这样做可以让 GuardDuty 生成有关未经授权或异常活动的调查发现，即使在您不经常使用的区域也是如此。这还允许 GuardDuty 监控全局 Amazon Web Services 服务 的 CloudTrail 事件，例如 IAM。

修复

要启用 GuardDuty，请参阅《Amazon GuardDuty User Guide》中的 Getting started with GuardDuty。

[GuardDuty.2] 应标记 GuardDuty 筛选条件

类别：识别 > 清单 > 标记

严重性：低

资源类型：Amazon::GuardDuty::Filter

Amazon Config规则：tagged-guardduty-filter（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件可检查 Amazon GuardDuty 筛选条件是否具有带特定键的标签，这些键在 requiredTagKeys 参数中进行定义。如果筛选条件没有任何标签键或者未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果筛选条件未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标记，由一个键和一个可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC？。

修复

要向 GuardDuty 筛选条件添加标签，请参阅《Amazon GuardDuty API Reference》中的 TagResource。

[GuardDuty.3] 应标记 GuardDuty IPset

类别：识别 > 清单 > 标记

严重性：低

资源类型：Amazon::GuardDuty::IPSet

Amazon Config规则：tagged-guardduty-ipset（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件可检查 Amazon GuardDuty IPset 是否具有带特定键的标签，这些键在 requiredTagKeys 参数中进行。如果 IPSet 没有任何标签键或未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果 IPSet 未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标记，由一个键和一个可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC？。

修复

要向 GuardDuty IPset 添加标签，请参阅《Amazon GuardDuty API Reference》中的 TagResource。

[GuardDuty.4] 应标记 GuardDuty 检测器

类别：识别 > 清单 > 标记

严重性：低

资源类型：Amazon::GuardDuty::Detector

Amazon Config规则：tagged-guardduty-detector（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件可检查 Amazon GuardDuty 检测器是否具有带特定键的标签，这些键在 requiredTagKeys 参数中进行定义。如果检测器没有任何标签键或者未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果检测器未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标记，由一个键和一个可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 IAM 用户指南中的什么是适用于 Amazon 的 ABAC？。

修复

要向 GuardDuty 检测器添加标签，请参阅《Amazon GuardDuty API Reference》中的 TagResource。

[GuardDuty.5] 应启用 GuardDuty EKS 审计日志监控

类别：检测 > 检测服务

严重性：高

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-eks-protection-audit-enabled

计划类型：定期

参数：无

此控件可检查是否已启用 GuardDuty EKS 审计日志监控。对于独立账户，如果在账户中禁用了 GuardDuty EKS 审计日志监控，则此控件将失败。在多账户环境中，如果 GuardDuty 委托管理员账户和所有成员账户均未启用 EKS 审计日志监控，则此控件将失败。

在多账户环境中，此控件仅在 GuardDuty 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 EKS 审计日志监控功能。GuardDuty 成员账户无法通过其账户修改此配置。如果 GuardDuty 委托管理员有一个未启用 GuardDuty EKS 审计日志监控的已暂停成员账户，则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现，委托管理员必须在 GuardDuty 中取消关联这些已暂停的账户。

GuardDuty EKS 审计日志监控可帮助检测 Amazon Elastic Kubernetes Service（Amazon EKS）集群中潜在的可疑活动。EKS 审计日志监控使用 Kubernetes 审计日志来捕获来自用户、使用 Kubernetes API 的应用程序和控制面板的按时间顺序排列的活动。

修复

要启用 GuardDuty EKS 审计日志监控，请参阅《Amazon GuardDuty User Guide》中的 EKS Audit Log Monitoring。

[GuardDuty.6] 应启用 GuardDuty Lambda 保护

相关要求： PCI DSS v4.0.1/11.5.1

类别：检测 > 检测服务

严重性：高

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-lambda-protection-enabled

计划类型：定期

参数：无

此控件可检查是否已启用 GuardDuty Lambda 保护。对于独立账户，如果在账户中禁用 GuardDuty Lambda 保护，则此控件将失败。在多账户环境中，如果 GuardDuty 委托管理员账户和所有成员账户均未启用 Lambda 保护，则此控件将失败。

在多账户环境中，此控件仅在 GuardDuty 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 Lambda 保护功能。GuardDuty 成员账户无法通过其账户修改此配置。如果 GuardDuty 委托管理员有一个未启用 GuardDuty Lambda 保护的已暂停成员账户，则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现，委托管理员必须在 GuardDuty 中取消关联这些已暂停的账户。

当调用 Amazon Lambda 函数时，GuardDuty Lambda 保护可帮助您识别潜在的安全威胁。启用 Lambda 保护后，GuardDuty 将开始监控与您 Amazon Web Services 账户中的 Lambda 函数关联的 Lambda 网络活动日志。调用 Lambda 函数且 GuardDuty 识别出可疑网络流量（表明您的 Lambda 函数中存在潜在的恶意代码段）时，GuardDuty 将生成调查发现。

修复

要启用 GuardDuty Lambda 保护，请参阅《Amazon GuardDuty User Guide》中的 Configuring Lambda Protection。

[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控

相关要求： PCI DSS v4.0.1/11.5.1

类别：检测 > 检测服务

严重性：中

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-eks-protection-runtime-enabled

计划类型：定期

参数：无

此控件可检查是否启用了具备自动代理管理的 GuardDuty EKS 运行时监控。对于独立账户，如果在账户中禁用了具备自动代理管理的 GuardDuty EKS 运行时监控，则此控件将失败。在多账户环境中，如果 GuardDuty 委托管理员账户和所有成员账户均没有启用具备自动代理管理的 EKS 运行时监控，则此控件将失败。

在多账户环境中，此控件仅在 GuardDuty 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用具备自动代理管理的 EKS 运行时监控功能。GuardDuty 成员账户无法通过其账户修改此配置。如果 GuardDuty 委托管理员有一个未启用 GuardDuty EKS 运行时监控的已暂停成员账户，则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现，委托管理员必须在 GuardDuty 中取消关联这些已暂停的账户。

Amazon GuardDuty 中的 EKS 保护提供威胁检测覆盖范围，以帮助您保护 Amazon 环境中的 Amazon EKS 集群。EKS 运行时监控使用操作系统级事件来帮助您检测 EKS 集群内的 EKS 节点和容器中的潜在威胁。

修复

要启用具备自动代理管理的 EKS 运行时监控，请参阅《Amazon GuardDuty User Guide》中的 Enabling GuardDuty Runtime Monitoring。

[GuardDuty.8] 应启用适用于 EC2 的 GuardDuty 恶意软件防护

类别：检测 > 检测服务

严重性：高

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-malware-protection-enabled

计划类型：定期

参数：无

此控件可检查是否已启用 GuardDuty 恶意软件防护。对于独立账户，如果账户中禁用了 GuardDuty 恶意软件防护，则此控件将失败。在多账户环境中，如果 GuardDuty 委托管理员账户和所有成员账户均未启用恶意软件防护，则此控件将失败。

在多账户环境中，此控件仅在 GuardDuty 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员帐户启用或禁用恶意软件防护功能。GuardDuty 成员账户无法通过其账户修改此配置。如果 GuardDuty 委托管理员有一个未启用 GuardDuty 恶意软件防护的已暂停成员账户，则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现，委托管理员必须在 GuardDuty 中取消关联这些已暂停的账户。

通过扫描附加到 Amazon Elastic Compute Cloud（Amazon EC2）实例和容器工作负载的 Amazon Elastic Block Store（Amazon EBS）卷，适用于 EC2 的 GuardDuty 恶意软件防护可帮助检测潜在的恶意软件。恶意软件防护提供扫描选项，您可以在扫描时决定要包含还是排除特定的 EC2 实例和容器工作负载。恶意软件防护还提供可在您的 GuardDuty 账户中保留 EBS 卷快照的选项，该卷附加在 EC2 实例或容器工作负载中。只有在发现恶意软件并生成恶意软件防护调查发现时，才会保留快照。

修复

要启用适用于 EC2 的 GuardDuty 恶意软件防护，请参阅《Amazon GuardDuty User Guide》中的 Configuring GuardDuty-initiated malware scan。

[GuardDuty.9] 应启用 GuardDuty RDS 保护

相关要求： PCI DSS v4.0.1/11.5.1

类别：检测 > 检测服务

严重性：高

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-rds-protection-enabled

计划类型：定期

参数：无

此控件可检查是否已启用 GuardDuty RDS 保护。对于独立账户，如果在账户中禁用了 GuardDuty RDS 保护，则此控件将失败。在多账户环境中，如果 GuardDuty 委托管理员账户和所有成员账户均未启用 RDS 保护，则此控件将失败。

在多账户环境中，此控件仅在 GuardDuty 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 RDS 保护功能。GuardDuty 成员账户无法通过其账户修改此配置。如果 GuardDuty 委托管理员有一个未启用 GuardDuty RDS 保护的已暂停成员账户，则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现，委托管理员必须在 GuardDuty 中取消关联这些已暂停的账户。

GuardDuty 中的 RDS 保护会分析和剖析 RDS 登录活动，了解您的 Amazon Aurora 数据库（兼容 Aurora MySQL 的版本和兼容 Aurora PostgreSQL 的版本）是否存在潜在的访问威胁。此功能允许您识别潜在的可疑登录行为。RDS 保护不需要额外的基础设施，其设计初衷即是为了不影响数据库实例的性能。当 RDS 保护检测到表示您的数据库中存在威胁的潜在可疑或异常登录尝试时，GuardDuty 会生成新的调查发现，其中包含有关可能被盗用的数据库的详细信息。

修复

要启用 GuardDuty RDS 保护，请参阅《Amazon GuardDuty User Guide》中的 GuardDuty RDS Protection。

[GuardDuty.10] 应启用 GuardDuty S3 保护

相关要求： PCI DSS v4.0.1/11.5.1

类别：检测 > 检测服务

严重性：高

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-s3-protection-enabled

计划类型：定期

参数：无

此控件可检查是否已启用 GuardDuty S3 保护。对于独立账户，如果在账户中禁用了 GuardDuty S3 保护，则此控件将失败。在多账户环境中，如果 GuardDuty 委托管理员账户和所有成员账户均未启用 S3 保护，则此控件将失败。

在多账户环境中，此控件仅在 GuardDuty 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 S3 保护功能。GuardDuty 成员账户无法通过其账户修改此配置。如果 GuardDuty 委托管理员有一个未启用 GuardDuty S3 保护的已暂停成员账户，则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现，委托管理员必须在 GuardDuty 中取消关联这些已暂停的账户。

S3 防护使 GuardDuty 能够监控对象级 API 操作，以识别 Amazon Simple Storage Service（Amazon S3）存储桶中数据的潜在安全风险。GuardDuty 通过分析 Amazon CloudTrail 管理事件和 CloudTrail S3 数据事件来监控针对 S3 资源的威胁。

修复

要启用 GuardDuty S3 保护，请参阅《Amazon GuardDuty User Guide》中的 Amazon S3 Protection in Amazon GuardDuty。

[GuardDuty.11] 应启用 GuardDuty 运行时监控

类别：检测 > 检测服务

严重性：高

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-runtime-monitoring-enabled

计划类型：定期

参数：无

此控件检查 Amazon GuardDuty 中是否启用了运行时监控。对于独立账户，如果账户禁用了 GuardDuty 运行时监控，则此控件会失败。在多账户环境中，如果对 GuardDuty 委派管理员账户和所有成员账户禁用 GuardDuty 运行时监控，则该控件会失败。

在多账户环境中，只有 GuardDuty 委派管理员才能为其组织中的账户启用或禁用 GuardDuty 运行时监控。此外，只有 GuardDuty 管理员才能配置和管理 GuardDuty 用于对组织中账户的 Amazon 工作负载和资源进行运行时监控的安全代理。GuardDuty 成员帐户无法为其自己的账户启用、配置或禁用运行时监控。

GuardDuty 运行时监控可观察和分析操作系统级别事件、联网事件和文件事件，以帮助检测环境中特定 Amazon 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加对运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接等。您可以为要监控潜在威胁的每种资源类型（例如 Amazon EKS 集群和 Amazon EC2 实例）启用和管理安全代理。

修复

有关配置和启用 GuardDuty 运行时监控的信息，请参阅《Amazon GuardDuty 用户指南》中的 GuardDuty Runtime Monitoring 和 Enabling GuardDuty Runtime Monitoring。

[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控

类别：检测 > 检测服务

严重性：中

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-ecs-protection-runtime-enabled

计划类型：定期

参数：无

此控件检查是否已启用 Amazon GuardDuty 自动安全代理，以对 Amazon Fargate 上的 Amazon ECS 集群进行运行时监控。对于独立账户，如果账户禁用了安全代理，则该控件会失败。在多账户环境中，如果对 GuardDuty 委派管理员账户和所有成员账户禁用安全代理，则该控件会失败。

在多账户环境中，此控件仅在 GuardDuty 委派管理员账户中生成调查发现。这是因为只有委派的 GuardDuty 管理员才能为其组织中的账户启用或禁用 ECS-Fargate 资源的运行时监控。GuardDuty 成员账户无法为自己的账户执行此操作。此外，如果成员账户的 GuardDuty 被暂停，并且成员账户的 ECS-Fargate 资源运行时监控被禁用，则此控件会生成 FAILED 调查发现。要接收 PASSED 调查发现，GuardDuty 管理员必须使用 GuardDuty 解除被暂停的成员账户与其管理员账户的关联。

GuardDuty 运行时监控可观察和分析操作系统级别事件、联网事件和文件事件，以帮助检测环境中特定 Amazon 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加对运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接等。您可以为要监控潜在威胁的每种资源类型启用和管理安全代理。这包括 Amazon Fargate 上的 Amazon ECS 集群。

修复

要启用和管理用于 ECS-Fargate 资源的 GuardDuty 运行时监控的安全代理，您必须直接使用 GuardDuty。对于 ECS-Fargate 资源，您无法手动启用或管理它。有关启用和管理安全代理的信息，请参阅《Amazon GuardDuty 用户指南》中的 Prerequisites for Amazon Fargate (Amazon ECS only) support 和 Managing the automated security agent for Amazon Fargate (Amazon ECS only)。

[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控

类别：检测 > 检测服务

严重性：中

资源类型：AWS::GuardDuty::Detector

Amazon Config 规则： guardduty-ec2-protection-runtime-enabled

计划类型：定期

参数：无

此控件检查是否已启用 Amazon GuardDuty 自动安全代理，以对 Amazon EC2 实例进行运行时监控。对于独立账户，如果账户禁用了安全代理，则该控件会失败。在多账户环境中，如果对 GuardDuty 委派管理员账户和所有成员账户禁用安全代理，则该控件会失败。

在多账户环境中，此控件仅在 GuardDuty 委派管理员账户中生成调查发现。这是因为只有委派的 GuardDuty 管理员才能为其组织中的账户启用或禁用 Amazon EC2 实例运行时监控。GuardDuty 成员账户无法为自己的账户执行此操作。此外，如果成员账户的 GuardDuty 被暂停，并且成员账户的 EC2 实例运行时监控被禁用，则此控件会生成 FAILED 调查发现。要接收 PASSED 调查发现，GuardDuty 管理员必须使用 GuardDuty 解除被暂停的成员账户与其管理员账户的关联。

GuardDuty 运行时监控可观察和分析操作系统级别事件、联网事件和文件事件，以帮助检测环境中特定 Amazon 工作负载中的潜在威胁。它使用 GuardDuty 安全代理来增加对运行时行为的可见性，例如文件访问、进程执行、命令行参数和网络连接等。您可以为要监控潜在威胁的每种资源类型启用和管理安全代理。这包括 Amazon EC2 实例。

修复

有关配置和管理用于 EC2 实例 GuardDuty 运行时监控的自动化安全代理的信息，请参阅《Amazon GuardDuty 用户指南》中的 Prerequisites for Amazon EC2 instance support 和 Enabling the automated security agent for Amazon EC2 instances。