本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件参考
此控件参考提供了可用 Amazon Security Hub 控件的列表,以及指向有关每个控件的更多信息的链接。概览表按控件 ID 按字母顺序显示控件。此处仅包含 Security Hub 正在使用的控件。已停用的控件不在此列表中。该表提供了每个控件的以下信息:
-
安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的 Amazon Web Services 服务 和资源。无论您的账户中开启还是关闭了整合控制结果 IDs,Security Hub 控制台都会显示安全控制。但是,IDs只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制。如果在您的账户中关闭了合并控制结果,则控制结果中的某些控制措施IDs会因标准而异。有关特定于标准的控制与安全控制IDs的映射IDs,请参阅。整合如何影响控制权IDs和所有权
如果您想为安全控件设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub 偶尔会更新控件标题或描述,但控制IDs保持不变。
控件IDs可能会跳过数字。这些是未来控件的占位符。
-
适用标准——指明控件适用于哪些标准。选择一个控件以查看第三方合规性框架的具体要求。
-
安全控件标题——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub 控制台都会显示安全控件标题。但是,只有在账户中启用了整合的控件调查发现时,Security Hub 的调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定于标准的控制与安全控制IDs的映射IDs,请参阅。整合如何影响控制权IDs和所有权
-
严重性——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub 如何确定控制严重性的信息,请参阅 为控件调查发现分配严重性。
-
计划类型——指明何时评估控件。有关更多信息,请参阅 有关运行安全检查的计划。
-
支持自定义参数-指示控件是否支持一个或多个参数的自定义值。选择一个控件以查看参数的详细信息。有关更多信息,请参阅 了解 Security Hub 中的控制参数。
选择一个控件以查看更多详细信息。控件按服务名称的字母顺序列出。
安全控件 ID | 安全控件标题 | 适用标准 | 严重性 | 支持自定义参数 | 计划类型 |
---|---|---|---|---|---|
Account.1 | 应为以下人员提供安全联系信息 Amazon Web Services 账户 | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | MEDIUM | 定期 | |
Account.2 | Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分 | NISTSP 800-53 Rev. 5 | HIGH | |
定期 |
ACM.1 | 导入和ACM签发的证书应在指定的时间段后续订 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发且定期进行 |
ACM.2 | RSA由管理的证书ACM应使用至少 2,048 位的密钥长度 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | |
变更已触发 |
ACM.3 | ACM应该给证书加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
APIGateway.1 | API应启用网关REST和 WebSocket API执行日志记录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
APIGateway.2 | API应将网关RESTAPI阶段配置为使用SSL证书进行后端身份验证 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
APIGateway.3 | API网关RESTAPI阶段应启用跟 Amazon X-Ray 踪 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
APIGateway.4 | API网关应与 WAF Web 关联 ACL | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
APIGateway.5 | API网关RESTAPI缓存数据应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
APIGateway.8 | API网关路由应指定授权类型 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
APIGateway.9 | 应为 API Gateway V2 阶段配置访问日志 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
AppSync.2 | Amazon AppSync 应该启用字段级日志记录 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | |
变更已触发 |
AppSync.4 | Amazon AppSync APIs应标记 GraphQL | Amazon 资源标签标准 | LOW | 变更已触发 | |
AppSync.5 | Amazon AppSync APIs不应使用密钥对 GraphQL 进行身份验证 API | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
变更已触发 |
雅典娜.2 | 应标记 Athena 数据目录 | Amazon 资源标签标准 | LOW | 变更已触发 | |
雅典娜.3 | 应标记 Athena 工作组 | Amazon 资源标签标准 | LOW | 变更已触发 | |
雅典娜.4 | Athena 工作组应该启用日志记录 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
AutoScaling.1 | 与负载均衡器关联的 Auto Scaling 组应使用运行ELB状况检查 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | LOW | 变更已触发 | |
AutoScaling.2 | Amazon A EC2 uto Scaling 组应覆盖多个可用区域 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
AutoScaling.3 | Auto Scaling 组启动配置应将EC2实例配置为需要实例元数据服务版本 2 (IMDSv2) | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
Autoscaling.5 | 使用 Auto Scaling 群组启动配置启动的亚马逊EC2实例不应具有公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
AutoScaling.6 | 自动扩缩组组应在多个可用区中使用多种实例类型 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
AutoScaling.9 | EC2Auto Scaling 群组应使用EC2启动模板 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
AutoScaling.10 | EC2应标记 Auto Scaling 群组 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Backup.1 | Amazon Backup 恢复点应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
Backup.2 | Amazon Backup 应标记恢复点 | Amazon 资源标签标准 | LOW | 变更已触发 | |
备份。3 | Amazon Backup 应给保管库加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
备份。4 | Amazon Backup 报告计划应加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
备份。5 | Amazon Backup 应标记备份计划 | Amazon 资源标签标准 | LOW | 变更已触发 | |
CloudFormation.2 | CloudFormation 堆栈应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
CloudFront.1 | CloudFront 发行版应该配置一个默认的根对象 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | 变更已触发 | |
CloudFront.3 | CloudFront 发行版在传输过程中应要求加密 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
CloudFront.4 | CloudFront 发行版应配置源站故障转移 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
变更已触发 |
CloudFront.5 | CloudFront 发行版应该启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
CloudFront.6 | CloudFront 发行版应该已WAF启用 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
CloudFront.7 | CloudFront 发行版应使用自定义SSL/TLS证书 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
CloudFront.8 | CloudFront 应使用发行版SNI来处理HTTPS请求 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
变更已触发 |
CloudFront.9 | CloudFront 发行版应加密发往自定义来源的流量 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
CloudFront.10 | CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的SSL协议 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
CloudFront.12 | CloudFront 发行版不应指向不存在的 S3 来源 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
定期 |
CloudFront.13 | CloudFront 发行版应使用源站访问控制 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | |
变更已触发 |
CloudFront.14 | CloudFront 应该给发行版加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
CloudTrail.1 | CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | HIGH | 定期 | |
CloudTrail.2 | CloudTrail 应该启用静态加密 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST | MEDIUM | |
定期 |
CloudTrail.3 | 至少应启用一条 CloudTrail 跟踪 | PCIDSSv3.2.1 | HIGH | 定期 | |
CloudTrail.4 | CloudTrail 应启用日志文件验证 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST | LOW | |
定期 |
CloudTrail.5 | CloudTrail 跟踪应与 Amazon CloudWatch 日志集成 | CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,v PCI DSS 3.2.1,Foundations Benchmark v1.4.0 Amazon Control Tower,SP 800-53 Rev. 5 CIS Amazon NIST | LOW | |
定期 |
CloudTrail.6 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | CRITICAL | |
变更已触发且定期进行 |
CloudTrail.7 | 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.2.0、CIS Amazon 基金会基准测试 v1.4.0 CIS Amazon | LOW | |
定期 |
CloudTrail.9 | CloudTrail 路径应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
CloudWatch.1 | 应具有有关“根”用户使用的日志指标筛选条件和警报 | CIS Amazon 基金会基准 v1.2.0、v PCI DSS 3.2.1、Foundations Benchmark v1.4.0 CIS Amazon | LOW | |
定期 |
CloudWatch.2 | 确保存在针对未经授权的API呼叫的日志指标筛选器和警报 | CIS Amazon 基金会基准测试 v1.2.0 | LOW | |
定期 |
CloudWatch.3 | 确保管理控制台登录时存在日志指标筛选器和警报 MFA | CIS Amazon 基金会基准测试 v1.2.0 | LOW | |
定期 |
CloudWatch.4 | 确保存在针对IAM策略变更的日志指标筛选器和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.5 | 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.6 | 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.7 | 确保存在日志指标筛选器和警报,用于禁用或计划删除已创建的客户 CMKs | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.8 | 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.9 | 确保存在 Amazon Config 配置更改的日志指标筛选器和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.10 | 确保存在关于安全组更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.11 | 确保存在针对网络访问控制列表更改的日志指标筛选器和警报 (NACL) | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.12 | 确保存在关于网络网关更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.13 | 确保存在关于路由表更改的日志指标筛选条件和警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.14 | 确保存在日志指标筛选器和VPC变更警报 | CIS Amazon 基金会基准测试 v1.2.0,CIS Amazon 基金会基准测试 v1.4.0 | LOW | |
定期 |
CloudWatch.15 | CloudWatch 警报应配置指定的操作 | NISTSP 800-53 Rev. 5 | HIGH | |
变更已触发 |
CloudWatch.16 | CloudWatch 日志组应在指定的时间段内保留 | NISTSP 800-53 Rev. 5 | MEDIUM | |
定期 |
CloudWatch.17 | CloudWatch 应启用警报操作 | NISTSP 800-53 Rev. 5 | HIGH | |
变更已触发 |
CodeArtifact.1 | CodeArtifact 存储库应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
CodeBuild.1 | CodeBuild Bitbucket 源存储库URLs不应包含敏感凭据 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | 变更已触发 | |
CodeBuild.2 | CodeBuild 项目环境变量不应包含明文凭证 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
变更已触发 |
CodeBuild.3 | CodeBuild 应对 S3 日志进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
CodeBuild.4 | CodeBuild 项目环境应该有日志配置 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
CodeBuild.7 | CodeBuild 报告组导出应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
Config.1 | Amazon Config 应该启用并使用服务相关角色进行资源记录 | CIS Amazon 基金会基准 v3.0.0、Foundations Benchmark v1.4.0、CIS Amazon Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、SP 800-53 Rev. 5、v3.2.1 NIST PCI DSS | MEDIUM | 定期 | |
DataFirehose.1 | Firehose 传输流应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
DataSync.1 | DataSync 任务应该启用日志记录 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
侦探。1 | 应标记 Detective 行为图 | Amazon 资源标签标准 | LOW | 变更已触发 | |
DMS.1 | Database Migration Service 复制实例不应公开 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
定期 |
DMS.2 | DMS应该给证书加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
DMS.3 | DMS活动订阅应加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
DMS.4 | DMS应标记复制实例 | Amazon 资源标签标准 | LOW | 变更已触发 | |
DMS.5 | DMS应标记复制子网组 | Amazon 资源标签标准 | LOW | 变更已触发 | |
DMS.6 | DMS复制实例应启用自动次要版本升级 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
DMS.7 | DMS目标数据库的复制任务应启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
DMS.8 | DMS源数据库的复制任务应启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
DMS.9 | DMS端点应该使用 SSL | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
DMS.10 | DMSNeptune 数据库的端点应启用授权 IAM | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 变更已触发 | |
DMS.11 | DMSMongoDB 的端点应启用身份验证机制 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 变更已触发 | |
DMS.12 | DMSRedis 的终端节点OSS应该已经TLS启用 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 变更已触发 | |
DocumentDB.1 | Amazon DocumentDB 集群应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
DocumentDB.2 | Amazon DocumentDB 集群应有足够的备份保留期 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
DocumentDB.3 | Amazon DocumentDB 手动集群快照不应公开 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | CRITICAL | |
变更已触发 |
DocumentDB.4 | Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
DocumentDB.5 | Amazon DocumentDB 集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
DynamoDB.1 | DynamoDB 表应根据需求自动扩展容量 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
DynamoDB.2 | DynamoDB 表应该启用恢复功能 point-in-time | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
DynamoDB.3 | DynamoDB 加速器 DAX () 集群应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
DynamoDB.4 | 备份计划中应有 DynamoDB 表 | NISTSP 800-53 Rev. 5 | MEDIUM | |
定期 |
DynamodB.5 | 应标记 DynamoDB 表 | Amazon 资源标签标准 | LOW | 变更已触发 | |
DynamodB.6 | DynamoDB 表应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
DynamodB.7 | DynamoDB 加速器集群应在传输过程中进行加密 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 定期 | |
EC2.1 | EBS快照不应公开恢复 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
定期 |
EC2.2 | VPC默认安全组不应允许入站或出站流量 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST | HIGH | |
变更已触发 |
EC2.3 | 附加的EBS卷应在静态时进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
EC2.4 | 应在指定的时间段后移除已停止的EC2实例 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
EC2.6 | VPC应全部启用流日志 VPCs | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,v3.2.1,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 PCI DSS CIS Amazon NIST | MEDIUM | |
定期 |
EC2.7 | EBS应启用默认加密 | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,Foundations Benchmark v1.4.0,SP 800-53 Rev. 5 CIS Amazon NIST | MEDIUM | |
定期 |
EC2.8 | EC2实例应使用实例元数据服务版本 2 (IMDSv2) | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | HIGH | |
变更已触发 |
EC2.9 | EC2实例不应有公共IPv4地址 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
EC2.10 | EC2应将亚马逊配置为使用为亚马逊EC2服务创建的VPC终端节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
EC2.12 | EC2EIPs应移除未使用的内容 | PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 | LOW | |
变更已触发 |
EC2.13 | 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22 | CIS Amazon Foundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | HIGH | 变更已触发且定期进行 | |
EC2.14 | 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389 | CIS Amazon 基金会基准测试 v1.2.0 | HIGH | 变更已触发且定期进行 | |
EC2.15 | EC2子网不应自动分配公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
EC2.16 | 应删除未使用的网络访问控制列表 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
EC2.17 | EC2实例不应使用多个 ENIs | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
EC2.18 | 安全组应仅允许授权端口不受限制的传入流量 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
EC2.19 | 安全组不应允许无限制地访问高风险端口 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | CRITICAL | 变更已触发且定期进行 | |
EC2.20 | Amazon Site-to-Site VPN连接的两VPN条隧道都应处于开启状态 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
EC2.21 | 网络ACLs不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | MEDIUM | |
变更已触发 |
EC2.22 | 应移除未使用的EC2安全组 | 服务管理标准: Amazon Control Tower | MEDIUM | 定期 | |
EC2.23 | EC2传输网关不应自动接受VPC附件请求 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
变更已触发 |
EC2.24 | EC2不应使用半虚拟化实例类型 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
EC2.25 | EC2启动模板不应将公共分配IPs给网络接口 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
EC2.28 | EBS卷应在备份计划中 | NISTSP 800-53 Rev. 5 | LOW | |
定期 |
EC2.33 | EC2应标记公交网关附件 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.34 | EC2应标记公交网关路由表 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.35 | EC2应标记网络接口 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.36 | EC2应标记客户网关 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.37 | EC2应标记弹性 IP 地址 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.38 | EC2应该给实例加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.39 | EC2应该给互联网网关加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.40 | EC2NAT应该给网关加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.41 | EC2网络ACLs应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.42 | EC2应该对路由表进行标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.43 | EC2应该给安全组加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.44 | EC2应该给子网加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.45 | EC2应为卷加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.46 | VPCs应该给亚马逊贴上标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.47 | 应标记 Amazon VPC 终端节点服务 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.48 | 应标记 Amazon VPC 流日志 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.49 | 应VPC标记 Amazon 对等互连连接 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.50 | EC2VPN应该给网关加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.51 | EC2客户端VPN端点应启用客户端连接日志记录 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
变更已触发 |
EC2.52 | EC2应为中转网关加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EC2.53 | EC2安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口 | CIS Amazon 基金会基准测试 v3.0.0 | HIGH | 定期 | |
EC2.54 | EC2安全组不应允许从:: /0 进入远程服务器管理端口 | CIS Amazon 基金会基准测试 v3.0.0 | HIGH | 定期 | |
ECR.1 | ECR私有存储库应配置图像扫描 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
定期 |
ECR.2 | ECR私有存储库应配置标签不可变性 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ECR.3 | ECR存储库应至少配置一个生命周期策略 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ECR.4 | ECR应标记公共存储库 | Amazon 资源标签标准 | LOW | 变更已触发 | |
ECS.1 | Amazon ECS 任务定义应具有安全联网模式和用户定义。 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
ECS.2 | ECS服务不应自动分配公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
ECS.3 | ECS任务定义不应共享主机的进程命名空间 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
ECS.4 | ECS容器应以非特权身份运行 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
ECS.5 | ECS应将容器限制为对根文件系统的只读访问权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
ECS.8 | 密钥不应作为容器环境变量传递 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
ECS.9 | ECS任务定义应该有日志配置 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
变更已触发 |
ECS.10 | ECSFargate 服务应在最新的 Fargate 平台版本上运行 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ECS.12 | ECS集群应使用容器见解 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ECS.13 | ECS应该给服务加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
ECS.14 | ECS应该给集群加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
ECS.15 | ECS应标记任务定义 | Amazon 资源标签标准 | LOW | 变更已触发 | |
ECS.16 | ECS任务集不应自动分配公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 变更已触发 | |
EFS.1 | 弹性文件系统应配置为使用以下方法加密静态文件数据 Amazon KMS | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | MEDIUM | |
定期 |
EFS.2 | Amazon EFS 卷应包含在备份计划中 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
EFS.3 | EFS接入点应强制使用根目录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
EFS.4 | EFS接入点应强制使用用户身份 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
EFS.5 | EFS应标记接入点 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EFS.6 | EFS装载目标不应与公有子网关联 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 定期 | |
EFS.7 | EFS文件系统应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
EKS.1 | EKS集群终端节点不应公开访问 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
定期 |
EKS.2 | EKS集群应该在支持的 Kubernetes 版本上运行 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
EKS.3 | EKS集群应该使用加密的 Kubernetes 机密 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 定期 | |
EKS.6 | EKS应该给集群加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EKS.7 | EKS应标记身份提供商配置 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EKS.8 | EKS集群应启用审核日志 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
ElastiCache.1 | ElastiCache (RedisOSS) 集群应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
定期 |
ElastiCache.2 | ElastiCache (RedisOSS) 集群应启用自动次要版本升级 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
定期 |
ElastiCache.3 | ElastiCache 复制组应启用自动故障切换 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
ElastiCache.4 | ElastiCache 复制组应为 encrypted-at-rest | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
ElastiCache.5 | ElastiCache 复制组应为 encrypted-in-transit | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
ElastiCache.6 | ElastiCache 早期版本的 (RedisOSS) 复制组应启用 Redis OSS AUTH | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
ElastiCache.7 | ElastiCache 群集不应使用默认子网组 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | |
定期 |
ElasticBeanstalk.1 | Elastic Beanstalk 环境应启用增强型运行状况报告 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
ElasticBeanstalk.2 | 应启用 Elastic Beanstalk 托管平台更新 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
ElasticBeanstalk.3 | Elastic Beanstalk 应该将日志流式传输到 CloudWatch | Amazon 基础安全最佳实践 v1.0.0 | HIGH | |
变更已触发 |
ELB.1 | 应将 Application Load Balancer 配置为将所有HTTP请求重定向到 HTTPS | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | MEDIUM | |
定期 |
ELB.2 | 带SSL/HTTPS监听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.3 | Classic Load Balancer 侦听器应配置为HTTPS或终止 TLS | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.4 | 应将应用程序负载均衡器配置为删除 http 标头 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.5 | 应启用应用程序和经典负载均衡器日志记录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.6 | 应用程序、网关和网络负载均衡器应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | 变更已触发 | |
ELB.7 | 经典负载均衡器应启用连接耗尽功能 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.8 | 带有SSL侦听器的经典负载均衡器应使用具有强配置的预定义安全策略 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.9 | 经典负载均衡器应启用跨区域负载均衡器 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.10 | 经典负载均衡器应跨越多个可用区 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.12 | 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.13 | 应用程序、网络和网关负载均衡器应跨越多个可用区 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.14 | 经典负载均衡器应配置为防御性或最严格的异步缓解模式 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ELB.16 | 应用程序负载均衡器应与 Web 关联 Amazon WAF ACL | NISTSP 800-53 Rev. 5 | MEDIUM | |
变更已触发 |
EMR.1 | Amazon EMR 集群主节点不应有公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
定期 |
EMR.2 | 应启用 Amazon EMR 禁止公开访问设置 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | CRITICAL | |
定期 |
ES.1 | Elasticsearch 域应启用静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | MEDIUM | |
定期 |
ES.2 | Elasticsearch 域名不可供公共访问 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
定期 |
ES.3 | Elasticsearch 域应加密节点之间发送的数据 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ES.4 | 应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ES.5 | Elasticsearch 域名应该启用审核日志 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ES.6 | Elasticsearch 域应拥有至少三个数据节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ES.7 | Elasticsearch 域应配置至少三个专用主节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
ES.8 | 与 Elasticsearch 域的连接应使用最新的TLS安全策略进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | 变更已触发 | |
ES.9 | 应标记 Elasticsearch 域名 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EventBridge.2 | EventBridge 应标记活动总线 | Amazon 资源标签标准 | LOW | 变更已触发 | |
EventBridge.3 | EventBridge 自定义事件总线应附加基于资源的策略 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
变更已触发 |
EventBridge.4 | EventBridge 全局端点应启用事件复制 | NISTSP 800-53 Rev. 5 | MEDIUM | |
变更已触发 |
FSx.1 | FSx对于 O ZFS pen 文件系统,应配置为将标签复制到备份和卷 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
定期 |
FSx.2 | FSx对于 Lustre 文件系统,应配置为将标签复制到备份 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | 定期 | |
胶水。1 | Amazon Glue 应该给工作加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
胶水。2 | Amazon Glue 作业应该启用日志记录 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
胶水。3 | Amazon Glue 机器学习转换应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
GlobalAccelerator.1 | 应标记全球加速器加速器 | Amazon 资源标签标准 | LOW | 变更已触发 | |
GuardDuty.1 | GuardDuty 应该启用 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | HIGH | |
定期 |
GuardDuty.2 | GuardDuty 应该给过滤器加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
GuardDuty.3 | GuardDuty IPSets应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
GuardDuty.4 | GuardDuty 应给探测器加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
GuardDuty.5 | GuardDuty EKS应启用 “审计日志监控” | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
GuardDuty.6 | GuardDuty 应启用 Lambda 保护 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
GuardDuty.7 | GuardDuty EKS应启用 “运行时监控” | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 定期 | |
GuardDuty.8 | GuardDuty EC2应启用恶意软件防护 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
GuardDuty.9 | GuardDuty RDS应启用保护 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
GuardDuty.10 | GuardDuty 应启用 S3 保护 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
IAM.1 | IAM策略不应允许完全的 “*” 管理权限 | CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,v PCI DSS 3.2.1,Foundations Benchmark v1.4.0 Amazon Control Tower,SP 800-53 Rev. 5 CIS Amazon NIST | HIGH | |
变更已触发 |
IAM.2 | IAM用户不应附加IAM策略 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST | LOW | |
变更已触发 |
IAM.3 | IAM用户的访问密钥应每 90 天或更短时间轮换一次 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | MEDIUM | |
定期 |
IAM.4 | IAMroot 用户访问密钥不应存在 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST | CRITICAL | |
定期 |
IAM.5 | MFA应该为所有拥有控制台密码的IAM用户启用 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、Foundations Benchmark v1.2.0、CIS Amazon Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | MEDIUM | |
定期 |
IAM.6 | MFA应为 root 用户启用硬件 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、CIS Amazon Foundations Benchmark v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST | CRITICAL | |
定期 |
IAM.7 | IAM用户的密码策略应具有很强的配置 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
IAM.8 | 应删除未使用的IAM用户凭证 | CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Rev. 5 PCI DSS NIST | MEDIUM | |
定期 |
IAM.9 | MFA应该为 root 用户启用 | CIS Amazon Foundations Benchmark v3.0.0、Found CIS Amazon ations Benchmark v1.4.0、CIS Amazon v3.2.1、SP 800-53 Rev. 5 PCI DSS NIST | CRITICAL | |
定期 |
IAM.10 | IAM用户的密码策略应具有很强的配置 | PCIDSSv3.2.1 | MEDIUM | |
定期 |
IAM.11 | 确保IAM密码策略至少需要一个大写字母 | CIS Amazon 基金会基准测试 v1.2.0 | MEDIUM | |
定期 |
IAM.12 | 确保IAM密码策略至少需要一个小写字母 | CIS Amazon 基金会基准测试 v1.2.0 | MEDIUM | |
定期 |
IAM.13 | 确保IAM密码策略至少需要一个符号 | CIS Amazon 基金会基准测试 v1.2.0 | MEDIUM | |
定期 |
IAM.14 | 确保IAM密码策略至少需要一个数字 | CIS Amazon 基金会基准测试 v1.2.0 | MEDIUM | |
定期 |
IAM.15 | 确保IAM密码策略要求的最小密码长度为 14 或更大 | CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.4.0、CIS Amazon 基金会基准测试 v1.2.0 CIS Amazon | MEDIUM | |
定期 |
IAM.16 | 确保IAM密码策略防止密码重复使用 | CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.4.0、CIS Amazon 基金会基准测试 v1.2.0 CIS Amazon | LOW | |
定期 |
IAM.17 | 确保IAM密码策略在 90 天或更短时间内使密码过期 | CIS Amazon 基金会基准测试 v1.2.0 | LOW | |
定期 |
IAM.18 | 确保已创建支持角色来管理事件 Amazon Web Services Support | CIS Amazon 基金会基准 v3.0.0、基金会基准测试 v1.4.0、CIS Amazon 基金会基准测试 v1.2.0 CIS Amazon | LOW | |
定期 |
IAM.19 | MFA应该为所有IAM用户启用 | PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 | MEDIUM | |
定期 |
IAM.21 | IAM您创建的客户托管策略不应允许对服务执行通配符操作 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
IAM.22 | IAM应删除在 45 天内未使用的用户凭证 | CIS Amazon 基金会基准 v3.0.0,CIS Amazon 基金会基准测试 v1.4.0 | MEDIUM | |
定期 |
IAM.23 | IAM应标记 Access Analyzer 分析器 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IAM.24 | IAM应该给角色加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IAM.25 | IAM应该给用户加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IAM.26 | IAM应移除已过期 SSL /中管理的TLS证书 | CIS Amazon 基金会基准测试 v3.0.0 | MEDIUM | 定期 | |
IAM.27 | IAM身份不应附带 AWSCloudShellFullAccess 政策 | CIS Amazon 基金会基准测试 v3.0.0 | MEDIUM | 变更已触发 | |
IAM.28 | IAM应启用访问分析器外部访问分析器 | CIS Amazon 基金会基准测试 v3.0.0 | HIGH | 定期 | |
检查员 1 | 应启用 Amazon Inspector EC2 扫描 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
检查员 2 | 应启用 Amazon Inspector ECR 扫描 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
检查员 3 | 应启用 Amazon Inspector Lambda 代码扫描 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
检查员。4 | 应启用 Amazon Inspector Lambda 标准扫描 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
IoT.1 | Amazon IoT Device Defender 应标记安全配置文件 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IoT.2 | Amazon IoT Core 应标记缓解措施 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IoT.3 | Amazon IoT Core 应给尺寸加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IoT.4 | Amazon IoT Core 应给授权者加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IoT.5 | Amazon IoT Core 应标记角色别名 | Amazon 资源标签标准 | LOW | 变更已触发 | |
IoT.6 | Amazon IoT Core 策略应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Kinesis.1 | Kinesis 直播应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Kinesis.2 | 应标记 Kinesis 直播内容 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Kinesis.3 | Kinesis 直播应有足够的数据保留期 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
KMS.1 | IAM客户托管策略不应允许对所有密钥执行解密操作 KMS | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
KMS.2 | IAM委托人不应有允许对所有密钥进行解密操作的IAM内联策略 KMS | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
KMS.3 | Amazon KMS keys 不应无意中删除 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | CRITICAL | |
变更已触发 |
KMS.4 | Amazon KMS key 应该启用旋转 | CIS Amazon Foundations Benchmark v3.0.0、Found CIS Amazon ations Benchmark v1.4.0、CIS Amazon v3.2.1、SP 800-53 Rev. 5 PCI DSS NIST | MEDIUM | |
定期 |
Lambda.1 | Lambda 函数策略应禁止公共访问 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
变更已触发 |
Lambda.2 | Lambda 函数应使用受支持的运行时系统 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Lambda.3 | Lambda 函数应该在 VPC | PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 | LOW | |
变更已触发 |
Lambda.5 | VPCLambda 函数应在多个可用区中运行 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Lambda.6 | 应标记 Lambda 函数 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Macie.1 | 应该启用 Amazon Macie | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
Macie.2 | 应启用 Macie 自动发现敏感数据 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | 定期 | |
MSK.1 | MSK集群应在代理节点之间传输时进行加密 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
MSK.2 | MSK群集应配置增强监控 | NISTSP 800-53 Rev. 5 | LOW | |
变更已触发 |
MSK.3 | MSKConnect 连接器在传输过程中应进行加密 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
MQ.2 | ActiveMQ 代理应将审核日志流式传输到 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 变更已触发 | |
MQ.3 | 亚马逊 MQ 代理应启用自动次要版本升级 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | 变更已触发 | |
MQ.4 | 应给亚马逊 MQ 经纪人贴上标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
MQ.5 | ActiveMQ 代理应使用主动/备用部署模式 | NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | LOW | |
变更已触发 |
MQ.6 | RabbitMQ 代理应该使用集群部署模式 | NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | LOW | |
变更已触发 |
Neptune.1 | 应对 Neptune 数据库集群进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
Neptune.2 | Neptune 数据库集群应将审核日志发布到日志 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
Neptune.3 | Neptune 数据库集群快照不应公开 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | CRITICAL | |
变更已触发 |
Neptune.4 | Neptune 数据库集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | LOW | |
变更已触发 |
Neptune.5 | Neptune 数据库集群应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
Neptune.6 | 应对 Neptune 数据库集群快照进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
Neptune.7 | Neptune 数据库集群应启用IAM数据库身份验证 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
Neptune.8 | 应将 Neptune 数据库集群配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | LOW | |
变更已触发 |
Neptune.9 | Neptune 数据库集群应部署在多个可用区中 | NISTSP 800-53 Rev. 5 | MEDIUM | |
变更已触发 |
NetworkFirewall.1 | Network Firewall 防火墙应跨多个可用区部署 | NISTSP 800-53 Rev. 5 | MEDIUM | |
变更已触发 |
NetworkFirewall.2 | 应启用 Network Firewall 日志记录 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
NetworkFirewall.3 | Network Firewall 策略应至少关联一个规则组 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
NetworkFirewall.4 | Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
NetworkFirewall.5 | Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
NetworkFirewall.6 | 无状态网络防火墙规则组不应为空 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
NetworkFirewall.7 | 应标记 Network Firewall 防火墙 | Amazon 资源标签标准 | LOW | 变更已触发 | |
NetworkFirewall.8 | 应标记 Network Firewall 防火墙策略 | Amazon 资源标签标准 | LOW | 变更已触发 | |
NetworkFirewall.9 | Network Firewall 防火墙应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
Opensearch.1 | OpenSearch 域应启用静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | MEDIUM | |
变更已触发 |
Opensearch.2 | OpenSearch 域名不应可供公众访问 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
变更已触发 |
Opensearch.3 | OpenSearch 域应加密节点之间发送的数据 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Opensearch.4 | OpenSearch 应该启用记录到 CloudWatch 日志的域错误 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Opensearch.5 | OpenSearch 域应启用审核日志 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Opensearch.6 | OpenSearch 域应至少有三个数据节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Opensearch.7 | OpenSearch 域名应启用细粒度访问控制 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
Opensearch.8 | 应使用最新的TLS安全策略对与 OpenSearch 域的连接进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | 变更已触发 | |
OpenSearch.9 | OpenSearch 域名应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Opensearch.10 | OpenSearch 域名应安装最新的软件更新 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
变更已触发 |
打开搜索。11 | OpenSearch 域应至少有三个专用的主节点 | NISTSP 800-53 Rev. 5 | MEDIUM | 定期 | |
PCA.1 | Amazon Private CA 应禁用根证书颁发机构 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
定期 |
RDS.1 | RDS快照应该是私有的 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
变更已触发 |
RDS.2 | RDS数据库实例应禁止公共访问,具体取决于 PubliclyAccessible 配置 | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST | CRITICAL | |
变更已触发 |
RDS.3 | RDS数据库实例应启用静态加密 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | MEDIUM | |
变更已触发 |
RDS.4 | RDS集群快照和数据库快照应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
RDS.5 | RDS数据库实例应配置多个可用区 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
RDS.6 | 应为RDS数据库实例配置增强监控 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.7 | RDS群集应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
变更已触发 |
RDS.8 | RDS数据库实例应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.9 | RDS数据库实例应将日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
RDS.10 | IAM应该为RDS实例配置身份验证 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
RDS.11 | RDS实例应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
RDS.12 | IAM应为RDS集群配置身份验证 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
RDS.13 | RDS应启用自动次要版本升级 | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | HIGH | |
变更已触发 |
RDS.14 | Amazon Aurora 集群应启用回溯功能 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
RDS.15 | RDS应为多个可用区配置数据库集群 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
RDS.16 | RDS应将数据库集群配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | LOW | |
变更已触发 |
RDS.17 | RDS应将数据库实例配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.18 | RDS实例应部署在 VPC | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
RDS.19 | 应为关键群集RDS事件配置现有的事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.20 | 应为关键数据库实例RDS事件配置现有的事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.21 | 应为RDS关键数据库参数组事件配置事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.22 | 应为RDS关键的数据库安全组事件配置事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.23 | RDS实例不应使用数据库引擎的默认端口 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | |
变更已触发 |
RDS.24 | RDS数据库集群应使用自定义的管理员用户名 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
RDS.25 | RDS数据库实例应使用自定义的管理员用户名 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
RDS.26 | RDS数据库实例应受备份计划的保护 | NISTSP 800-53 Rev. 5 | MEDIUM | |
定期 |
RDS.27 | RDS数据库集群应在静态时加密 | Amazon 基础安全最佳实践 v1.0.0,NISTSP 800-53 修订版 5,服务管理标准: Amazon Control Tower | MEDIUM | |
变更已触发 |
RDS.28 | RDS应为数据库集群加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
RDS.29 | RDS应标记数据库集群快照 | Amazon 资源标签标准 | LOW | 变更已触发 | |
RDS.30 | RDS应为数据库实例加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
RDS.31 | RDS应标记数据库安全组 | Amazon 资源标签标准 | LOW | 变更已触发 | |
RDS.32 | RDS应标记数据库快照 | Amazon 资源标签标准 | LOW | 变更已触发 | |
RDS.33 | RDS应标记数据库子网组 | Amazon 资源标签标准 | LOW | 变更已触发 | |
RDS.34 | Aurora 我的SQL数据库集群应该将审核日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
RDS.35 | RDS数据库集群应启用自动次要版本升级 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
RDS.36 | RDS对于 Postgre SQL 数据库实例,应将日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
RDS.37 | Aurora Postgre SQL 数据库集群应将日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
Redshift.1 | Amazon Redshift 集群应禁止公共访问 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | |
变更已触发 |
Redshift.2 | 与 Amazon Redshift 集群的连接应在传输过程中加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Redshift.3 | Amazon Redshift 集群应启用自动快照 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
Redshift.4 | Amazon Redshift 集群应启用审核日志记录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Redshift.6 | Amazon Redshift 应该启用自动升级到主要版本的功能 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Redshift.7 | Redshift 集群应使用增强型路由 VPC | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Redshift.8 | Amazon Redshift 集群不应使用默认管理员用户名 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Redshift.9 | Redshift 集群不应使用默认数据库名称 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Redshift.10 | Redshift 集群应静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
Redshift.11 | 应该标记 Redshift 集群 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Redshift.12 | 应标记 Redshift 事件订阅通知 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Redshift.13 | 应标记 Redshift 集群快照 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Redshift.14 | 应标记 Redshift 集群子网组 | Amazon 资源标签标准 | LOW | 变更已触发 | |
redshift.15 | Redshift 安全组应仅允许从受限来源进入集群端口 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 定期 | |
53.1 号公路 | 应标记 Route 53 运行状况检查 | Amazon 资源标签标准 | LOW | 变更已触发 | |
Route53.2 | Route 53 公共托管区域应记录DNS查询 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
S3.1 | S3 通用存储桶应启用阻止公共访问设置 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST | MEDIUM | 定期 | |
S3.2 | S3 通用存储桶应阻止公共读取权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | 变更已触发且定期进行 | |
S3.3 | S3 通用存储桶应阻止公共写入权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | CRITICAL | 变更已触发且定期进行 | |
S3.5 | S3 通用存储桶应要求请求才能使用 SSL | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,v3.2.1,SP 800-53 Rev. 5 Amazon Control Tower PCI DSS NIST | MEDIUM | 变更已触发 | |
S3.6 | S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | 变更已触发 | |
S3.7 | S3 通用存储桶应使用跨区域复制 | PCIDSSv3.2.1,NISTSP 800-53 Rev. 5 | LOW | 变更已触发 | |
S3.8 | S3 通用存储桶应阻止公共访问 | CIS Amazon Foundations Benchmark v3.0.0、CIS Amazon Foundations Benchmark v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,SP 800-53 Rev. 5 Amazon Control Tower NIST | HIGH | 变更已触发 | |
S3.9 | S3 通用存储桶应启用服务器访问日志记录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | 变更已触发 | |
S3.10 | 启用版本控制的 S3 通用存储桶应具有生命周期配置 | NISTSP 800-53 Rev. 5 | MEDIUM | 变更已触发 | |
S3.11 | S3 通用存储桶应启用事件通知 | NISTSP 800-53 Rev. 5 | MEDIUM | 变更已触发 | |
S3.12 | ACLs不应用于管理用户对 S3 通用存储桶的访问权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | 变更已触发 | |
S3.13 | S3 通用存储桶应具有生命周期配置 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | LOW | 变更已触发 | |
S3.14 | S3 通用存储桶应启用版本控制 | NISTSP 800-53 Rev. 5 | LOW | 变更已触发 | |
S3.15 | S3 通用存储桶应启用对象锁定 | NISTSP 800-53 Rev. 5 | MEDIUM | 变更已触发 | |
S3.17 | S3 通用存储桶应使用静态加密 Amazon KMS keys | 服务管理标准: Amazon Control Tower,NISTSP 800-53 修订版 5 | MEDIUM | 变更已触发 | |
S3.19 | S3 接入点应启用屏蔽公共访问权限设置 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | CRITICAL | 变更已触发 | |
S3.20 | S3 通用存储桶应启用MFA删除功能 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、SP 800-53 修订版 5 NIST | LOW | 变更已触发 | |
S3.22 | S3 通用存储桶应记录对象级写入事件 | CIS Amazon 基金会基准测试 v3.0.0 | MEDIUM | 定期 | |
S3.23 | S3 通用存储桶应记录对象级读取事件 | CIS Amazon 基金会基准测试 v3.0.0 | MEDIUM | 定期 | |
S3.24 | S3 多区域接入点应启用屏蔽公共访问设置 | Amazon 基础安全最佳实践 v1.0.0 | HIGH | 变更已触发 | |
SageMaker.1 | Amazon SageMaker 笔记本实例不应直接访问互联网 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | HIGH | |
定期 |
SageMaker.2 | SageMaker 笔记本实例应以自定义方式启动 VPC | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
SageMaker.3 | 用户不应拥有 SageMaker 笔记本实例的 root 访问权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | HIGH | |
变更已触发 |
SageMaker.4 | SageMaker 端点生产变体的初始实例数应大于 1 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 定期 | |
SecretsManager.1 | Secrets Manager 密钥应启用自动轮换 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
SecretsManager.2 | 配置自动轮换的 Secrets Manager 密钥应成功轮换 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
SecretsManager.3 | 移除未使用 Secrets Manager 密钥 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
SecretsManager.4 | Secrets Manager 密钥应在指定的天数内轮换 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
定期 |
SecretsManager.5 | 应标记 Secrets Manager 的机密 | Amazon 资源标签标准 | LOW | 变更已触发 | |
ServiceCatalog.1 | Service Catalog 产品组合只能在 Amazon 组织内部共享 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | HIGH | 定期 | |
SES.1 | SES应给联系人列表加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
SES.2 | SES应标记配置集 | Amazon 资源标签标准 | LOW | 变更已触发 | |
SNS.1 | SNS应使用以下方法对主题进行静态加密 Amazon KMS | NISTSP 800-53 Rev. 5 | MEDIUM | 变更已触发 | |
SNS.3 | SNS话题应该加标签 | Amazon 资源标签标准 | LOW | 变更已触发 | |
SQS.1 | Amazon SQS 队列应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
SQS.2 | SQS队列应该被标记 | Amazon 资源标签标准 | LOW | 变更已触发 | |
SSM.1 | EC2实例应由以下人员管理 Amazon Systems Manager | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | MEDIUM | |
变更已触发 |
SSM.2 | EC2安装补丁COMPLIANT后,由 Systems Manager 管理的实例的补丁合规性状态应为 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | HIGH | |
变更已触发 |
SSM.3 | EC2由 Systems Manager 管理的实例的关联合规状态应为 COMPLIANT | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,v3.2.1,SP 800-53 Re PCI DSS v. 5 NIST | LOW | |
变更已触发 |
SSM.4 | SSM文件不应公开 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | CRITICAL | |
定期 |
StepFunctions.1 | Step Functions 状态机应该开启日志功能 | Amazon 基础安全最佳实践 | MEDIUM | |
变更已触发 |
StepFunctions.2 | 应标记 Step Functions 活动 | Amazon 资源标签标准 | LOW | 变更已触发 | |
转账。1 | 应标记 Transfer Family 工作流程 | Amazon 资源标签标准 | LOW | 变更已触发 | |
转账。2 | Transfer Family 服务器不应使用FTP协议进行端点连接 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | 定期 | |
WAF.1 | Amazon WAF 应启用经典全局 Web ACL 日志记录 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
定期 |
WAF.2 | Amazon WAF 经典区域规则应至少有一个条件 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
WAF.3 | Amazon WAF 经典区域规则组应至少有一条规则 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
WAF.4 | Amazon WAF 经典区域网站ACLs应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
WAF.6 | Amazon WAF 经典全局规则应至少有一个条件 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
WAF.7 | Amazon WAF 经典全局规则组应至少有一条规则 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
WAF.8 | Amazon WAF 经典全球网站ACLs应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
WAF.10 | Amazon WAF Web ACLs 应该至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,SP 800-53 Rev. 5 NIST | MEDIUM | |
变更已触发 |
WAF.11 | Amazon WAF 应启用 Web ACL 日志记录 | NISTSP 800-53 Rev. 5 | LOW | |
定期 |
WAF.12 | Amazon WAF 规则应启用 CloudWatch 指标 | Amazon 基础安全最佳实践 v1.0.0,SP 800-53 修订版 5 NIST | MEDIUM | |
变更已触发 |
WorkSpaces.1 | WorkSpaces 用户卷应在静态时加密 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 | |
WorkSpaces.2 | WorkSpaces 根卷应在静态时加密 | Amazon 基础安全最佳实践 v1.0.0 | MEDIUM | 变更已触发 |
主题
- Security Hub 控件适用于 Amazon Web Services 账户
- API网关的 Security Hub 控件
- Security Hub 控件适用于 Amazon AppSync
- Athena 的 Security Hub 控件
- Security Hub 控件适用于 Amazon Backup
- Security Hub 控件适用于 ACM
- Security Hub 控件适用于 Amazon CloudFormation
- Security Hub 控件适用于 CloudFront
- Security Hub 控件适用于 CloudTrail
- Security Hub 控件适用于 CloudWatch
- Security Hub 控件适用于 CodeArtifact
- Security Hub 控件适用于 CodeBuild
- Security Hub 控件适用于 Amazon Config
- Amazon Data Firehose 的 Security Hub 控件
- Security Hub 控件适用于 DataSync
- Detective 的 Security Hub 控件
- Security Hub 控件适用于 Amazon DMS
- 亚马逊 DocumentDB 的 Security Hub 控件
- DynamoDB 的 Security Hub 控件
- 适用于亚马逊的 Security Hub 控件 EC2
- 适用于 Auto Scaling 的 Security Hub 控件
- 适用于亚马逊的 Security Hub 控件 ECR
- 适用于亚马逊的 Security Hub 控件 ECS
- 适用于亚马逊的 Security Hub 控件 EFS
- 适用于亚马逊的 Security Hub 控件 EKS
- Security Hub 控件适用于 ElastiCache
- Elastic Beanstalk 的 Security Hub 控件
- Elastic Load Balancing 的安全中心控件
- 适用于弹性搜索的 Security Hub
- 适用于亚马逊的 Security Hub 控件 EMR
- Security Hub 控件适用于 EventBridge
- 适用于亚马逊的 Security Hub 控件 FSx
- 全球加速器的 Security Hub 控件
- Security Hub 控件适用于 Amazon Glue
- Security Hub 控件适用于 GuardDuty
- Security Hub 控件适用于 IAM
- 亚马逊 Inspector 的 Security Hub 控件
- Security Hub 控件适用于 Amazon IoT
- Kinesis 的 Security Hub 控件
- Security Hub 控件适用于 Amazon KMS
- Lambda 的 Security Hub 控件
- 适用于 Macie 的 Security Hub 控件
- 适用于亚马逊的 Security Hub 控件 MSK
- 亚马逊 MQ 的 Security Hub 控件
- Neptune 的 Security Hub 控件
- 网络防火墙的 Security Hub 控件
- Security Hub OpenSearch 服务控件
- Security Hub 控件适用于 Amazon Private CA
- 适用于亚马逊的 Security Hub 控件 RDS
- 亚马逊 Redshift 的 Security Hub 控件
- 53 号公路的 Security Hub 控件
- 亚马逊 S3 的 Security Hub 控件
- Security Hub 控件适用于 SageMaker
- Secrets Manager 的 Security Hub 控件
- Service Catalog 的 Security Hub 控件
- 适用于亚马逊的 Security Hub 控件 SES
- 适用于亚马逊的 Security Hub 控件 SNS
- 适用于亚马逊的 Security Hub 控件 SQS
- Step Functions 的 Security Hub 控件
- Systems Manager 的 Security Hub 控件
- Transfer Family 的 Security Hub 控件
- Security Hub 控件适用于 Amazon WAF
- Security Hub 控件适用于 WorkSpaces