Deckungsergebnisse im Security Hub

Anmerkung

Security Hub befindet sich in der Vorschauversion und kann sich ändern.

Die Ergebnisse der Sicherheitsabdeckung für Security Hub geben Aufschluss AWS darüber, welche Sicherheitsfunktionen aktiviert sind und wo es in einem eigenständigen Konto oder in der gesamten AWS Unternehmensumgebung möglicherweise Lücken in der Abdeckung gibt. Durch die Aktivierung zusätzlicher Sicherheitsfunktionen werden die Erkennungsfunktionen von Security Hub verbessert. In den Ergebnissen der Berichterstattung wird bewertet GuardDuty, welche CSPM-Funktionen von Amazon Inspector, Macie und Security Hub für ein Konto aktiviert sind. Diese Ergebnisse werden als Widget auf dem Security Hub-Dashboard angezeigt und bieten die Möglichkeit, detailliertere Ansichten nach bestimmten Sicherheitsfunktionen aufzurufen. Für den delegierten Administrator zeigt dieses Widget die Aufschlüsselung der Abdeckung für alle Security Hub Hub-aktivierten Konten.

Einschränkungen

• Bei Mitgliedskonten werden die Deckungsinformationen für alle verknüpften Konten zusammengefasst AWS-Regionen, jedoch nur für dieses Mitgliedskonto.

• Für Konten, die nicht in Security Hub integriert sind, werden keine Deckungsinformationen angezeigt

• Der Versicherungsschutz gibt nur an, ob ein aktiviert AWS-Service ist, nicht, ob bestimmte Funktionen in einem AWS Dienst aktiviert sind.

Deckungsergebnisse für Security Hub CSPM

In den Ergebnissen der CSPM-Abdeckung von Security Hub wird bewertet, ob in einem Konto ein qualifizierter Sicherheitsstandard zur Posture Management aktiviert ist. Die Aktivierung eines beliebigen Security Hub CSPM-Standards ist zulässig, mit Ausnahme der Standards AWS Control Tower und der Resource Tagging-Standards.

Es kann bis zu 24 Stunden dauern, bis die standardmäßig aktivierten Standards erkannt werden, wenn Security Hub CSPM aktiviert wird.

Ergebnisse der Berichterstattung für GuardDuty

GuardDuty Anhand der Ergebnisse zur Abdeckung GuardDuty wird bewertet, ob und welche GuardDuty Funktionen aktiviert sind in einem AWS-Konto:

• Malware-Schutz für Amazon EC2 — Scannt EC2 Amazon-Instances nach potenzieller Malware

• Amazon EKS Protection — Überwacht Kubernetes-Auditprotokolle auf Bedrohungen in Amazon EKS-Clustern

• Lambda-Schutz — Analysiert Lambda-Funktionsaufrufe im Hinblick auf potenzielle Bedrohungen

• Amazon S3 S3-Schutz — Analysiert Datenereignisse im Hinblick auf potenzielle Bedrohungen für Amazon S3 S3-Buckets

• Amazon RDS Protection — Überwacht Amazon RDS-Datenbanken auf Bedrohungen

• Laufzeitüberwachung — Ermöglicht die Echtzeitüberwachung des Laufzeitverhaltens in EC2 Amazon-Instances

Es kann bis zu 24 Stunden dauern, bis Aktualisierungen des GuardDuty Versicherungsschutzes für alle Mitgliedskonten einer Organisation übernommen werden.

Ergebnisse der Berichterstattung für Amazon Inspector

In den Ergebnissen der Berichterstattung von Amazon Inspector wird geprüft, ob Amazon Inspector aktiviert ist und welche Funktionen in einem Konto aktiviert sind:

• Amazon EC2 Scanning — Scannt EC2 Amazon-Instances auf Sicherheitslücken

• Amazon ECR Scanning — Scannt Container-Images in Amazon ECR auf Sicherheitslücken

• Lambda Standard Scanning — Scannt Lambda-Funktionen auf Sicherheitslücken

• Lambda-Code-Scanning — Scannt Lambda-Code-Funktionen auf Code-Schwachstellen

• Amazon Inspector Code Security — Scannt den Quellcode von Erstanbieteranwendungen, Abhängigkeiten von Drittanbieteranwendungen und Infrastructure as Code auf Sicherheitslücken

Ergebnisse der Berichterstattung für Macie

Bei den Ergebnissen der Macie-Abdeckung handelt es sich um Bewertungen, aus denen hervorgeht, ob Macie Across aktiviert ist. AWS-Konten

Es kann bis zu 24 Stunden dauern, bis Aktualisierungen der automatisierten Erkennung sensibler Daten von Macie für alle Mitgliedskonten einer Organisation übernommen werden.