Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Diese AWS Security Hub Kontrollen bewerten den GuardDuty Service und die Ressourcen von Amazon.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[GuardDuty.1] GuardDuty sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v3.2.1/11.4, PCI DSS v4.0.1/11.5.1, NIST.800-53.r5 AC-2 (12),, (4), NIST.800-53.r5 SA-1 1 (1), 1 (6), NIST.800-53.r5 SA-1 5 (2) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, 5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-20, NIST.800-53.r5 SA-8 NIST.800-53.r5 SI-3 NIST.800-53.r5 SA-8 (8), NIST.800-53.r5 SA-8 NIST.800-53.R5 SI-4 NIST.800-53.r5 SC-5, NIST.800-53.R5 SI-4 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), NIST.800-53.R5 SI-4 (13), NIST.800-53.R5 SI-4 (2), NIST.800-53.R5 SI-4 (22), NIST.800-53.R5 SI-4 (25), NIST.800-53.r5 SI-4 (4), NIST.800-53.R5 SI-4 (5)
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: guardduty-enabled-centralized
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob Amazon in Ihrem GuardDuty Konto und Ihrer Region aktiviert GuardDuty ist.
Es wird dringend empfohlen, die Aktivierung GuardDuty in allen unterstützten AWS Regionen durchzuführen. Auf diese Weise können GuardDuty Sie Erkenntnisse über nicht autorisierte oder ungewöhnliche Aktivitäten gewinnen, auch in Regionen, die Sie nicht aktiv nutzen. Dies ermöglicht auch GuardDuty die Überwachung globaler CloudTrail Ereignisse AWS-Services wie IAM.
Abhilfe
Informationen zur Aktivierung GuardDuty finden Sie unter Erste Schritte mit GuardDuty im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::GuardDuty::Filter
AWS Config Regel: tagged-guardduty-filter (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Dieses Steuerelement prüft, ob ein GuardDuty Amazon-Filter Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn der Filter keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn der Filter mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem GuardDuty Filter finden Sie unter TagResourcein der Amazon GuardDuty API-Referenz.
[GuardDuty.3] GuardDuty IPSets sollte markiert sein
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::GuardDuty::IPSet
AWS Config Regel: tagged-guardduty-ipset (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Dieses Steuerelement prüft, ob ein Amazon Tags mit den spezifischen Schlüsseln GuardDuty IPSet hat, die im Parameter definiert sindrequiredTagKeys. Das Steuerelement schlägt fehl, wenn es IPSet keine Tag-Schlüssel hat oder wenn es nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden IPSet ist, und schlägt fehl, wenn der mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem GuardDuty IPSet finden Sie unter TagResourcein der Amazon GuardDuty API-Referenz.
[GuardDuty.4] GuardDuty Detektoren sollten markiert sein
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::GuardDuty::Detector
AWS Config Regel: tagged-guardduty-detector (benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Tags, die die AWS Anforderungen erfüllen |
No default value
|
Diese Steuerung prüft, ob ein GuardDuty Amazon-Detektor Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der Detektor keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel hatrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft die Steuerung nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Detektor mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem GuardDuty Detektor finden Sie unter TagResourcein der Amazon GuardDuty API-Referenz.
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Ressourcentyp: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-eks-protection-audit-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob GuardDuty EKS Audit Log Monitoring aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty EKS Audit Log Monitoring im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten EKS Audit Log Monitoring nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die EKS-Audit Log Monitoring-Funktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das GuardDuty EKS Audit Log Monitoring nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
GuardDuty EKS Audit Log Monitoring hilft Ihnen dabei, potenziell verdächtige Aktivitäten in Ihren Amazon Elastic Kubernetes Service (Amazon EKS) -Clustern zu erkennen. EKS Audit Log Monitoring verwendet Kubernetes-Prüfungsprotokolle, um chronologische Aktivitäten von Benutzern, Anwendungen, die die Kubernetes-API verwenden und der Steuerebene zu erfassen.
Abhilfe
Informationen zur Aktivierung von GuardDuty EKS Audit Log Monitoring finden Sie unter EKS Audit Log Monitoring im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.5.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-lambda-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob GuardDuty Lambda Protection aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty Lambda Protection im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten Lambda Protection nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte Administratorkonto. GuardDuty Nur der delegierte Administrator kann die Lambda Protection-Funktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Dieses Steuerelement generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator über ein gesperrtes Mitgliedskonto verfügt, für das GuardDuty Lambda Protection nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
GuardDuty Lambda Protection hilft Ihnen dabei, potenzielle Sicherheitsbedrohungen zu identifizieren, wenn eine AWS Lambda Funktion aufgerufen wird. Nachdem Sie Lambda Protection aktiviert haben, GuardDuty beginnt die Überwachung der Lambda-Netzwerkaktivitätsprotokolle, die mit den Lambda-Funktionen in Ihrem verknüpft sind. AWS-Konto Wenn eine Lambda-Funktion aufgerufen wird und verdächtigen Netzwerkverkehr GuardDuty identifiziert, der auf das Vorhandensein eines potenziell bösartigen Codes in Ihrer Lambda-Funktion hinweist, GuardDuty wird ein Befund generiert.
Abhilfe
Informationen zur Aktivierung von GuardDuty Lambda Protection finden Sie unter Konfiguration des Lambda-Schutzes im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.5.1
Kategorie: Erkennen > Erkennungsdienste
Schweregrad: Mittel
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-eks-protection-runtime-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob GuardDuty EKS Runtime Monitoring mit automatisierter Agentenverwaltung aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty EKS Runtime Monitoring mit automatisierter Agentenverwaltung im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten EKS Runtime Monitoring mit automatisierter Agentenverwaltung nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Steuerung Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die EKS-Runtime Monitoring-Funktion mit automatisierter Agentenverwaltung für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Dieses Steuerelement generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das GuardDuty EKS Runtime Monitoring nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
EKS Protection in Amazon GuardDuty bietet Schutz vor Bedrohungserkennung, um Sie beim Schutz von Amazon EKS-Clustern in Ihrer AWS Umgebung zu unterstützen. EKS Runtime Monitoring verwendet Ereignisse auf Betriebssystemebene, um Ihnen zu helfen, potenzielle Bedrohungen in EKS-Knoten und Containern in Ihren EKS-Clustern zu erkennen.
Abhilfe
Informationen zur Aktivierung von EKS Runtime Monitoring mit automatisierter Agentenverwaltung finden Sie unter GuardDuty Enabling Runtime Monitoring im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Ressourcentyp: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-malware-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob der GuardDuty Malware-Schutz aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn der GuardDuty Malware-Schutz im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten der Malware-Schutz nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert das Steuerelement nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die Malware-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty Malware-Schutz nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
GuardDuty Malware Protection for EC2 hilft Ihnen dabei, das potenzielle Vorhandensein von Malware zu erkennen, indem es die Amazon Elastic Block Store (Amazon EBS) -Volumes scannt, die an Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Container-Workloads angehängt sind. Malware Protection bietet Scanoptionen, mit denen Sie entscheiden können, ob Sie bestimmte EC2 Instances und Container-Workloads beim Scannen ein- oder ausschließen möchten. Es bietet auch die Möglichkeit, die Snapshots der EBS-Volumes, die an die EC2 Instances oder Container-Workloads angehängt sind, in Ihren Konten aufzubewahren. GuardDuty Die Snapshots werden nur aufbewahrt, wenn Malware gefunden wird und die Erkenntnisse von Malware Protection generiert werden.
Abhilfe
Informationen zur Aktivierung des GuardDuty Malware-Schutzes für EC2 finden Sie unter Konfiguration des GuardDuty -initiierten Malware-Scans im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.9] Der GuardDuty RDS-Schutz sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.5.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-rds-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob der GuardDuty RDS-Schutz aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn der GuardDuty RDS-Schutz im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten der RDS-Schutz nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die RDS-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty RDS-Schutz nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
RDS Protection GuardDuty analysiert und profiliert RDS-Anmeldeaktivitäten im Hinblick auf potenzielle Zugriffsbedrohungen auf Ihre Amazon Aurora Aurora-Datenbanken (Aurora MySQL-kompatible Edition und Aurora PostgreSQL-kompatible Edition). Mit dieses Feature können Sie potenziell verdächtiges Anmeldeverhalten identifizieren. RDS Protection erfordert keine zusätzliche Infrastruktur und ist so konzipiert, dass die Leistung Ihrer Datenbank-Instances nicht beeinträchtigt wird. Wenn RDS Protection einen potenziell verdächtigen oder anomalen Anmeldeversuch erkennt, der auf eine Bedrohung für Ihre Datenbank hindeutet, GuardDuty generiert RDS Protection ein neues Ergebnis mit Details über die potenziell gefährdete Datenbank.
Abhilfe
Informationen zur Aktivierung des GuardDuty RDS-Schutzes finden Sie unter GuardDuty RDS-Schutz im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.10] Der GuardDuty S3-Schutz sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.5.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-s3-protection-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob GuardDuty S3 Protection aktiviert ist. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty S3 Protection im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten S3 Protection nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur für das delegierte GuardDuty Administratorkonto. Nur der delegierte Administrator kann die S3-Schutzfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. GuardDuty Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte GuardDuty Administrator ein gesperrtes Mitgliedskonto hat, für das der GuardDuty S3-Schutz nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in aufheben. GuardDuty
S3 Protection ermöglicht GuardDuty die Überwachung von API-Vorgängen auf Objektebene, um potenzielle Sicherheitsrisiken für Daten in Ihren Amazon Simple Storage Service (Amazon S3) -Buckets zu identifizieren. GuardDuty überwacht Bedrohungen für Ihre S3-Ressourcen, indem AWS CloudTrail Verwaltungsereignisse und CloudTrail S3-Datenereignisse analysiert werden.
Abhilfe
Informationen zur Aktivierung von GuardDuty S3 Protection finden Sie unter Amazon S3 Protection GuardDuty in Amazon im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
Kategorie: Erkennen > Erkennungsdienste
Schweregrad: Hoch
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-runtime-monitoring-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob Runtime Monitoring in Amazon aktiviert ist GuardDuty. Bei einem eigenständigen Konto schlägt die Steuerung fehl, wenn GuardDuty Runtime Monitoring für das Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn GuardDuty Runtime Monitoring für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten deaktiviert ist.
In einer Umgebung mit mehreren Konten kann nur der delegierte GuardDuty Administrator GuardDuty Runtime Monitoring für Konten in seiner Organisation aktivieren oder deaktivieren. Darüber hinaus kann nur der GuardDuty Administrator die Security Agents konfigurieren und verwalten, die für die Laufzeitüberwachung von AWS Workloads und Ressourcen für Konten in der Organisation GuardDuty verwendet werden. GuardDuty Mitgliedskonten können Runtime Monitoring nicht für ihre eigenen Konten aktivieren, konfigurieren oder deaktivieren.
GuardDuty Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Sie bei der Erkennung potenzieller Bedrohungen in bestimmten AWS Workloads in Ihrer Umgebung zu unterstützen. Es verwendet GuardDuty Security Agents, die Einblick in das Laufzeitverhalten wie Dateizugriff, Prozessausführung, Befehlszeilenargumente und Netzwerkverbindungen bieten. Sie können den Security Agent für jeden Ressourcentyp aktivieren und verwalten, den Sie auf potenzielle Bedrohungen überwachen möchten, z. B. Amazon EKS-Cluster und EC2 Amazon-Instances.
Abhilfe
Informationen zur Konfiguration und Aktivierung von GuardDuty Runtime Monitoring finden Sie unter GuardDuty Runtime Monitoring and Enabling GuardDuty Runtime Monitoring im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
Kategorie: Erkennen > Erkennungsdienste
Schweregrad: Mittel
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-ecs-protection-runtime-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob der Amazon GuardDuty Automated Security Agent für die Laufzeitüberwachung von Amazon ECS-Clustern aktiviert ist AWS Fargate. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn der Security Agent für das Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn der Security Agent für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten deaktiviert ist.
In einer Umgebung mit mehreren Konten generiert diese Kontrolle nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Dies liegt daran, dass nur der delegierte GuardDuty Administrator die Laufzeitüberwachung von ECS-Fargate-Ressourcen für Konten in seiner Organisation aktivieren oder deaktivieren kann. GuardDuty Mitgliedskonten können dies nicht für ihre eigenen Konten tun. Darüber hinaus generiert diese Kontrolle FAILED Ergebnisse, wenn sie für ein Mitgliedskonto gesperrt GuardDuty ist und die Laufzeitüberwachung der ECS-Fargate-Ressourcen für das Mitgliedskonto deaktiviert ist. Um einen PASSED Befund zu erhalten, muss der GuardDuty Administrator das gesperrte Mitgliedskonto mit dem folgenden Befehl von seinem Administratorkonto trennen. GuardDuty
GuardDuty Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Sie bei der Erkennung potenzieller Bedrohungen in bestimmten AWS Workloads in Ihrer Umgebung zu unterstützen. Es verwendet GuardDuty Security Agents, die Einblick in das Laufzeitverhalten wie Dateizugriff, Prozessausführung, Befehlszeilenargumente und Netzwerkverbindungen bieten. Sie können den Security Agent für jeden Ressourcentyp aktivieren und verwalten, den Sie auf potenzielle Bedrohungen hin überwachen möchten. Dazu gehören Amazon ECS-Cluster auf AWS Fargate.
Abhilfe
Um den Security Agent für die GuardDuty Laufzeitüberwachung von ECS-Fargate-Ressourcen zu aktivieren und zu verwalten, müssen Sie ihn direkt verwenden. GuardDuty Sie können es nicht manuell für ECS-Fargate-Ressourcen aktivieren oder verwalten. Informationen zur Aktivierung und Verwaltung des Security Agents finden Sie unter Voraussetzungen für den Support AWS Fargate (nur Amazon ECS) und Verwaltung des automatisierten Security Agents für AWS Fargate (nur Amazon ECS) im GuardDuty Amazon-Benutzerhandbuch.
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
Kategorie: Erkennen > Erkennungsdienste
Schweregrad: Mittel
Art der Ressource: AWS::GuardDuty::Detector
AWS Config -Regel: guardduty-ec2-protection-runtime-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Diese Kontrolle prüft, ob der Amazon GuardDuty Automated Security Agent für die Laufzeitüberwachung von EC2 Amazon-Instances aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn der Security Agent für das Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Steuerung fehl, wenn der Security Agent für das delegierte GuardDuty Administratorkonto und alle Mitgliedskonten deaktiviert ist.
In einer Umgebung mit mehreren Konten generiert diese Kontrolle nur Ergebnisse für das delegierte GuardDuty Administratorkonto. Dies liegt daran, dass nur der delegierte GuardDuty Administrator die Laufzeitüberwachung von EC2 Amazon-Instances für Konten in seiner Organisation aktivieren oder deaktivieren kann. GuardDuty Mitgliedskonten können dies nicht für ihre eigenen Konten tun. Darüber hinaus generiert dieses Steuerelement FAILED Ergebnisse, wenn GuardDuty es für ein Mitgliedskonto gesperrt ist und die Laufzeitüberwachung von EC2 Instanzen für das Mitgliedskonto deaktiviert ist. Um einen PASSED Befund zu erhalten, muss der GuardDuty Administrator das gesperrte Mitgliedskonto mit GuardDuty dem folgenden Befehl von seinem Administratorkonto trennen.
GuardDuty Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Sie bei der Erkennung potenzieller Bedrohungen in bestimmten AWS Workloads in Ihrer Umgebung zu unterstützen. Es verwendet GuardDuty Security Agents, die Einblick in das Laufzeitverhalten wie Dateizugriff, Prozessausführung, Befehlszeilenargumente und Netzwerkverbindungen bieten. Sie können den Security Agent für jeden Ressourcentyp aktivieren und verwalten, den Sie auf potenzielle Bedrohungen hin überwachen möchten. Dies schließt EC2 Amazon-Instances ein.
Abhilfe
Informationen zur Konfiguration und Verwaltung des automatisierten Security Agents für die GuardDuty Laufzeitüberwachung von EC2 Instances finden Sie unter Voraussetzungen für die Unterstützung von EC2 Amazon-Instances und Aktivieren des automatisierten Security Agents für EC2 Amazon-Instances im GuardDuty Amazon-Benutzerhandbuch.
