Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon Inspector
Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Inspector.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.3.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-ec2-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das EC2 Scannen mit Amazon Inspector aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Amazon EC2 Inspector-Scannen im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und alle Mitgliedskonten das EC2 Scannen nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die EC2 Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator über ein gesperrtes Mitgliedskonto verfügt, für das der Amazon EC2 Inspector-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.
EC2 Das Scannen mit Amazon Inspector extrahiert Metadaten aus Ihrer Amazon Elastic Compute Cloud (Amazon EC2) -Instance und vergleicht diese Metadaten dann mit Regeln, die in Sicherheitsempfehlungen gesammelt wurden, um Ergebnisse zu erzielen. Amazon Inspector scannt Instances auf Paketschwachstellen und Probleme mit der Netzwerkerreichbarkeit. Informationen zu unterstützten Betriebssystemen, einschließlich der Betriebssysteme, die ohne SSM-Agent gescannt werden können, finden Sie unter Unterstützte Betriebssysteme: EC2 Amazon-Scannen.
Abhilfe
Informationen zum Aktivieren von Amazon EC2 Inspector-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
[Inspector.2] Das Amazon Inspector ECR-Scannen sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/11.3.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-ecr-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das Amazon Inspector ECR-Scannen aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Amazon Inspector ECR-Scannen im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und alle Mitgliedskonten kein ECR-Scan aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die ECR-Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator über ein gesperrtes Mitgliedskonto verfügt, für das der Amazon Inspector ECR-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.
Amazon Inspector scannt Container-Images, die in Amazon Elastic Container Registry (Amazon ECR) gespeichert sind, auf Softwareschwachstellen, um Sicherheitslücken in Paketen zu ermitteln. Wenn Sie Amazon Inspector-Scans für Amazon ECR aktivieren, legen Sie Amazon Inspector als Ihren bevorzugten Scan-Service für Ihre private Registrierung fest. Dadurch wird das einfache Scannen, das von Amazon ECR kostenlos bereitgestellt wird, durch das erweiterte Scannen ersetzt, das über Amazon Inspector bereitgestellt und in Rechnung gestellt wird. Das erweiterte Scannen bietet Ihnen den Vorteil des Schwachstellenscans sowohl für Betriebssysteme als auch für Programmiersprachenpakete auf Registrierungsebene. Sie können die Ergebnisse, die mit dem erweiterten Scannen auf Bildebene entdeckt wurden, für jede Ebene des Bilds in der Amazon ECR-Konsole überprüfen. Darüber hinaus können Sie diese Ergebnisse in anderen Diensten überprüfen und mit ihnen arbeiten, die für grundlegende Scanergebnisse nicht verfügbar sind, einschließlich AWS Security Hub Amazon EventBridge.
Abhilfe
Informationen zum Aktivieren von Amazon Inspector ECR-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-lambda-code-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das Scannen von Amazon Inspector Lambda-Code aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn das Scannen von Amazon Inspector Lambda-Code im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und für alle Mitgliedskonten der Lambda-Code-Scan nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Code-Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator ein gesperrtes Mitgliedskonto hat, für das Amazon Inspector Lambda-Code-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.
Das Amazon Inspector Lambda-Codescanning scannt den benutzerdefinierten Anwendungscode innerhalb einer AWS Lambda Funktion auf Code-Schwachstellen auf der Grundlage bewährter AWS Sicherheitsmethoden. Durch das Scannen von Lambda-Code können Injektionsfehler, Datenlecks, schwache Kryptografie oder fehlende Verschlüsselung in Ihrem Code erkannt werden. Diese Funktion ist nur in bestimmten AWS-Regionen Fällen verfügbar. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein).
Abhilfe
Informationen zur Aktivierung des Amazon Inspector Lambda-Code-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
Verwandte Anforderungen: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-lambda-standard-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das Standardscannen von Amazon Inspector Lambda aktiviert ist. Bei einem eigenständigen Konto schlägt die Kontrolle fehl, wenn der Amazon Inspector Lambda-Standardscan im Konto deaktiviert ist. In einer Umgebung mit mehreren Konten schlägt die Kontrolle fehl, wenn für das delegierte Amazon Inspector-Administratorkonto und alle Mitgliedskonten das Lambda-Standardscannen nicht aktiviert ist.
In einer Umgebung mit mehreren Konten generiert die Kontrolle Ergebnisse nur im delegierten Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Standardscanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern. Diese Kontrolle generiert FAILED Ergebnisse, wenn der delegierte Administrator ein gesperrtes Mitgliedskonto hat, für das Amazon Inspector Lambda Standard-Scan nicht aktiviert ist. Um ein PASSED Ergebnis zu erhalten, muss der delegierte Administrator die Zuordnung dieser gesperrten Konten in Amazon Inspector aufheben.
Das Standard-Scannen von Amazon Inspector Lambda identifiziert Softwareschwachstellen in den Abhängigkeiten von Anwendungspaketen, die Sie Ihrem AWS Lambda Funktionscode und Ihren Ebenen hinzufügen. Wenn Amazon Inspector eine Sicherheitslücke in den Abhängigkeiten Ihrer Lambda-Funktionsanwendung feststellt, erstellt Amazon Inspector eine detaillierte Package Vulnerability Typfindung. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein).
Abhilfe
Informationen zur Aktivierung von Amazon Inspector Lambda-Standardscans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
