Hallazgos de cobertura en Security Hub

nota

Security Hub se encuentra en versión preliminar y está sujeto a cambios.

Los resultados de cobertura de Security Hub proporcionan visibilidad sobre qué funciones de AWS seguridad están habilitadas y dónde puede haber brechas en la cobertura en una cuenta independiente o en todo el AWS entorno de una organización. La activación de funciones de seguridad adicionales mejorará las capacidades de detección de Security Hub. Los resultados de cobertura evalúan qué GuardDuty funciones de Amazon Inspector, Macie y Security Hub CSPM están habilitadas para una cuenta. Estos hallazgos aparecen como un widget en el panel de control de Security Hub con la capacidad de obtener vistas más detalladas por capacidad de seguridad específica. Para el administrador delegado, este widget muestra un desglose de la cobertura en todas las cuentas habilitadas para Security Hub.

Limitaciones

• En el caso de las cuentas de miembros, la información de cobertura se agrega a todas las cuentas vinculadas Regiones de AWS, pero solo para esa cuenta de miembro.

• La información de cobertura no se muestra para las cuentas que no están integradas en Security Hub

• La cobertura solo indica si una Servicio de AWS está habilitada, no si están habilitadas funciones específicas de un AWS servicio.

Hallazgos de cobertura para Security Hub CSPM

Los resultados de cobertura del CSPM de Security Hub evalúan si una cuenta cuenta cuenta con un estándar de seguridad cualificado para la gestión de la postura. Se admitirá la habilitación de cualquier estándar CSPM de Security Hub, con la excepción de los estándares de AWS Control Tower etiquetado de recursos.

La detección de los estándares habilitados de forma predeterminada al habilitar Security Hub CSPM puede tardar hasta 24 horas.

Hallazgos de cobertura para GuardDuty

GuardDuty Los resultados de cobertura evalúan si GuardDuty está habilitada y qué GuardDuty funciones están habilitadas en un Cuenta de AWS:

• Protección contra malware para Amazon EC2 : analiza las EC2 instancias de Amazon en busca de malware potencial

• Amazon EKS Protection: supervisa los registros de auditoría de Kubernetes para detectar amenazas en los clústeres de Amazon EKS

• Protección Lambda: analiza las invocaciones de funciones Lambda para detectar posibles amenazas

• Protección de Amazon S3: analiza los eventos de datos para detectar posibles amenazas a los buckets de Amazon S3

• Protección de Amazon RDS: supervisa las amenazas a las bases de datos de Amazon RDS

• Supervisión del tiempo de ejecución: proporciona supervisión en tiempo real del comportamiento del tiempo de ejecución en EC2 las instancias de Amazon

Las actualizaciones de la GuardDuty cobertura pueden tardar hasta 24 horas en reflejarse en todas las cuentas de los miembros de una organización.

Hallazgos de cobertura para Amazon Inspector

Los resultados de cobertura de Amazon Inspector evalúan si Amazon Inspector está habilitado y qué funciones están habilitadas en una cuenta:

• Amazon EC2 Scanning: analiza las EC2 instancias de Amazon en busca de vulnerabilidades

• Escaneo de Amazon ECR: analiza las imágenes de los contenedores en Amazon ECR en busca de vulnerabilidades

• Escaneo estándar Lambda: analiza las funciones de Lambda en busca de vulnerabilidades

• Escaneo de código Lambda: analiza las funciones de código Lambda en busca de vulnerabilidades de código

• Amazon Inspector Code Security: analiza el código fuente de las aplicaciones propias, las dependencias de aplicaciones de terceros y la infraestructura como código en busca de vulnerabilidades

Hallazgos de cobertura para Macie

Los resultados de cobertura de Macie son evaluaciones que indican si Macie está habilitada para cruzar. Cuentas de AWS

Las actualizaciones del descubrimiento automatizado de datos confidenciales por parte de Macie pueden tardar hasta 24 horas en reflejarse en todas las cuentas de los miembros de una organización.