Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Amazon Inspector
Estos AWS Security Hub controles evalúan el servicio y los recursos de Amazon Inspector.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
Requisitos relacionados: PCI DSS v4.0.1/11.3.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-ec2-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el EC2 escaneo de Amazon Inspector está activado. En el caso de una cuenta independiente, el control falla si el EC2 escaneo de Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de administrador de Amazon Inspector delegada y todas las cuentas de los miembros no tienen habilitada la EC2 digitalización.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la función de EC2 escaneo de las cuentas de los miembros de la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la EC2 digitalización de Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.
El EC2 escaneo de Amazon Inspector extrae los metadatos de su instancia de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, los compara con las reglas recopiladas en los avisos de seguridad para obtener resultados. Amazon Inspector analiza las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad a la red. Para obtener información sobre los sistemas operativos compatibles, incluido el sistema operativo que se puede escanear sin un agente SSM, consulte Sistemas operativos compatibles: EC2 digitalización de Amazon.
Corrección
Para activar el EC2 escaneo de Amazon Inspector, consulte Activación de escaneos en la Guía del usuario de Amazon Inspector.
[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado
Requisitos relacionados: PCI DSS v4.0.1/11.3.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-ecr-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si está habilitado el análisis de ECR en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de ECR en Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de ECR.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de ECR para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de ECR en Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.
Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry (Amazon ECR) en busca de vulnerabilidades en el software para generar resultados de vulnerabilidades de paquetes. Al activar los análisis de Amazon Inspector para Amazon ECR, se configura Amazon Inspector como servicio de análisis preferido para su registro privado. Amazon Inspector reemplaza los análisis básicos, que se ofrecen de forma gratuita en Amazon ECR, por análisis mejorados, que se ofrecen y facturan a través de Amazon Inspector. Los análisis mejorados le ofrecen la ventaja de analizar vulnerabilidades tanto de sistemas operativos como de paquetes de lenguajes de programación en el nivel de registro. Puede revisar los resultados descubiertos a partir de análisis mejorados en el nivel de imagen, para cada capa de la imagen, en la consola de Amazon ECR. Además, puedes revisar estos resultados y trabajar con ellos en otros servicios que no están disponibles para los resultados de digitalización básicos, como AWS Security Hub Amazon EventBridge.
Corrección
Para habilitar el análisis de ECR en Amazon Inspector, consulte Activating scans en la Guía del usuario de Amazon Inspector.
[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado
Requisitos relacionados: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-lambda-code-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si está habilitado el análisis de código de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de código de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de código de Lambda.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de código de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de códigos de Lambda en Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.
El escaneo de código Lambda de Amazon Inspector analiza el código de la aplicación personalizada dentro de una AWS Lambda función para detectar vulnerabilidades en el código según las prácticas recomendadas AWS de seguridad. El análisis de código de Lambda puede detectar fallos de inyección, fugas de datos, errores de criptografía débil o una falta de cifrado en el código. Esta función Regiones de AWS solo está disponible de forma específica. Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado).
Corrección
Para habilitar el análisis de código de Lambda en Amazon Inspector, consulte Activación de análisis en la Guía del usuario de Amazon Inspector.
[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado
Requisitos relacionados: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-lambda-standard-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si está habilitado el análisis estándar de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis estándar de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis estándar de Lambda.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis estándar de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis estándar de Lambda en Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.
El escaneo estándar de Amazon Inspector Lambda identifica las vulnerabilidades de software en las dependencias del paquete de aplicaciones que añada al código y las capas de AWS Lambda función. Si Amazon Inspector detecta una vulnerabilidad en las dependencias del paquete de la aplicación de la función de Lambda, Amazon Inspector genera un resultado detallado del tipo Package Vulnerability. Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado).
Corrección
Para habilitar el análisis estándar de Lambda en Amazon Inspector, consulte Activación de análisis en la Guía del usuario de Amazon Inspector.
