Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Liste des catégories de contrôle dans Security Hub
Une catégorie est attribuée à chaque contrôle. La catégorie d'un contrôle reflète la fonction de sécurité à laquelle le contrôle s'applique.
La valeur de la catégorie contient la catégorie, la sous-catégorie au sein de la catégorie et, éventuellement, un classificateur au sein de la sous-catégorie. Par exemple :
-
Identifier > Inventaire
-
Protection > Protection des données > Chiffrement des données en transit
Voici les descriptions des catégories, sous-catégories et classificateurs disponibles.
Identifier
Élaborer la compréhension organisationnelle pour gérer les risques liés à la cybersécurité pour les systèmes, les actifs, les données et les capacités.
- Inventory
-
Le service a-t-il mis en œuvre les stratégies de balisage des ressources appropriées ? Les stratégies de balisage incluent-elles le propriétaire de la ressource ?
Quelles ressources le service utilise-t-il ? S’agit-il de ressources approuvées pour ce service ?
Disposez-vous d’une visibilité sur le stock approuvé ? Par exemple, utilisez-vous des services tels qu'Amazon EC2 Systems Manager et Service Catalog ?
- Journalisation
-
Avez-vous activé en toute sécurité toutes les journalisations pertinentes pour le service ? Voici des exemples de fichiers journaux :
-
Journaux Amazon VPC Flow
-
Journaux d'accès Elastic Load Balancing
-
CloudFront Journaux Amazon
-
Amazon CloudWatch Logs
-
Journalisation d'Amazon Relational Database Service
-
Journaux d'indexation lents d'Amazon OpenSearch Service
-
Suivi X-Ray
-
AWS Directory Service journaux
-
AWS Config items
-
Instantanés
-
Protéger
Élaborer et mettre en œuvre les mesures de protection appropriées pour assurer la prestation des services d'infrastructure essentiels et des pratiques de codage sécurisées.
- Gestion sécurisée des accès
-
Le service applique-t-il les pratiques du moindre privilège dans ses politiques IAM ou dans celles relatives aux ressources ?
Les mots de passe et les secrets sont-ils suffisamment complexes ? La rotation est-elle réalisée de façon appropriée ?
Le service utilise-t-il l'authentification multifactorielle (MFA) ?
Le service évite-t-il l'utilisateur root ?
Les stratégies basées sur les ressources permet-elles l'accès du public ?
- Configuration réseau sécurisée
-
Le service empêche-t-il l'accès au réseau distant public et non sécurisé ?
Le service est-il utilisé VPCs correctement ? Par exemple, les jobs doivent-ils être exécutés VPCs ?
Le service segmente-t-il et isole-t-il correctement les ressources sensibles ?
- Protection des données
-
Chiffrement des données au repos : le service crypte-t-il les données au repos ?
Chiffrement des données en transit : le service crypte-t-il les données en transit ?
Intégrité des données : le service valide-t-il l'intégrité des données ?
Protection contre la suppression des données : le service protège-t-il les données contre toute suppression accidentelle ?
Gestion et utilisation des données — Utilisez-vous des services tels qu'Amazon Macie pour suivre l'emplacement de vos données sensibles ?
- APIprotection
-
Le service utilise-t-il AWS PrivateLink pour protéger les API opérations de service ?
- Services de protection
-
Les services de protection appropriés sont-ils en installés ? Fournissent-ils la couverture appropriée ?
Les services de protection vous aident à détourner les attaques et les compromissions qui sont dirigées vers le service. Exemples de services de protection dans AWS inclure AWS Control Tower, AWS WAF, AWS Shield Advanced, Vanta, Secrets Manager, IAM Access Analyzer, et AWS Resource Access Manager.
- Développement sécurisé
-
Utilisez-vous des pratiques de codage sécurisées ?
Evitez-vous des vulnérabilités telles que le Top Ten de l'Open Web Application Security Project (OWASP) ?
Détection
Élaborer et mettre en œuvre les activités appropriées pour identifier la survenance d'un événement de cybersécurité.
- Services de détection
-
Les services de détection appropriés sont-ils en place ?
Fournissent-ils la couverture appropriée ?
Exemples de AWS les services de détection incluent Amazon GuardDuty, AWS Security Hub, Amazon Inspector, Amazon Detective, Amazon CloudWatch Alarms, AWS IoT Device Defender, et AWS Trusted Advisor.
Réponse
Élaborer et mettre en œuvre les activités appropriées pour prendre des mesures concernant un événement de cybersécurité détecté.
- Mesures de réponse
-
Répondez-vous rapidement aux événements de sécurité ?
Avez-vous des résultats critiques actifs ou de gravité élevée ?
- Analyse scientifique
-
Pouvez-vous acquérir en toute sécurité des données d’analyse scientifique pour le service ? Par exemple, obtenez-vous des EBS instantanés Amazon associés à de véritables résultats positifs ?
Avez-vous créé un compte d’analyse scientifique ?
Récupération
Élaborer et mettre en œuvre les activités appropriées pour maintenir des plans de résilience et rétablir les capacités ou les services qui ont été compromis en raison d'un événement de cybersécurité.
- Résilience
-
La configuration du service prend-elle en charge les basculements gracieux, la mise à l'échelle élastique et la haute disponibilité ?
Avez-vous établi des sauvegardes ?