Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty Contrôles Amazon
Ces contrôles sont liés aux GuardDuty ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[GuardDuty.1] GuardDuty doit être activé
Exigences associées : PCI DSS v3.2.1/11.4, NIST .800-53.r5 AC-2 (12), .800-53.r5 AU-6 (1), .800-53.r5 AU-6 (5), NIST .800-53.r5 CA-7, .800-53.r5 CM-8 (3), NIST .800-53.r5 RA-3 (4), .800-53.r5 SA-11 (1), NIST .800-53.r5 SA-11 (6)), NIST .800-53.r5 SA-15 (2), .800-53.r5 SA-15 (8), NIST .800-53.r5 SA-8 (19), .800-53.r5 SA-8 (21), NIST .800-53.r5 SA-8 (25), NIST .800-53.r5 SC-5 (1), .800-53 NIST NIST NIST NIST NIST NIST NIST NIST .r5 SC-5 (3), .800-53.r5 SI-20, NIST .800-53,r5 SI-4 (8), .800-53.r5 SI-4 (1), NIST .800-53.r5 SI-4 (13), .800-53,r5 SI-4 (2), .800-53,r5 SI-4 (22), NIST .800-53.r5 SI-4 (25), .800-53r5 SI-4 (25), NIST .800-53,r5 SI-4 (25), .800-53,r5 SI-4 (25), NIST .800-53,r5 SI-4 (25) 5 SI-4 (4), NIST .800-53,r5 SI-4 (5) NIST NIST NIST NIST
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : guardduty-enabled-centralized
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si Amazon GuardDuty est activé dans votre GuardDuty compte et dans votre région.
Il est vivement recommandé de l'activer GuardDuty dans toutes les AWS régions prises en charge. Cela permet GuardDuty de générer des informations sur des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Cela permet également GuardDuty de surveiller CloudTrail des événements globaux AWS services tels queIAM.
Correction
Pour l'activer GuardDuty, consultez Getting Started with GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.2] GuardDuty les filtres doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::Filter
AWS Config règle : tagged-guardduty-filter (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un GuardDuty filtre Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le filtre ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le filtre n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty filtre, consultez TagResourcela GuardDuty APIréférence Amazon.
[GuardDuty.3] GuardDuty IPSets doit être étiqueté
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::IPSet
AWS Config règle : tagged-guardduty-ipset (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un Amazon GuardDuty IPSet possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue s'il IPSet ne possède aucune clé de balise ou s'il n'a pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si elle IPSet n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty IPSet, consultez TagResourcela GuardDuty APIréférence Amazon.
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::GuardDuty::Detector
AWS Config règle : tagged-guardduty-detector (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un GuardDuty détecteur Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le détecteur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le détecteur n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un GuardDuty détecteur, consultez TagResourcela GuardDuty APIréférence Amazon.
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-eks-protection-audit-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la surveillance du journal GuardDuty EKS d'audit est activée. Pour un compte autonome, le contrôle échoue si la surveillance du journal GuardDuty EKS d'audit est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si le compte GuardDuty administrateur délégué et tous les comptes membres n'ont pas activé la surveillance du journal EKS d'audit.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de surveillance du journal d'EKSaudit pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes.
GuardDuty EKSLa surveillance des journaux d'audit vous aide à détecter les activités potentiellement suspectes dans vos clusters Amazon Elastic Kubernetes Service (Amazon). EKS EKSLa surveillance des journaux d'audit utilise les journaux d'audit Kubernetes pour capturer les activités chronologiques des utilisateurs, des applications utilisant Kubernetes et du plan API de contrôle.
Correction
Pour activer la surveillance des journaux GuardDuty EKS d'audit, consultez la section Surveillance des journaux EKS d'audit dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-lambda-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection GuardDuty Lambda est activée. Pour un compte autonome, le contrôle échoue si la protection GuardDuty Lambda est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si la protection Lambda n'est pas activée sur le compte d' GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection Lambda pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes.
GuardDuty La protection Lambda vous aide à identifier les menaces de sécurité potentielles lorsqu'une AWS Lambda fonction est invoquée. Après avoir activé la protection Lambda, GuardDuty commence à surveiller les journaux d'activité du réseau Lambda associés aux fonctions Lambda de votre. Compte AWS Lorsqu'une fonction Lambda est invoquée et GuardDuty identifie un trafic réseau suspect indiquant la présence d'un code potentiellement malveillant dans votre fonction Lambda, GuardDuty elle génère un résultat.
Correction
Pour activer la protection GuardDuty Lambda, consultez la section Configuration de la protection Lambda dans le guide de l'utilisateur Amazon. GuardDuty
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-malware-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les GuardDuty programmes malveillants est activée. Pour un compte autonome, le contrôle échoue si la protection contre les GuardDuty programmes malveillants est désactivée dans le compte. Dans un environnement à comptes multiples, le contrôle échoue si la protection contre les programmes malveillants n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection contre les programmes malveillants pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes.
GuardDuty Malware Protection for vous EC2 aide à détecter la présence potentielle de malwares en analysant les volumes Amazon Elastic Block Store (AmazonEBS) attachés aux instances et aux charges de travail des conteneurs Amazon Elastic Compute Cloud (AmazonEC2). Malware Protection propose des options d'analyse qui vous permettent de décider si vous souhaitez inclure ou exclure des EC2 instances et des charges de travail de conteneur spécifiques au moment de l'analyse. Il offre également la possibilité de conserver les instantanés des EBS volumes attachés aux EC2 instances ou aux charges de travail des conteneurs dans vos GuardDuty comptes. Les instantanés ne sont retenus que lorsqu'un logiciel malveillant est détecté et que des résultats de protection contre les logiciels malveillants sont générés.
Correction
Pour activer la protection contre les GuardDuty programmes malveillants pourEC2, consultez la section Configuration de l'analyse des programmes malveillants GuardDuty initiée dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.9] GuardDuty RDS La protection doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-rds-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si GuardDuty RDS la protection est activée. Pour un compte autonome, le contrôle échoue si la GuardDuty RDS protection est désactivée dans le compte. Dans un environnement multicompte, le contrôle échoue si la RDS protection n'est pas activée sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de RDS protection pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes.
RDSProtection dans le GuardDuty cadre des analyses et des profils de l'activité de RDS connexion pour détecter les menaces d'accès potentielles à vos bases de données Amazon Aurora (Aurora My SQL -Compatible Edition et Aurora Postgre SQL -Compatible Edition). Cette fonctionnalité vous permet d'identifier les comportements de connexion potentiellement suspects. RDSLa protection ne nécessite aucune infrastructure supplémentaire ; elle est conçue de manière à ne pas affecter les performances de vos instances de base de données. Lorsque RDS la Protection détecte une tentative de connexion potentiellement suspecte ou anormale indiquant une menace pour votre base de données, GuardDuty génère un nouveau résultat contenant des informations détaillées sur la base de données potentiellement compromise.
Correction
Pour activer GuardDuty RDS la protection, consultez GuardDuty RDSla section Protection dans le guide de GuardDuty l'utilisateur Amazon.
[GuardDuty.10] La protection GuardDuty S3 doit être activée
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::GuardDuty::Detector
Règle AWS Config : guardduty-s3-protection-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la protection GuardDuty S3 est activée. Pour un compte autonome, le contrôle échoue si GuardDuty S3 Protection est désactivée dans le compte. Dans un environnement multi-comptes, le contrôle échoue si S3 Protection n'est pas activé sur le compte GuardDuty administrateur délégué et sur tous les comptes membres.
Dans un environnement multi-comptes, le contrôle génère des résultats uniquement dans le compte d' GuardDuty administrateur délégué. Seul l'administrateur délégué peut activer ou désactiver la fonctionnalité de protection S3 pour les comptes des membres de l'organisation. GuardDuty les comptes membres ne peuvent pas modifier cette configuration depuis leurs comptes.
S3 Protection permet GuardDuty de surveiller les API opérations au niveau des objets afin d'identifier les risques de sécurité potentiels pour les données contenues dans vos compartiments Amazon Simple Storage Service (Amazon S3). GuardDuty surveille les menaces qui pèsent sur vos ressources S3 en analysant les événements AWS CloudTrail de gestion et les événements liés aux données CloudTrail S3.
Correction
Pour activer la protection GuardDuty S3, consultez Amazon S3 Protection dans Amazon GuardDuty dans le guide de GuardDuty l'utilisateur Amazon.
