AWS Systems Manager commandes - AWS Security Hub
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT[SSM.4] SSM les documents ne doivent pas être publics

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Systems Manager commandes

Ces contrôles sont liés aux EC2 instances Amazon gérées par AWS Systems Manager (SSM).

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

Exigences connexes : PCI DSS v3.2.1/2.4, NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-8, .800-53.r5 CM-8 (1), NIST .800-53.r5 CM-8 (3), NIST .800-53.r5 SA-15 (2), .800-53,r5 SA-15 (8), NIST .800-53,r5 SA-3, .800-53,r5 SI-2 (3) NIST NIST NIST NIST NIST NIST

Catégorie : Identifier - Inventaire

Gravité : Moyenne

Ressource évaluée : AWS::EC2::Instance

Ressources AWS Config d'enregistrement requises :AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

Règle AWS Config  : ec2-instance-managed-by-systems-manager

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les EC2 instances arrêtées et en cours d'exécution de votre compte sont gérées par AWS Systems Manager. Systems Manager est un AWS service outil que vous pouvez utiliser pour visualiser et contrôler votre AWS infrastructure.

Pour vous aider à maintenir la sécurité et la conformité, Systems Manager analyse vos instances gérées arrêtées et en cours d'exécution. Une instance gérée est une machine configurée pour être utilisée avec Systems Manager. Systems Manager signale ensuite ou prend des mesures correctives en cas de violation des politiques détectées. Systems Manager vous aide également à configurer et à gérer vos instances gérées.

Pour en savoir plus, consultez le guide de AWS Systems Manager l'utilisateur.

Correction

Pour gérer les EC2 instances avec Systems Manager, consultez la section Gestion des EC2 hôtes Amazon dans le Guide de AWS Systems Manager l'utilisateur. Dans la section Options de configuration, vous pouvez conserver les choix par défaut ou les modifier selon les besoins de votre configuration préférée.

[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

Exigences associées : PCI DSS v3.2.1/6.2, NIST .800-53.r5 CM-8 (3), .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST NIST

Catégorie : Détecter - Services de détection

Gravité : Élevée

Type de ressource : AWS::SSM::PatchCompliance

Règle AWS Config  : ec2-managedinstance-patch-compliance-status-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'état de conformité du correctif de Systems Manager est COMPLIANT ou NON_COMPLIANT après l'installation du correctif sur l'instance. Le contrôle échoue si le statut de conformité estNON_COMPLIANT. Le contrôle vérifie uniquement les instances gérées par Systems Manager Patch Manager.

L'application de correctifs à vos EC2 instances selon les besoins de votre organisation réduit la surface d'attaque de votre Comptes AWS

Correction

Systems Manager recommande d'utiliser des politiques de correctifs pour configurer l'application de correctifs pour vos instances gérées. Vous pouvez également utiliser les documents Systems Manager, comme décrit dans la procédure suivante, pour patcher une instance.

Pour corriger les correctifs non conformes

  1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Pour la gestion des nœuds, choisissez Exécuter la commande, puis sélectionnez Exécuter la commande.

  3. Choisissez l'option pour AWS- RunPatchBaseline.

  4. Passez l'Operation (Opération) à Install (Installer).

  5. Choisissez Choisir les instances manuellement, puis choisissez les instances non conformes.

  6. Cliquez sur Exécuter.

  7. Une fois la commande terminée, pour surveiller le nouveau statut de conformité de vos instances corrigées, choisissez Compliance dans le volet de navigation.

[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

Exigences associées : PCI DSS v3.2.1/2.4, NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-8, .800-53.r5 CM-8 (1), NIST .800-53.r5 CM-8 (3), .800-53.r5 SI-2 (3) NIST NIST NIST NIST

Catégorie : Détecter - Services de détection

Gravité : Faible

Type de ressource : AWS::SSM::AssociationCompliance

Règle AWS Config  : ec2-managedinstance-association-compliance-status-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le statut de conformité de l' AWS Systems Manager association est COMPLIANT ou NON_COMPLIANT après l'exécution de l'association sur une instance. Le contrôle échoue si le statut de conformité de l'association estNON_COMPLIANT.

Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances ou que certains ports doivent être fermés.

Une fois que vous avez créé une ou plusieurs associations de responsables d'État, les informations sur le statut de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse aux AWS CLI commandes ou aux API actions correspondantes de Systems Manager. Pour les associations, Configuration Compliance indique l'état de conformité (CompliantouNon-compliant). Il indique également le niveau de gravité attribué à l'association, tel que Critical ouMedium.

Pour en savoir plus sur la conformité des associations State Manager, voir À propos de la conformité des associations State Manager dans le Guide de AWS Systems Manager l'utilisateur.

Correction

L'échec d'une association peut être lié à différents facteurs, notamment aux cibles et aux noms de documents de Systems Manager. Pour résoudre ce problème, vous devez d'abord identifier et étudier l'association en consultant l'historique des associations. Pour obtenir des instructions sur l'affichage de l'historique des associations, reportez-vous à la section Affichage de l'historique des associations dans le Guide de AWS Systems Manager l'utilisateur.

Après avoir étudié, vous pouvez modifier l'association pour corriger le problème identifié. Vous pouvez modifier une association pour spécifier un nouveau nom, un niveau de gravité ou des cibles. Après avoir modifié une association, il AWS Systems Manager crée une nouvelle version. Pour obtenir des instructions sur la modification d'une association, voir Modification et création d'une nouvelle version d'une association dans le Guide de AWS Systems Manager l'utilisateur.

[SSM.4] SSM les documents ne doivent pas être publics

Exigences connexes : NIST .800-53.r5 AC-21, .800-53.r5 AC-3, NIST .800-53.r5 AC-3 (7), .800-53.r5 AC-4, NIST .800-53.r5 AC-4 (21), .800-53.r5 AC-6, .800-53.r5 SC-7, NIST .800-53.r5 SC-7 (11), NIST .800-53.r5 SC-7 (16), .800-53.r5 SC-7 (20), NIST .800-53,r5 SC-7 (21), .800-53,r5 SC-7 (3), NIST .800-53,r5 SC-7 (4), NIST .800-53,r5 SC-7 (9) NIST NIST NIST NIST NIST NIST

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Critique

Type de ressource : AWS::SSM::Document

Règle AWS Config  : ssm-document-not-public

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si AWS Systems Manager les documents détenus par le compte sont publics. Ce contrôle échoue si les documents de Systems Manager avec le propriétaire Self sont publics.

Les documents publics de Systems Manager peuvent autoriser un accès involontaire à vos documents. Un document public de Systems Manager peut exposer des informations précieuses sur votre compte, vos ressources et vos processus internes.

À moins que votre cas d'utilisation ne nécessite un partage public, nous vous recommandons de bloquer le paramètre de partage public pour les documents appartenant à Systems ManagerSelf.

Correction

Pour bloquer le partage public des documents de Systems Manager, voir Bloquer le partage public des SSM documents dans le Guide de AWS Systems Manager l'utilisateur.