Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon Inspector
Questi AWS Security Hub i controlli valutano il servizio e le risorse Amazon Inspector.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.
[Inspector.1] La scansione di Amazon Inspector deve essere abilitata EC2
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::::Account
AWS Config regola: inspector-ec2-scan-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la EC2 scansione di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione di Amazon EC2 Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non EC2 hanno la scansione abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di EC2 scansione per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione di Amazon EC2 Inspector abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
La EC2 scansione di Amazon Inspector estrae i metadati dalla tua istanza Amazon Elastic Compute Cloud (EC2Amazon), quindi confronta questi metadati con le regole raccolte dagli avvisi di sicurezza per produrre risultati. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete. Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un SSM agente, consulta Sistemi operativi supportati: Amazon EC2 scanning.
Correzione
Per abilitare la EC2 scansione di Amazon Inspector, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.
[Inspector.2] La scansione di Amazon Inspector deve essere abilitata ECR
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::::Account
AWS Config regola: inspector-ecr-scan-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la ECR scansione di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione di Amazon ECR Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non ECR hanno la scansione abilitata.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di ECR scansione per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione di Amazon ECR Inspector abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
Amazon Inspector analizza le immagini dei container archiviate in Amazon Elastic Container Registry (AmazonECR) alla ricerca di vulnerabilità del software per generare risultati sulle vulnerabilità dei pacchetti. Quando attivi le scansioni di Amazon Inspector per AmazonECR, imposti Amazon Inspector come servizio di scansione preferito per il tuo registro privato. Questo sostituisce la scansione di base, fornita gratuitamente da AmazonECR, con la scansione avanzata, fornita e fatturata tramite Amazon Inspector. La scansione avanzata offre il vantaggio della scansione delle vulnerabilità sia per il sistema operativo che per i pacchetti di linguaggi di programmazione a livello di registro. Puoi esaminare i risultati scoperti utilizzando la scansione avanzata a livello di immagine, per ogni livello dell'immagine, sulla ECR console Amazon. Inoltre, puoi esaminare e utilizzare questi risultati in altri servizi non disponibili per i risultati di scansione di base, tra cui AWS Security Hub e Amazon EventBridge.
Correzione
Per abilitare la ECR scansione di Amazon Inspector, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.
[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::::Account
AWS Config regola: inspector-lambda-code-scan-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la scansione del codice Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione del codice Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione del codice Lambda.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione del codice Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha abilitato la scansione del codice Amazon Inspector Lambda. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
La scansione del codice Amazon Inspector Lambda analizza il codice applicativo personalizzato all'interno di un AWS Lambda funzione per le vulnerabilità del codice basata su AWS migliori pratiche di sicurezza. La scansione del codice Lambda può rilevare difetti di iniezione, fughe di dati, crittografia debole o crittografia mancante nel codice. Questa funzionalità è disponibile in alcuni casi Regioni AWS solo. È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
Correzione
Per abilitare la scansione del codice Amazon Inspector Lambda, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.
[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
Categoria: Rilevamento > Servizi di rilevamento
Gravità: alta
Tipo di risorsa: AWS::::Account
AWS Config regola: inspector-lambda-standard-scan-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la scansione standard di Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione standard di Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione standard Lambda.
In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione standard Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera FAILED risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione standard Amazon Inspector Lambda abilitata. Per ricevere un PASSED risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.
La scansione standard di Amazon Inspector Lambda identifica le vulnerabilità del software nelle dipendenze dei pacchetti applicativi che aggiungi al tuo AWS Lambda codice e livelli di funzione. Se Amazon Inspector rileva una vulnerabilità nelle dipendenze del pacchetto applicativo della funzione Lambda, Amazon Inspector fornisce una ricerca dettagliata del tipo. Package Vulnerability È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
Correzione
Per abilitare la scansione standard di Amazon Inspector Lambda, consulta Attivazione delle scansioni nella Guida per l'utente di Amazon Inspector.
