

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Controlli CSPM di Security Hub per Amazon Inspector
<a name="inspector-controls"></a>

Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse di Amazon Inspector.

Questi controlli potrebbero non essere disponibili in tuttiRegioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).

## [Inspector.1] La scansione di Amazon Inspector EC2 deve essere abilitata
<a name="inspector-1"></a>

**Requisiti correlati:** PCI DSS v4.0. 1/113.3.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ec2-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la scansione di Amazon Inspector EC2 è abilitata. Per un account indipendente, il controllo fallisce se la scansione di Amazon Inspector EC2 è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione EC2.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione EC2 per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione Amazon Inspector EC2 abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La scansione di Amazon Inspector EC2 estrae i metadati dalla tua istanza Amazon Elastic Compute Cloud (Amazon EC2), quindi confronta questi metadati con le regole raccolte dagli avvisi di sicurezza per produrre risultati. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete. Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un agente SSM, consulta [Sistemi operativi supportati: scansione Amazon EC2](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-ec2).

### Correzione
<a name="inspector-1-remediation"></a>

*Per abilitare la scansione di Amazon Inspector EC2, consulta [Attivazione delle scansioni nella Guida per l'utente](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) di Amazon Inspector.*

## [Inspector.2] La scansione ECR di Amazon Inspector deve essere abilitata
<a name="inspector-2"></a>

**Requisiti correlati:** PCI DSS v4.0. 1/113.3.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-ecr-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la scansione ECR di Amazon Inspector è abilitata. Per un account indipendente, il controllo fallisce se la scansione ECR di Amazon Inspector è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account dei membri non hanno abilitato la scansione ECR.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione ECR per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione ECR di Amazon Inspector abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

Amazon Inspector analizza le immagini dei container archiviate in Amazon Elastic Container Registry (Amazon ECR) alla ricerca di vulnerabilità del software per generare risultati sulle vulnerabilità dei pacchetti. Quando attivi le scansioni Amazon Inspector per Amazon ECR, imposti Amazon Inspector come servizio di scansione preferito per il tuo registro privato. Questo sostituisce la scansione di base, fornita gratuitamente da Amazon ECR, con la scansione avanzata, fornita e fatturata tramite Amazon Inspector. La scansione avanzata offre il vantaggio della scansione delle vulnerabilità sia per il sistema operativo che per i pacchetti di linguaggi di programmazione a livello di registro. Puoi esaminare i risultati scoperti utilizzando la scansione avanzata a livello di immagine, per ogni livello dell'immagine, sulla console Amazon ECR. Inoltre, puoi esaminare e utilizzare questi risultati in altri servizi non disponibili per le scansioni di base, AWS Security Hub CSPM tra cui Amazon EventBridge.

### Correzione
<a name="inspector-2-remediation"></a>

*Per abilitare la scansione Amazon Inspector ECR, consulta [Attivazione delle scansioni nella Guida per l'](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc)utente di Amazon Inspector.*

## [Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata
<a name="inspector-3"></a>

**Requisiti correlati:** PCI DSS v4.0. 1/62.2.4, PCI DSS versione 4.0. 1/63.3.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-code-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la scansione del codice Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione del codice Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione del codice Lambda.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione del codice Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha abilitato la scansione del codice Amazon Inspector Lambda. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La scansione del codice Amazon Inspector Lambda analizza il codice dell'applicazione personalizzata all'interno di una AWS Lambda funzione alla ricerca di vulnerabilità del codice in base alle best practice di sicurezza. AWS La scansione del codice Lambda può rilevare difetti di iniezione, fughe di dati, crittografia debole o crittografia mancante nel codice. [Questa funzionalità è disponibile solo in alcuni casi specifici. Regioni AWS](https://docs.aws.amazon.com/inspector/latest/user/inspector_regions.html#ins-regional-feature-availability) È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [[Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata](#inspector-4)

### Correzione
<a name="inspector-3-remediation"></a>

*Per abilitare la scansione del codice Amazon Inspector Lambda, consulta [Attivazione delle scansioni nella](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Guida per l'utente di Amazon Inspector.*

## [Inspector.4] La scansione standard di Amazon Inspector Lambda deve essere abilitata
<a name="inspector-4"></a>

**Requisiti correlati:** PCI DSS v4.0. 1/62.2.4, PCI DSS versione 4.0. 1/63.3.1

**Categoria:** Rilevamento > Servizi di rilevamento

**Gravità:** alta

**Tipo di risorsa:** `AWS::::Account`

**Regola AWS Config: ** [https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/inspector-lambda-standard-scan-enabled.html)

**Tipo di pianificazione:** periodica

**Parametri:** nessuno

Questo controllo verifica se la scansione standard di Amazon Inspector Lambda è abilitata. Per un account indipendente, il controllo fallisce se la scansione standard di Amazon Inspector Lambda è disabilitata nell'account. In un ambiente con più account, il controllo fallisce se l'account amministratore delegato di Amazon Inspector e tutti gli account membri non hanno abilitato la scansione standard Lambda.

In un ambiente con più account, il controllo genera risultati solo nell'account amministratore delegato di Amazon Inspector. Solo l'amministratore delegato può abilitare o disabilitare la funzionalità di scansione standard Lambda per gli account dei membri dell'organizzazione. Gli account membri di Amazon Inspector non possono modificare questa configurazione dai loro account. Questo controllo genera `FAILED` risultati se l'amministratore delegato ha un account membro sospeso che non ha la scansione standard Amazon Inspector Lambda abilitata. Per ricevere un `PASSED` risultato, l'amministratore delegato deve dissociare questi account sospesi in Amazon Inspector.

La scansione standard di Amazon Inspector Lambda identifica le vulnerabilità del software nelle dipendenze dei pacchetti applicativi che aggiungi al codice e ai livelli delle funzioni. AWS Lambda Se Amazon Inspector rileva una vulnerabilità nelle dipendenze del pacchetto applicativo della funzione Lambda, Amazon Inspector fornisce una ricerca dettagliata del tipo. `Package Vulnerability` È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda (vedi). [[Inspector.3] La scansione del codice Amazon Inspector Lambda deve essere abilitata](#inspector-3) 

### Correzione
<a name="inspector-4-remediation"></a>

*Per abilitare la scansione standard di Amazon Inspector Lambda, consulta [Attivazione delle scansioni nella](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html#activate-scans-proc) Guida per l'utente di Amazon Inspector.*