As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Descobertas de cobertura no Security Hub
nota
O Security Hub está em versão prévia e está sujeito a alterações.
As descobertas de cobertura do Security Hub fornecem visibilidade sobre quais recursos de AWS segurança estão habilitados e onde pode haver lacunas na cobertura em uma conta independente ou em todo o AWS ambiente de uma organização. A ativação de recursos de segurança adicionais aprimorará os recursos de detecção do Security Hub. As descobertas de cobertura avaliam quais GuardDuty recursos de CSPM do Amazon Inspector, Macie e Security Hub estão habilitados para uma conta. Essas descobertas aparecem como um widget no painel do Security Hub com a capacidade de detalhar visualizações mais detalhadas por recurso de segurança específico. Para o administrador delegado, esse widget mostra o detalhamento da cobertura em todas as contas habilitadas para o Security Hub.
Limitações
-
Para contas de membros, as informações de cobertura são agregadas em todas as contas vinculadas Regiões da AWS, mas somente para essa conta de membro.
-
As informações de cobertura não são mostradas para contas não integradas ao Security Hub
-
A cobertura indica apenas se um AWS service (Serviço da AWS) está ativado, não se recursos específicos em um AWS serviço estão habilitados.
Resultados da cobertura do Security Hub CSPM
As descobertas da cobertura do CSPM do Security Hub avaliam se um padrão de segurança qualificado de gerenciamento de postura está habilitado em uma conta. A ativação de qualquer padrão CSPM do Security Hub se qualificará, com exceção dos padrões de marcação AWS Control Tower de recursos.
Pode levar até 24 horas para detectar padrões habilitados por padrão ao ativar o CSPM do Security Hub.
Conclusões de cobertura para GuardDuty
GuardDuty os resultados de cobertura avaliam se GuardDuty está habilitado e quais GuardDuty recursos estão habilitados em um Conta da AWS:
-
Proteção contra malware para a Amazon EC2 — verifica as EC2 instâncias da Amazon em busca de possíveis malwares
-
Proteção do Amazon EKS — monitora os registros de auditoria do Kubernetes em busca de ameaças nos clusters do Amazon EKS
-
Proteção Lambda — analisa as invocações da função Lambda em busca de possíveis ameaças
-
Proteção do Amazon S3 — analisa eventos de dados em busca de possíveis ameaças aos buckets do Amazon S3
-
Proteção do Amazon RDS — monitora ameaças aos bancos de dados do Amazon RDS
-
Monitoramento do tempo de execução — Fornece monitoramento em tempo real do comportamento do tempo de execução nas EC2 instâncias da Amazon
Pode levar até 24 horas para que as atualizações da GuardDuty cobertura sejam refletidas em todas as contas dos membros de uma organização.
Descobertas de cobertura do Amazon Inspector
As descobertas de cobertura do Amazon Inspector avaliam se o Amazon Inspector está ativado e quais recursos estão habilitados em uma conta:
-
Amazon EC2 Scanning — Verifica as EC2 instâncias da Amazon em busca de vulnerabilidades
-
Amazon ECR Scanning — digitaliza imagens de contêineres no Amazon ECR em busca de vulnerabilidades
-
Escaneamento padrão do Lambda — verifica as funções do Lambda em busca de vulnerabilidades
-
Digitalização de código Lambda — verifica as funções do código Lambda em busca de vulnerabilidades de código
-
Segurança de código do Amazon Inspector — verifica o código-fonte de aplicativos primários, dependências de aplicativos de terceiros e a infraestrutura como código em busca de vulnerabilidades
Conclusões da cobertura de Macie
As descobertas de cobertura do Macie são avaliações que indicam se o Macie está habilitado para cruzar. Contas da AWS
Pode levar até 24 horas para que as atualizações da descoberta automatizada de dados confidenciais do Macie sejam refletidas em todas as contas dos membros de uma organização.
