As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para o Amazon Inspector
Esses AWS Security Hub os controles avaliam o serviço e os recursos do Amazon Inspector.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
Categoria: Detectar > Serviços de detecção
Severidade: alta
Tipo de recurso: AWS::::Account
AWS Config regra: inspector-ec2-scan-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o EC2 escaneamento do Amazon Inspector está habilitado. Para uma conta autônoma, o controle falhará se a digitalização do Amazon EC2 Inspector estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada de administrador do Amazon Inspector e todas as contas membros não EC2 tiverem a verificação ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta delegada do administrador do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de EC2 escaneamento das contas dos membros na organização. As contas de membros do Amazon Inspector não podem modificar essa configuração a partir de suas contas. Esse controle gera FAILED descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação do Amazon EC2 Inspector ativada. Para receber uma PASSED descoberta, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O EC2 escaneamento do Amazon Inspector extrai metadados da sua instância do Amazon Elastic Compute Cloud (EC2Amazon) e, em seguida, compara esses metadados com regras coletadas de consultorias de segurança para produzir descobertas. O Amazon Inspector verifica as instâncias em busca de vulnerabilidades de pacotes e problemas de acessibilidade da rede. Para obter informações sobre sistemas operacionais compatíveis, incluindo quais sistemas operacionais podem ser escaneados sem um SSM agente, consulte Sistemas operacionais compatíveis: EC2 escaneamento da Amazon.
Correção
Para habilitar o EC2 escaneamento do Amazon Inspector, consulte Ativação de escaneamentos no Guia do usuário do Amazon Inspector.
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
Categoria: Detectar > Serviços de detecção
Severidade: alta
Tipo de recurso: AWS::::Account
AWS Config regra: inspector-ecr-scan-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o ECR escaneamento do Amazon Inspector está habilitado. Para uma conta autônoma, o controle falhará se a digitalização do Amazon ECR Inspector estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada de administrador do Amazon Inspector e todas as contas membros não ECR tiverem a verificação ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta delegada do administrador do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de ECR escaneamento das contas dos membros na organização. As contas de membros do Amazon Inspector não podem modificar essa configuração a partir de suas contas. Esse controle gera FAILED descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação do Amazon ECR Inspector ativada. Para receber uma PASSED descoberta, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O Amazon Inspector escaneia imagens de contêineres armazenadas no Amazon Elastic Container Registry (AmazonECR) em busca de vulnerabilidades de software para gerar descobertas de vulnerabilidades de pacotes. Quando você ativa os escaneamentos do Amazon Inspector para a AmazonECR, você define o Amazon Inspector como seu serviço de escaneamento preferido para seu registro privado. Isso substitui o escaneamento básico, que é fornecido gratuitamente pela AmazonECR, pelo escaneamento aprimorado, que é fornecido e cobrado pelo Amazon Inspector. O escaneamento aprimorado oferece o benefício do escaneamento de vulnerabilidades para pacotes de sistemas operacionais e linguagens de programação no nível do registro. Você pode analisar as descobertas usando a digitalização aprimorada no nível da imagem, para cada camada da imagem, no ECR console da Amazon. Além disso, você pode analisar e trabalhar com essas descobertas em outros serviços não disponíveis para descobertas básicas de escaneamento, incluindo AWS Security Hub e Amazon EventBridge.
Correção
Para habilitar o ECR escaneamento do Amazon Inspector, consulte Ativação de escaneamentos no Guia do usuário do Amazon Inspector.
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
Categoria: Detectar > Serviços de detecção
Severidade: alta
Tipo de recurso: AWS::::Account
AWS Config regra: inspector-lambda-code-scan-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se a digitalização de código Lambda do Amazon Inspector está ativada. Para uma conta independente, o controle falhará se a leitura de código do Amazon Inspector Lambda estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada do administrador do Amazon Inspector e todas as contas dos membros não tiverem a leitura de código Lambda ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta delegada do administrador do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de digitalização de código Lambda para as contas dos membros na organização. As contas de membros do Amazon Inspector não podem modificar essa configuração a partir de suas contas. Esse controle gera FAILED descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação de código do Amazon Inspector Lambda ativada. Para receber uma PASSED descoberta, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O escaneamento de código Lambda do Amazon Inspector escaneia o código personalizado do aplicativo em um AWS Lambda função para vulnerabilidades de código com base em AWS melhores práticas de segurança. O escaneamento de código do Lambda pode detectar falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente em seu código. Esse recurso está disponível de forma específica Regiões da AWS somente. Você pode ativar o escaneamento de código Lambda junto com o escaneamento padrão do Lambda (consulte). [Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
Correção
Para habilitar o escaneamento de código do Amazon Inspector Lambda, consulte Ativação de escaneamentos no Guia do Usuário do Amazon Inspector.
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
Categoria: Detectar > Serviços de detecção
Severidade: alta
Tipo de recurso: AWS::::Account
AWS Config regra: inspector-lambda-standard-scan-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o escaneamento padrão do Amazon Inspector Lambda está habilitado. Para uma conta autônoma, o controle falhará se a digitalização padrão do Amazon Inspector Lambda estiver desativada na conta. Em um ambiente com várias contas, o controle falha se a conta delegada do administrador do Amazon Inspector e todas as contas dos membros não tiverem a verificação padrão Lambda ativada.
Em um ambiente com várias contas, o controle gera descobertas somente na conta delegada do administrador do Amazon Inspector. Somente o administrador delegado pode ativar ou desativar o recurso de escaneamento padrão do Lambda para as contas dos membros na organização. As contas de membros do Amazon Inspector não podem modificar essa configuração a partir de suas contas. Esse controle gera FAILED descobertas se o administrador delegado tiver uma conta de membro suspensa que não tenha a verificação padrão do Amazon Inspector Lambda ativada. Para receber uma PASSED descoberta, o administrador delegado deve desassociar essas contas suspensas no Amazon Inspector.
O escaneamento padrão do Amazon Inspector Lambda identifica vulnerabilidades de software nas dependências do pacote de aplicativos que você adiciona ao seu AWS Lambda código de função e camadas. Se o Amazon Inspector detectar uma vulnerabilidade nas dependências do pacote do aplicativo da função Lambda, o Amazon Inspector produzirá uma descoberta de tipo detalhada. Package Vulnerability Você pode ativar o escaneamento de código Lambda junto com o escaneamento padrão do Lambda (consulte). [Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
Correção
Para habilitar o escaneamento padrão do Amazon Inspector Lambda, consulte Ativação de escaneamentos no Guia do Usuário do Amazon Inspector.
