本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件适用于 GuardDuty
这些 AWS Security Hub 控制评估 Amazon GuardDuty 服务和资源。
这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性。
[GuardDuty.1] GuardDuty 应该启用
相关要求:PCIDSSv3.2.1/11.4、 NIST.800-53.r5 AC-2 (12)、、(4)、1 (1)、1 (6)、5 (2) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (8)、(19)、(21)、(25)、( NIST.800-53.r5 SA-11)、 NIST.800-53.r5 SA-1 (3)、.800-53.r NIST.800-53.r5 SA-1 5 SI-20、.800-53.r NIST.800-53.r5 SA-1 5 SI-3 (8)、.800-53.r5 SI-4、 NIST.800-53.r5 SA-8 .800-53.r5、 NIST.800-53.r5 SA-8 .800-53.r5 SI-4、 NIST.800-53.r5 SC-5 NIST .800-53.r5、 NIST.800-53.r5 SC-5 .800-53.r5 SI-4、.800-53.r5 -53.r5 SI-4 NIST.800-53.r5 SC-5 (1)、NIST .800-53.r5 SI-4 (13)、.800-53.r5 SI-4 (2)、NIST .800-53.r5 SI-4 (22)、.800-53.r5 SI NIST -4 (25)、.800-53.r5 SI-4 (4), NIST.800-53.r5 SA-8NISTNISTNISTNISTNISTNIST.800-53.r5 SI-4 (5)
类别:检测 > 检测服务
严重性:高
资源类型:AWS::::Account
AWS Config 规则:guardduty-enabled-centralized
计划类型:定期
参数:无
此控件会检查您的 GuardDuty 账户和地区 GuardDuty 是否启用了 Amazon。
强烈建议您在所有支持的版本 GuardDuty 中启用 AWS 区域。这样 GuardDuty 做可以生成有关未经授权或异常活动的调查结果,即使在您不经常使用的地区也是如此。这也 GuardDuty 允许监控全球 CloudTrail 事件 AWS 服务 比如IAM。
修复
要启用 GuardDuty,请参阅 Amazon GuardDuty 用户指南 GuardDuty中的入门指南。
[GuardDuty.2] 应标记 GuardDuty 过滤器
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::GuardDuty::Filter
AWS Config 规则:tagged-guardduty-filter(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 |
No default value
|
此控件会检查 Amazon GuardDuty 筛选条件是否具有参数中定义的特定密钥的标签requiredTagKeys。如果过滤器没有任何标签键或者没有在参数中指定的所有密钥,则控件将失败requiredTagKeys。如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果过滤器未使用任何密钥标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要向 GuardDuty 筛选器添加标签,请参阅 TagResource在 Amazon GuardDuty API 参考中。
[GuardDuty.3] GuardDuty IPSets 应该被标记
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::GuardDuty::IPSet
AWS Config 规则:tagged-guardduty-ipset(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 |
No default value
|
此控件检查 Amazon 是否 GuardDuty IPSet具有参数中定义的特定密钥的标签requiredTagKeys。如果没有任何标签密钥或参数中没有指定的所有密钥,则控件将失败requiredTagKeys。IPSet如果requiredTagKeys未提供该参数,则该控件仅检查标签密钥是否存在,如果未使用任何密钥进行标记,则该控IPSet件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要向 a 添加标签 GuardDuty IPSet,请参阅 TagResource在 Amazon GuardDuty API 参考中。
[GuardDuty.4] 应 GuardDuty 标记探测器
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::GuardDuty::Detector
AWS Config 规则:tagged-guardduty-detector(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合条件的标签列表 AWS 要求 |
No default value
|
此控件检查 Amazon GuardDuty 探测器是否具有参数中定义的特定密钥的标签requiredTagKeys。如果探测器没有任何标签键或者没有在参数中指定的所有密钥,则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数,则控件仅检查标签密钥是否存在,如果检测器未使用任何密钥标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给的标签 AWS 资源,它由一个键和一个可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以将标签附加到IAM实体(用户或角色)和 AWS 资源的费用。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅用ABAC途 AWS? 在《IAM用户指南》中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。 有关更多标记最佳实践,请参阅为自己添加标签 AWS中的资源 AWS 一般参考.
修复
要向 GuardDuty 探测器添加标签,请参见 TagResource在 Amazon GuardDuty API 参考中。
[GuardDuty.5] 应启用 “ GuardDuty EKS审计日志监控”
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
AWS Config 规则:guardduty-eks-protection-audit-enabled
计划类型:定期
参数:无
此控件检查是否启用了 GuardDuty EKS审核日志监控。对于独立账户,如果在账户中禁用 “ GuardDuty EKS审计日志监控”,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用EKS审核日志监控,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员帐户启用或禁用 “EKS审计日志监控” 功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委派的 GuardDuty 管理员有未启用 “ GuardDuty EKS审核日志监控” 的已暂停成员帐户,则此控件会生成FAILED调查结果。要获得PASSED调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty EKS审计日志监控可帮助您检测亚马逊 Elastic Kubernetes Service(亚马逊)集群中可能存在的可疑活动。EKSEKS审计日志监控使用 Kubernetes 审计日志来捕获用户、使用 Kubernetes API 的应用程序和控制平面按时间顺序排列的活动。
修复
要启用 GuardDuty EKS审计日志监控,请参阅 Amazon GuardDuty 用户指南中的EKS审计日志监控。
[GuardDuty.6] 应启用 Lamb GuardDuty da 保护
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
AWS Config 规则:guardduty-lambda-protection-enabled
计划类型:定期
参数:无
此控件检查 GuardDuty Lambda 保护是否已启用。对于独立账户,如果在账户中禁用 GuardDuty Lambda 保护,则控制失败。在多账户环境中,如果委托的 GuardDuty 管理员账户和所有成员账户未启用 Lambda Protection,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有委派的管理员才能为组织中的成员账户启用或禁用 Lambda 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托 GuardDuty 管理员有未启用 GuardDuty Lambda Protection 的已暂停成员账户,则此控件会生成FAILED调查结果。要获得PASSED调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty Lambda Protection 可帮助您在出现以下情况时识别潜在的安全威胁 AWS Lambda 函数被调用。启用 Lambda 保护后, GuardDuty 开始监控与您的 Lambda 函数关联的 Lambda 网络活动日志 AWS 账户。 当 Lambda 函数被调用并 GuardDuty 识别出表明您的 Lambda 函数中存在潜在恶意代码的可疑网络流量时, GuardDuty 会生成调查结果。
修复
要启用 GuardDuty Lambda 保护,请参阅亚马逊用户指南中的配置 Lambda 保护。 GuardDuty
[GuardDuty.8] EC2 应 GuardDuty 启用恶意软件防护
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
AWS Config 规则:guardduty-malware-protection-enabled
计划类型:定期
参数:无
此控件检查是否启用了 GuardDuty 恶意软件防护。对于独立帐户,如果该帐户中禁用了 GuardDuty 恶意软件防护,则该控制将失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用恶意软件防护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员帐户启用或禁用恶意软件防护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有一个已暂停但未启用 GuardDuty 恶意软件防护的成员帐户,则此控件会生成FAILED调查结果。要获得PASSED调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
GuardDuty 恶意软件防护通过扫描附加到亚马逊弹性计算云 (AmazonEBS) 实例和容器工作负载的亚马逊弹性区块存储 (AmazonEC2) 卷来EC2帮助您检测恶意软件的潜在存在。恶意软件防护提供扫描选项,您可以在扫描时决定是否要包括或排除特定EC2实例和容器工作负载。它还提供了一个选项,可以在您的 GuardDuty 账户中保留挂载到EC2实例或容器工作负载的EBS卷的快照。只有在发现恶意软件并生成恶意软件防护调查发现时,才会保留快照。
修复
要为启用 GuardDuty 恶意软件防护EC2,请参阅 Amazon GuardDuty 用户指南中的配置 GuardDuty启动的恶意软件扫描。
[GuardDuty.9] 应启用 GuardDuty RDS保护
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
AWS Config 规则:guardduty-rds-protection-enabled
计划类型:定期
参数:无
此控件检查 GuardDuty RDS保护是否已启用。对于独立账户,如果账户中禁用了 GuardDuty RDS保护,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用RDS保护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用RDS保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委托的 GuardDuty 管理员有未启用 GuardDuty RDS保护的已暂停成员帐户,则此控件会生成FAILED调查结果。要获得PASSED调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
RDS在 GuardDuty 分析和分析RDS登录活动中保护您的亚马逊 Aurora 数据库(Aurora 我的SQL兼容版和 Aurora Postgre SQL-兼容版)的潜在访问威胁。此功能允许您识别潜在的可疑登录行为。RDS保护不需要额外的基础架构;它的设计不影响数据库实例的性能。当 P RDS rotection 检测到表明您的数据库存在威胁的潜在可疑或异常登录尝试时, GuardDuty 会生成新的调查结果,其中包含有关可能受感染的数据库的详细信息。
修复
要启用 GuardDuty RDS保护,请参阅 Amazon GuardDuty 用户指南中的GuardDuty RDS保护。
[GuardDuty.10] 应启用 GuardDuty S3 保护
类别:检测 > 检测服务
严重性:高
资源类型:AWS::GuardDuty::Detector
AWS Config 规则:guardduty-s3-protection-enabled
计划类型:定期
参数:无
此控件检查 GuardDuty S3 保护是否已启用。对于独立账户,如果在账户中禁用 GuardDuty S3 保护,则控制失败。在多账户环境中,如果委派的 GuardDuty 管理员账户和所有成员账户未启用 S3 保护,则控制失败。
在多账户环境中,该控件仅在委派的 GuardDuty 管理员帐户中生成调查结果。只有授权的管理员才能为组织中的成员账户启用或禁用 S3 保护功能。 GuardDuty 成员账户无法通过其账户修改此配置。如果委派的 GuardDuty 管理员有未启用 GuardDuty S3 保护的已暂停成员账户,则此控件会生成FAILED调查结果。要获得PASSED调查结果,授权管理员必须解除这些已暂停账户的 GuardDuty关联。
S3 Protection 允许 GuardDuty 监控对象级API操作,以识别您的亚马逊简单存储服务 (Amazon S3) 存储桶中数据的潜在安全风险。 GuardDuty 通过分析来监控针对您的 S3 资源的威胁 AWS CloudTrail 管理事件和 CloudTrail S3 数据事件。
修复
要启用 GuardDuty S3 保护,请参阅亚马逊 GuardDuty 用户指南 GuardDuty中的亚马逊 S3 保护。
