亚马逊 Inspector 的 Security Hub 控件

这些 AWS Security Hub 控件会评估 Amazon Inspector 的服务和资源。

这些控件可能并非全部可用 AWS 区域。 有关更多信息，请参阅按地区划分的控件可用性。

[Inspector.1] 应启用 Amazon Inspector EC2 扫描

类别：检测 > 检测服务

严重性：高

资源类型：AWS::::Account

AWS Config 规则：inspector-ec2-scan-enabled

计划类型：定期

参数：无

此控件会检查 Amazon Inspector EC2 扫描是否已启用。对于独立账户，如果账户中禁用了 Amazon Inspector EC2 扫描，则控制失败。在多账户环境中，如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用EC2扫描，则控制失败。

在多账户环境中，该控件仅在委托的 Amazon Inspector 管理员账户中生成调查结果。只有授权的管理员才能启用或禁用组织中成员帐户的EC2扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员的成员账户已暂停，但未启用 Amazon Inspector EC2 扫描，则此控件会生成FAILED调查结果。要获得PASSED调查结果，授权管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector EC2 扫描会从您的亚马逊弹性计算云 (AmazonEC2) 实例中提取元数据，然后将这些元数据与从安全公告中收集的规则进行比较以得出调查结果。Amazon Inspector 会扫描实例中是否存在包裹漏洞和网络可访问性问题。有关支持的操作系统（包括无需SSM代理即可扫描哪些操作系统）的信息，请参阅支持的操作系统：Amazon EC2 扫描。

修复

要启用 Amazon Inspector 扫EC2描，请参阅亚马逊 Inspector 用户指南中的激活扫描。

[Inspector.2] 应启用 Amazon Inspector ECR 扫描

类别：检测 > 检测服务

严重性：高

资源类型：AWS::::Account

AWS Config 规则：inspector-ecr-scan-enabled

计划类型：定期

参数：无

此控件会检查 Amazon Inspector ECR 扫描是否已启用。对于独立账户，如果账户中禁用了 Amazon Inspector ECR 扫描，则控制失败。在多账户环境中，如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用ECR扫描，则控制失败。

在多账户环境中，该控件仅在委托的 Amazon Inspector 管理员账户中生成调查结果。只有授权的管理员才能启用或禁用组织中成员帐户的ECR扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员的成员账户已暂停，但未启用 Amazon Inspector ECR 扫描，则此控件会生成FAILED调查结果。要获得PASSED调查结果，授权管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector 会扫描存储在亚马逊弹性容器注册表 (AmazonECR) 中的容器映像中是否存在软件漏洞，以生成包裹漏洞调查结果。当你为亚马逊激活 Amazon Inspector 扫描时ECR，你将 Amazon Inspector 设置为私有注册表的首选扫描服务。这用增强型扫描取代了亚马逊免费提供的基本扫描ECR，后者由Amazon Inspector提供并计费。增强型扫描为您提供了在注册表级别对操作系统和编程语言包进行漏洞扫描的好处。您可以在 Amazon ECR 控制台上查看使用图像级别增强扫描发现的结果，针对图像的每一层。此外，您还可以在不适用于基本扫描结果的其他服务中查看和处理这些发现，包括 AWS Security Hub 还有亚马逊 EventBridge。

修复

要启用 Amazon Inspector 扫ECR描，请参阅亚马逊 Inspector 用户指南中的激活扫描。

[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描

类别：检测 > 检测服务

严重性：高

资源类型：AWS::::Account

AWS Config 规则：inspector-lambda-code-scan-enabled

计划类型：定期

参数：无

此控件会检查 Amazon Inspector Lambda 代码扫描是否已启用。对于独立账户，如果账户中禁用了 Amazon Inspector Lambda 代码扫描，则控制失败。在多账户环境中，如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用 Lambda 代码扫描，则控制失败。

在多账户环境中，该控件仅在委托的 Amazon Inspector 管理员账户中生成调查结果。只有委派的管理员才能为组织中的成员账户启用或禁用 Lambda 代码扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托的管理员有一个已暂停的成员账户，但该账户未启用 Amazon Inspector Lambda 代码扫描，则此控件会生成FAILED调查结果。要获得PASSED调查结果，授权管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector Lambda 代码扫描会扫描内部的自定义应用程序代码 AWS Lambda 基于以下内容的代码漏洞函数 AWS 安全最佳实践。Lambda 代码扫描可检测注入缺陷、数据泄露、弱加密或代码中缺少加密。此功能仅在特定版本中可用 AWS 区域 只有。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描（参见）。[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描

修复

要启用 Amazon Inspector Lambda 代码扫描，请参阅亚马逊 Inspector 用户指南中的激活扫描。

[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描

类别：检测 > 检测服务

严重性：高

资源类型：AWS::::Account

AWS Config 规则：inspector-lambda-standard-scan-enabled

计划类型：定期

参数：无

此控件检查是否启用了 Amazon Inspector Lambda 标准扫描。对于独立账户，如果账户中禁用了 Amazon Inspector Lambda 标准扫描，则控制失败。在多账户环境中，如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用 Lambda 标准扫描，则控制失败。

在多账户环境中，该控件仅在委托的 Amazon Inspector 管理员账户中生成调查结果。只有委派的管理员才能为组织中的成员账户启用或禁用 Lambda 标准扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托的管理员有一个已暂停的成员账户，但该账户未启用 Amazon Inspector Lambda 标准扫描，则此控件会生成FAILED调查结果。要获得PASSED调查结果，授权管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。

Amazon Inspector Lambda 标准扫描可识别您添加到您的应用程序包依赖项中的软件漏洞 AWS Lambda 函数代码和图层。如果 Amazon Inspector 在您的 Lambda 函数应用程序包依赖项中检测到漏洞，Amazon Inspector 会生成详细的Package Vulnerability类型发现结果。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描（参见）。[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描

修复

要启用 Amazon Inspector Lambda 标准扫描，请参阅亚马逊 Inspector 用户指南中的激活扫描。