Amazon Inspector 控制 - AWS Security Hub
[檢查器 .1] 應啟用亞馬遜 Inspector EC2 掃描[檢查器 .2] 應啟用亞馬遜 Inspector ECR 掃描[檢查器 .3] 應啟用亞馬遜 Inspector Lambda 代碼掃描[檢查員 .4] 應啟用亞馬遜 Inspector Lambda 標準掃描

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Inspector 控制

這些控制項與 Amazon Inspector 資源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性

[檢查器 .1] 應啟用亞馬遜 Inspector EC2 掃描

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::::Account

AWS Config 規則:inspector-ec2-scan-enabled

排程類型:定期

參數:

此控制項會檢查是否已啟用 Amazon Inspector EC2 掃描。如果未啟用 Amazon Inspector EC2 掃描,則控制項會失敗。

注意

在多帳戶環境中,此控制項只會評估委派的 Amazon Inspector 管理員帳戶。只有委派的系統管理員可以啟用或停用組織中成員帳戶的EC2掃描功能。Amazon Inspector 成員帳戶無法從他們的帳戶修改此組態。

Amazon Inspector EC2 掃描會從 Amazon 彈性運算雲端 (AmazonEC2) 執行個體擷取中繼資料,然後將此中繼資料與從安全建議收集的規則進行比較,以產生發現結果。Amazon Inspector 會掃描執行個體,找出套件漏洞和網路連線問題。如需有關支援作業系統的資訊 (包括哪些作業系統可在沒有SSM代理程式的情況下EC2掃描),請參閱支援的作業系統:Amazon Scan。

修補

若要啟用亞馬遜檢查器EC2掃描,請參閱 Amazon Inspector 使用者指南中的用掃描。

[檢查器 .2] 應啟用亞馬遜 Inspector ECR 掃描

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::::Account

AWS Config 規則:inspector-ecr-scan-enabled

排程類型:定期

參數:

此控制項會檢查是否已啟用 Amazon Inspector ECR 掃描。如果未啟用 Amazon Inspector ECR 掃描,則控制項會失敗。

注意

在多帳戶環境中,此控制項只會評估委派的 Amazon Inspector 管理員帳戶。只有委派的系統管理員可以啟用或停用組織中成員帳戶的ECR掃描功能。Amazon Inspector 成員帳戶無法從他們的帳戶修改此組態。

Amazon Inspector 會掃描存放在 Amazon 彈性容器登錄 (AmazonECR) 中的容器映像,找出軟體弱點,以產生套件漏洞發現的資訊。當您為 Amazon 啟用亞馬遜檢查器掃描時ECR,您可以將 Amazon Inspector 設置為您的私有註冊表首選掃描服務。這將以增強型掃描取代 Amazon 免費提供的基本掃描ECR,這是透過 Amazon Inspector 提供和計費的增強型掃描功能。增強型掃描可讓您在登錄層級針對作業系統和程式設計語言套件進行弱點掃描的好處。您可以在 Amazon ECR 主控台上,針對影像的每一層,在映像層級使用增強型掃描來檢閱發現的發現項目。此外,您可以在其他不適用於基本掃描發現項目 (包括和 Amazon) 的服務中檢閱 AWS Security Hub 和處理這些發現項目 EventBridge。

修補

若要啟用亞馬遜檢查器ECR掃描,請參閱 Amazon Inspector 使用者指南中的用掃描。

[檢查器 .3] 應啟用亞馬遜 Inspector Lambda 代碼掃描

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::::Account

AWS Config 規則:inspector-lambda-code-scan-enabled

排程類型:定期

參數:

此控制項會檢查是否已啟用 Amazon Inspector Lambda 程式碼掃描。如果未啟用 Amazon Inspector Lambda 程式碼掃描,則控制會失敗。

注意

在多帳戶環境中,此控制項只會評估委派的 Amazon Inspector 管理員帳戶。只有委派的管理員可以啟用或停用組織中成員帳戶的 Lambda 程式碼掃描功能。Amazon Inspector 成員帳戶無法從他們的帳戶修改此組態。

Amazon Inspector Lambda 程式碼掃描會根據 AWS 安全最佳實務,掃描 AWS Lambda 函數內的自訂應用程式程式碼,找出程式碼弱點 Lambda 程式碼掃描可以偵測程式碼中的插入瑕疵、資料外洩、弱式密碼編譯或遺漏的加密。此功能AWS 區域 僅在特定情況下提供。您可以使用 Lambda 標準掃描來啟用 Lambda 程式碼掃描 (請參閱[檢查員 .4] 應啟用亞馬遜 Inspector Lambda 標準掃描)。

修補

要啟用 Amazon Inspector Lambda 代碼掃描,請參閱 Amazon Inspector 用戶指南中的用掃描。

[檢查員 .4] 應啟用亞馬遜 Inspector Lambda 標準掃描

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::::Account

AWS Config 規則:inspector-lambda-standard-scan-enabled

排程類型:定期

參數:

此控制項會檢查是否已啟用 Amazon Inspector Lambda 標準掃描。如果未啟用 Amazon Inspector Lambda 標準掃描,則控制會失敗。

注意

在多帳戶環境中,此控制項只會評估委派的 Amazon Inspector 管理員帳戶。只有委派的管理員才能為組織中的成員帳戶啟用或停用 Lambda 標準掃描功能。Amazon Inspector 成員帳戶無法從他們的帳戶修改此組態。

Amazon Inspector Lambda 標準掃描可識別新增至 AWS Lambda 函數程式碼和層的應用程式套件相依性中的軟體弱點。如果 Amazon Inspector 在您的 Lambda 函數應用程式套件相依性中偵測到漏洞,Amazon Inspector 會產生詳細的Package Vulnerability類型尋找。您可以使用 Lambda 標準掃描來啟用 Lambda 程式碼掃描 (請參閱[檢查器 .3] 應啟用亞馬遜 Inspector Lambda 代碼掃描)。

修補

要啟用 Amazon Inspector Lambda 標準掃描,請參閱 Amazon Inspector 用戶指南中的用掃描。