As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Referência de controles do Security Hub
Essa referência de controles fornece uma lista dos AWS Security Hub controles disponíveis com links para mais informações sobre cada controle. A tabela de visão geral exibe os controles em ordem alfabética por ID de controle. Apenas os controles em uso ativo pelo Security Hub estão incluídos aqui. Os controles descontinuados são excluídos dessa lista. A tabela fornece as seguintes informações para cada controle:
-
ID de controle de segurança: essa ID se aplica a todos os padrões e indica o AWS service (Serviço da AWS) e o recurso ao qual o controle está relacionado. O console do Security Hub exibe o controle de segurança IDs, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. No entanto, as descobertas do Security Hub fazem referência ao controle de segurança IDs somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns controles IDs podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. Como a consolidação afeta o controle IDs e os títulos
Se quiser configurar automações para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o Security Hub possa ocasionalmente atualizar títulos ou descrições de controle, o controle IDs permanece o mesmo.
Os números do IDs devem ser ignorados pelo Esses são espaços reservados para futuros controles.
-
Padrões aplicáveis: indica a quais padrões um controle se aplica. Escolha um controle para analisar os requisitos específicos de estruturas de conformidade de terceiros.
-
Título de controle de segurança: esse título se aplica a todos os padrões. O console do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. Como a consolidação afeta o controle IDs e os títulos
-
Severidade: a severidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o Security Hub determina a severidade do controle, consulte Nível de severidade dos resultados de controle.
-
Tipo de programação: indica quando o controle é avaliado. Para obter mais informações, consulte Programar a execução de verificações de segurança.
-
Oferece suporte a parâmetros personalizados: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Escolha um controle para revisar os detalhes dos parâmetros. Para obter mais informações, consulte Compreender os parâmetros de controles no Security Hub.
Escolha um controle para revisar detalhes adicionais. Os controles são listados em ordem alfabética por ID de controle de segurança.
| ID do controle de segurança | Título de controle de segurança | Padrões aplicáveis | Gravidade | Oferece suporte a parâmetros personalizados | Tipo de programação |
|---|---|---|---|---|---|
| Account.1 | As informações de contato de segurança devem ser fornecidas para uma Conta da AWS | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MÉDIO | Periódico | |
| Account.2 | Conta da AWS deve fazer parte de uma AWS Organizations organização | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ACM.1 | Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações e periódico |
| ACM.2 | Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| ACM.3 | Os certificados do ACM devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Amplificar.1 | Os aplicativos Amplify devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Amplificar.2 | As ramificações do Amplify devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| APIGateway1. | O registro de execução da API de Gateway, WebSocket REST e API de Gateway deve estar ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| APIGateway.2 | Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| APIGateway.3 | Os estágios da API REST de Gateway devem ter o AWS X-Ray rastreamento habilitado. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| APIGateway.4 | O API Gateway deve ser associado a uma ACL da web do WAF | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| APIGateway5. | Os dados do cache da API REST de Gateway devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| APIGateway8. | As rotas do API de Gateway devem especificar um tipo de autorização | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| APIGateway9. | O registro de acesso deve ser configurado para os estágios V2 do API de Gateway | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| AppConfig1. | AWS AppConfig Os aplicativos do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppConfig.2 | AWS AppConfig Perfis de configuração do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppConfig.3 | AWS AppConfig Os ambientes do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppConfig.4 | AWS AppConfig As associações de extensão do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppFlow1. | AppFlow Os fluxos da Amazon devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppRunner1. | Os serviços do App Runner devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppRunner.2 | Os conectores VPC do App Runner devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppSync1. | AWS AppSync Os caches da API do devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| AppSync.2 | AWS AppSync O deve ter o registro em log em nível de campo habilitado | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| AppSync.4 | AWS AppSync GraphQL APIs deve ser marcado | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| AppSync5. | AWS AppSync O GraphQL não APIs deve ser autenticado com chaves de API | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| AppSync.6 | AWS AppSync Os caches da API do devem ser criptografados em trânsito | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| Athena.2 | Os catálogos de dados do Athena devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Athena.3 | Os grupos de trabalho do Athena devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Athena.4 | Os grupos de trabalho do Athena devem ter o registro em log habilitado | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| AutoScaling1. | Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| AutoScaling.2 | O grupo do Amazon EC2 Auto Scaling deve abranger diversas zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| AutoScaling.3 | As configurações de lançamento em grupo do Auto Scaling devem configurar as EC2 instâncias para que exijam o Instance Metadata Service versão 2 () IMDSv2 | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| Auto Scaling | EC2 As instâncias da Amazon lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| AutoScaling.6 | Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| AutoScaling9. | EC2 Os grupos do Auto Scaling devem usar EC2 modelos de lançamento | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| AutoScaling.10 | EC2 Os grupos do Auto Scaling devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Backup.1 | AWS Backup Os pontos de recuperação do devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| Backup.2 | AWS Backup Os pontos de recuperação do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Backup.3 | AWS Backup Os cofres do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Backup.4 | AWS Backup Os planos de relatórios do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Backup.5 | AWS Backup Os planos de backup do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Lote.1 | As filas de trabalhos do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Lote.2 | As políticas de agendamento em lote do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Lote.3 | Ambientes de computação em lote devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Lote.4 | As propriedades dos recursos computacionais em ambientes de computação gerenciados em Batch devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| CloudFormation.2 | CloudFormation As pilhas do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| CloudFront1. | CloudFront As distribuições devem ter um objeto raiz padrão configurado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações | |
| CloudFront.3 | CloudFront As distribuições devem exigir criptografia em trânsito | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.4 | CloudFront As distribuições devem ter o failover de origem configurado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| CloudFront5. | CloudFront As distribuições do devem ter o registro em log habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.6 | CloudFront As distribuições do devem ter o WAF ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront7. | CloudFront As distribuições devem usar certificados SSL/TLS personalizados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| CloudFront8. | CloudFront As distribuições devem usar a SNI para atender às solicitações HTTPS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| CloudFront9. | CloudFront As distribuições devem criptografar o tráfego para origens personalizadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront.10 | CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| CloudFront1.2 | CloudFront As distribuições não devem apontar para origens inexistentes do S3 | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| CloudFront1.3 | CloudFront As distribuições devem usar o controle de acesso de origem | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | |
Acionado por alterações |
| CloudFront1.4 | CloudFront As distribuições do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| CloudTrail1. | CloudTrail deve ser ativado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | Periódico | |
| CloudTrail.2 | CloudTrail deve ter a criptografia em repouso habilitada | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS , NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v3.2.1, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Periódico |
| CloudTrail.3 | Pelo menos uma CloudTrail trilha do deve ser habilitada | NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | HIGH (ALTO) | Periódico | |
| CloudTrail.4 | CloudTrail A validação do arquivo de log deve estar habilitada | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Periódico |
| CloudTrail5. | CloudTrail As trilhas devem ser integradas ao Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Periódico |
| CloudTrail.6 | Verificar se o bucket do S3 usado para armazenar CloudTrail registros não é acessível publicamente | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, PCI AWS DSS v4.0.1 | CRÍTICO | |
Acionado por alterações e periódico |
| CloudTrail7. | Verificar se o registro de log de acesso ao bucket do S3 está habilitado no bucket do CloudTrail S3 | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS | BAIXO | |
Periódico |
| CloudTrail9. | CloudTrail As trilhas do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| CloudTrail.10 | CloudTrail Os armazenamentos de dados de eventos do Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys | NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| CloudWatch1. | Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz” | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | BAIXO | |
Periódico |
| CloudWatch.2 | Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.3 | Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA | CIS AWS Foundations Benchmark v1.2.0 | BAIXO | |
Periódico |
| CloudWatch.4 | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch5. | Verificar se existe um alarme e um filtro de métrica de logs para alterações CloudTrail de configuração do | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.6 | Verificar se existe um alarme e um filtro de métrica de logs para falhas AWS Management Console de autenticação | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch7. | Verificar se existe um alarme e um filtro de métrica de logs para a desativação ou exclusão programada do cliente CMKs | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch8. | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch9. | Verificar se existe um alarme e um filtro de métrica de logs para alterações AWS Config de configuração do | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch.10 | Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch1.1 | Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL) | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch1.2 | Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch1.3 | Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch1.4 | Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC | CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | BAIXO | |
Periódico |
| CloudWatch1.5 | CloudWatch Os alarmes devem ter ações especificadas configuradas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | |
Acionado por alterações |
| CloudWatch1.6 | CloudWatch Os grupos de log devem ser retidos por um período de tempo especificado | NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| CloudWatch1.7 | CloudWatch Ações de alarme do devem ser ativadas | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| CodeArtifact1. | CodeArtifact Os repositórios do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| CodeBuild1. | CodeBuild O repositório de fontes do Bitbucket não URLs deve conter credenciais confidenciais | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | CRÍTICO | Acionado por alterações | |
| CodeBuild.2 | CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| CodeBuild.3 | CodeBuild Os logs do S3 devem ser criptografados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços:, AWS Control Tower | BAIXO | |
Acionado por alterações |
| CodeBuild.4 | CodeBuild Os ambientes do projeto devem ter uma configuração de registro em log | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| CodeBuild7. | CodeBuild As exportações de grupos de relatórios devem ser criptografadas em repouso | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| CodeGuruProfiler1. | CodeGuru Os grupos de criação de perfil do Profiler devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| CodeGuruReviewer1. | CodeGuru As associações do repositório do revisor devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Cognito.1 | Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| Config.1 | AWS Config deve ser habilitado e usar o perfil vinculado ao serviço para registro de recursos | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | CRÍTICO | Periódico | |
| Conecte-se. 1 | Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Conecte-se.2 | As instâncias do Amazon Connect devem ter CloudWatch o registro ativado | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| DataFirehose1. | Os fluxos de entrega do Firehose devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| DataSync1. | DataSync As tarefas do devem ter o registro em log habilitado | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| DataSync.2 | DataSync As tarefas do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Detetive.1 | Gráficos de comportamento do Detective devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| DMS.1 | As instâncias de replicação do Database Migration Service não devem ser públicas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | CRÍTICO | |
Periódico |
| DMS.2 | Os certificados do DMS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| DMS.3 | As assinaturas de eventos do DMS devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| DMS.4 | As instâncias de replicação do DMS devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| DMS.5 | Os grupos de sub-redes de replicação do DMS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| DMS.6 | As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DMS.7 | As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DMS.8 | As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DMS.9 | Os endpoints do DMS devem usar SSL | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DMS.10 | Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| DMS.11 | Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| DMS.12 | Os endpoints do DMS para o Redis OSS devem ter o TLS habitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| DocumentDB.1 | Os clusters do Amazon DocumentDB devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| DocumentDB.2 | Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| DocumentDB.3 | Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Acionado por alterações |
| DocumentDB.4 | Os clusters do Amazon DocumentDB devem publicar logs de auditoria no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DocumentDB.5 | Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| Documento DB.6 | Os clusters do Amazon DocumentDB devem ser criptografados em trânsito | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| DynamoDB.1 | As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| DynamoDB.2 | As tabelas do DynamoDB devem ter a recuperação habilitada point-in-time | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| DynamoDB.3 | Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| DynamoDB.4 | As tabelas do DynamoDB devem estar presentes em um plano de backup | NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| DynamoDB.5 | As tabelas do DynamoDB devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| DynamoDB.6 | As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| DynamoDB.7 | Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC21. | [PCI.EC2.1] Os instantâneos do não devem ser restauráveis publicamente | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| EC2.2 | Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP AWS Control Tower 800-53 Rev. 5 AWS | HIGH (ALTO) | |
Acionado por alterações |
| EC2.3 | Os volumes anexados do EBS devem ser criptografados em repouso. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| EC2.4 | EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| EC2.6 | O registro em de fluxo de VPC deve estar ativado em todos VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 AWS | MÉDIO | |
Periódico |
| EC27. | A criptografia padrão do EBS deve estar ativada | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, AWS CIS Foundations Benchmark v1.4.0, NIST SP AWS Control Tower 800-53 Rev. 5 | MÉDIO | |
Periódico |
| EC28. | EC2 as instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2 | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| EC29. | EC2 As instâncias não devem ter um IPv4 endereço público | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| EC2.10 | A Amazon EC2 deve ser configurada para usar endpoints da VPC criados para o serviço Amazon EC2 | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| EC21.2 | Não utilizado EC2 EIPs deve ser removido | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| EC21.3 | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | Acionado por alterações e periódico | |
| EC21.4 | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 3389 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações e periódico | |
| EC21.5 | EC2 As sub-redes não devem atribuir automaticamente endereços IP públicos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços:, AWS Control Tower | MÉDIO | |
Acionado por alterações |
| EC21.6 | As listas de controle de acesso à rede não utilizadas devem ser removidas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado pelo serviço:, AWS Control Tower | BAIXO | |
Acionado por alterações |
| EC21.7 | EC2 instâncias não devem usar várias ENIs | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| EC21.8 | Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | |
Acionado por alterações |
| EC21.9 | Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | CRÍTICO | Acionado por alterações e periódico | |
| EC2.20 | Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| EC22.1 | A rede não ACLs deve permitir a entrada de 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0/0 para a porta 22 ou porta 3389 | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS Control Tower, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| EC22.2 | Os grupos de EC2 segurança não utilizados devem ser removidos | Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | Periódico | |
| EC22.3 | EC2 Os Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| EC22.4 | EC2 Os tipos de instância paravirtual não devem ser usados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| EC22,5 | EC2 os modelos de inicialização não devem IPs atribuir interfaces de rede | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| EC22.8 | Os volumes do EBS devem estar em um plano de backup | NIST SP 800-53 Rev. 5 | BAIXO | |
Periódico |
| EC23.3 | EC2 Os anexos do gateway de trânsito devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC23.4 | EC2 As tabelas de rotas do gateway de trânsito devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC23.5 | EC2 As interfaces de rede do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC23.6 | EC2 Os gateways dos clientes do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC23.7 | EC2 Os endereços IP elásticos do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC23,8 | EC2 As instâncias do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC23.9 | EC2 Os gateways da internet do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24,0 | EC2 Os gateways NAT devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.1 | EC2 a rede ACLs deve ser marcada | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.2 | EC2 As tabelas de rotas do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.3 | EC2 Os grupos de segurança do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.4 | EC2 As sub-redes do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24,5 | EC2 Os volumes do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.6 | A Amazon VPCs deve ser marcada | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.7 | Os serviços de endpoint da Amazon VPC devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.8 | Os logs de fluxo da Amazon VPC devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC24.9 | As conexões de emparelhamento da Amazon VPC devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC25,0 | EC2 Os gateways da VPN devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC25.1 | EC2 Os endpoints da Client VPN do cliente devem ter o registro em log de conexão do cliente habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAIXO | |
Acionado por alterações |
| EC25.2 | EC2 Os gateways de trânsito do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC25.3 | EC2 grupos de segurança não devem permitir a entrada de 0.0.0/0 nas portas de administração de servidor remoto | CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| EC25,4 | EC2 grupos de segurança não devem permitir a entrada de: :/0 nas portas de administração de servidor remoto | CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| EC25.5 | VPCs deve ser configurado com um endpoint de interface para a API ECR | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC25,6 | VPCs deve ser configurado com um endpoint de interface para o Docker Registry | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC25,7 | VPCs deve ser configurado com um endpoint de interface para Systems Manager | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC25,8 | VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC26,0 | VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EC21.70 | EC2 os modelos de lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2 | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | BAIXO | Acionado por alterações | |
| EC21.71 | EC2 As conexões de VPN devem ter o registro em log habilitado | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| EC21.72 | EC2 As configurações do VPC Block Public Access devem bloquear o tráfego do gateway da Internet | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| EC21.73 | EC2 As solicitações do Spot Fleet devem habilitar a criptografia para volumes anexados do EBS | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| EC21.74 | EC2 Os conjuntos de opções DHCP devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC21.75 | EC2 os modelos de lançamento devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC21.76 | EC2 As listas de prefixos do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC21.77 | EC2 sessões de espelhos de tráfego devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC21.78 | EC2 Os filtros de espelhos de trânsito do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EC2.179 | EC2 alvos de espelhos de tráfego devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| ECR.1 | Os repositórios privados do ECR devem ter a digitalização de imagens configurada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Periódico |
| ECR.2 | Os repositórios privados do ECR devem ter a imutabilidade de tags configurada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ECR.3 | Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ECR.4 | Os repositórios públicos do ECR devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| ECR.5 | Os repositórios ECR devem ser criptografados com gerenciamento de clientes AWS KMS keys | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| ECS.1 | As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.2 | Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.3 | As definições de tarefas do ECS não devem compartilhar o namespace do processo do host | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.4 | Os contêineres ECS devem ser executados sem privilégios | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.5 | Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.8 | Os segredos não devem ser passados como variáveis de ambiente do contêiner | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ECS.9 | As definições de tarefas do ECS devem ter uma configuração de registro em log | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Acionado por alterações |
| ECS.10 | Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ECS.12 | Os clusters do ECS devem usar Container Insights | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ECS.13 | Os serviços do ECS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| ECS.14 | Os clusters do ECS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| ECS.15 | As definições de tarefa do ECS devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| ECS.16 | Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações | |
| ECS.17 | As definições de tarefas do ECS não devem usar o modo de rede do ECS | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| EFS.1 | O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower | MÉDIO | |
Periódico |
| EFS.2 | Os volumes do Amazon EBS devem estar em um plano de backup | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Periódico |
| EFS.3 | Os pontos de acesso do EFS devem impor um diretório raiz | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| EFS.4 | Os pontos de acesso do EFS devem impor uma identidade de usuário | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| EFS.5 | Os pontos de acesso do EFS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EFS.6 | Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| EFS.7 | Os sistemas de arquivos do EFS devem ter backups automáticos habilitados | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| EFS.8 | Os sistemas de arquivos do EFS devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| EKS.1 | Os endpoints do cluster EKS não devem ser acessíveis ao público | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| EKS.2 | Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| EKS.3 | Os clusters do EKS devem usar segredos criptografados do Kubernetes | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| EKS.6 | Os clusters do EKS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EKS.7 | As configurações do provedor de identidades do EKS devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EKS.8 | Os clusters do EKS devem ter o registro em log de auditoria habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| ElastiCache1. | ElastiCache Os clusters (Redis OSS) devem ter os backups automáticos habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ElastiCache.2 | ElastiCache Os clusters devem ter as atualizações automáticas de versões secundárias habilitadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ElastiCache.3 | ElastiCache Os grupos de replicação devem ter o failover automático ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ElastiCache.4 | ElastiCache grupos de replicação devem ser encrypted-at-rest | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ElastiCache5. | ElastiCache grupos de replicação devem ser encrypted-in-transit | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ElastiCache.6 | ElastiCache (Redis OSS) Os grupos de replicação de versões anteriores devem ter a AUTH do Redis OSS habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ElastiCache7. | ElastiCache Os clusters não devem usar o grupo de sub-redes padrão | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ElasticBeanstalk1. | Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| ElasticBeanstalk.2 | As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| ElasticBeanstalk.3 | O Elastic Beanstalk deve transmitir logs para CloudWatch | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | |
Acionado por alterações |
| ELB.1 | O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ELB.2 | Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| ELB.3 | Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.4 | O Application Load Balancer deve ser configurado para eliminar cabeçalhos http | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.5 | O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.6 | A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | Acionado por alterações | |
| ELB.7 | Os Classic Load Balancers devem ter a drenagem da conexão ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.8 | Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração forte | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.9 | Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.10 | O Classic Load Balancer deve abranger várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.12 | O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.13 | Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.14 | O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ELB.16 | Os Application Load Balancers devem ser associados a um ACL da web do AWS WAF | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| ELB.17 | Application e Network Load Balancers com ouvintes devem usar as políticas de segurança recomendadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| EMR.1 | Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | Periódico | |
| EMR.2 | A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | Periódico | |
| EMR.3 | As configurações de segurança do Amazon EMR devem ser criptografadas em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| EMR.4 | As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| ES.1 | Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| ES.2 | Os domínios do Elasticsearch não devem ser publicamente acessíveis | AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | CRÍTICO | |
Periódico |
| ES.3 | Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços:, AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.4 | O registro em log de erros do domínio Elasticsearch em CloudWatch Logs deve ser ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.5 | Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.6 | Os domínios do Elasticsearch devem ter pelo menos três nós de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.7 | Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| ES.8 | As conexões com os domínios do Elasticsearch devem ser criptografadas com a política de segurança TLS mais recente | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | Acionado por alterações | |
| ES.9 | Os domínios do Elasticsearch devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EventBridge.2 | EventBridge Os barramentos de eventos do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| EventBridge.3 | EventBridge Os barramentos de eventos personalizados devem ter uma política baseada em recursos vinculada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| EventBridge.4 | EventBridge Os endpoints globais devem ter a replicação de eventos ativada | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| FraudDetector1. | Os tipos de entidade do Amazon Fraud Detector devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| FraudDetector.2 | Os rótulos do Amazon Fraud Detector devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| FraudDetector.3 | Os resultados do Amazon Fraud Detector devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| FraudDetector.4 | As variáveis do Amazon Fraud Detector devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| FSx1. | FSx para OpenZFS, os sistemas de arquivos devem estar configurados para copiar tags para backups e volumes. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Periódico |
| FSx.2 | FSx para Lustre, os sistemas de arquivos devem estar configurados para copiar tags em backups | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | Periódico | |
| FSx.3 | FSx para OpenZFS, os sistemas de arquivos devem estar configurados para implantação Multi-AZ | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| FSx.4 | FSx para sistemas de arquivos NetApp ONTAP, os sistemas de arquivos devem ser configurados para implantação Multi-AZ | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| FSx5. | FSx para Windows File Server, os sistemas de arquivos devem estar configurados para implantação Multi-AZ | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| Glue.1 | AWS Glue Os trabalhos do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Glue.3 | AWS Glue As transformações de machine learning do devem ser criptografadas em repouso | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| Cola.4 | AWS Glue Os trabalhos do Spark devem ser executados em versões compatíveis do AWS Glue | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| GlobalAccelerator1. | Os aceleradores do Global Accelerator devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| GuardDuty1. | GuardDuty A deve ser habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Periódico |
| GuardDuty.2 | GuardDuty Os filtros do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| GuardDuty.3 | GuardDuty IPSets deve ser marcado | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| GuardDuty.4 | GuardDuty Os detectores do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| GuardDuty5. | GuardDuty O Monitoramento de Logs de Auditoria do EKS deve | AWS Foundational Security Best Practices v1.0.0 | HIGH (ALTO) | Periódico | |
| GuardDuty.6 | GuardDuty A Proteção do Lambda deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| GuardDuty7. | GuardDuty O EKS Runtime Monitoring deve estar ativado | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| GuardDuty8. | GuardDuty A Proteção contra Malware para EC2 deve estar habilitada | AWS Foundational Security Best Practices v1.0.0 | HIGH (ALTO) | Periódico | |
| GuardDuty9. | GuardDuty A Proteção do RDS deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| GuardDuty.10 | GuardDuty A Proteção do S3 deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| GuardDuty1.1 | GuardDuty O Monitoramento de Runtime deve estar ativado | AWS Foundational Security Best Practices v1.0.0 | HIGH (ALTO) | Periódico | |
| GuardDuty1.2 | GuardDuty O ECS Runtime Monitoring deve estar ativado | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| GuardDuty1.3 | GuardDuty EC2 O Monitoramento de Runtime deve estar ativado | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| IAM.1 | As políticas do IAM não devem permitir privilégios administrativos completos "*" | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1, CIS AWS Foundations Benchmark AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | |
Acionado por alterações |
| IAM.2 | Os usuários do IAM não devem ter políticas do IAM anexadas | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP AWS Control Tower 800-171 Rev. 2 | BAIXO | |
Acionado por alterações |
| IAM.3 | As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Periódico |
| IAM.4 | A chave de acesso do usuário raiz do IAM não deve existir | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower | CRÍTICO | |
Periódico |
| IAM.5 | A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Periódico |
| IAM.6 | A MFA de hardware deve estar habilitada para o usuário raiz | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | CRÍTICO | |
Periódico |
| IAM.7 | Políticas de senha para usuários do IAM que devem ter configurações fortes | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Periódico |
| IAM.8 | As credenciais de usuário do IAM não utilizadas devem ser removidas | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Periódico |
| IAM.9 | A MFA deve estar habilitada para o usuário raiz | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. AWS 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
Periódico |
| IAM.10 | Políticas de senha para usuários do IAM que devem ter configurações fortes | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | MÉDIO | |
Periódico |
| IAM.11 | Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.12 | Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.13 | Certifique-se que política de senha do IAM exija pelo menos um símbolo | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.14 | Certifique-se que política de senha do IAM exija pelo menos um número | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.15 | Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP AWS 800-171 Rev. 2 | MÉDIO | |
Periódico |
| IAM.16 | Certifique-se que a política de senha do IAM impeça a reutilização de senhas | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1 | BAIXO | |
Periódico |
| IAM.17 | Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAIXO | |
Periódico |
| IAM.18 | Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI AWS DSS v4.0.1 | BAIXO | |
Periódico |
| IAM.19 | A MFA deve estar habilitada para todos os usuários do IAM | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| IAM.21 | As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | BAIXO | |
Acionado por alterações |
| IAM.22 | As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, NIST AWS SP 800-171 Rev. 2 | MÉDIO | |
Periódico |
| IAM.23 | Os analisadores do IAM Access Analyzer devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IAM.24 | Os perfis do IAM devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IAM.25 | Os usuários do IAM devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IAM.26 | Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos | CIS AWS Foundations Benchmark v3.0.0 | MÉDIO | Periódico | |
| IAM.27 | As identidades do IAM não devem ter a AWSCloud ShellFullAccess política anexada | CIS AWS Foundations Benchmark v3.0.0 | MÉDIO | Acionado por alterações | |
| IAM.28 | O analisador de acesso externo do IAM Access Analyzer deve ser habilitado | CIS AWS Foundations Benchmark v3.0.0 | HIGH (ALTO) | Periódico | |
| Inspector.1 | A EC2 varredura do Amazon Inspector deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Inspector.2 | A varredura do ECR pelo Amazon Inspector deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Inspector.3 | A varredura de código do Lambda pelo Amazon Inspector deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Inspector.4 | A varredura padrão do Lambda pelo Amazon Inspector deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| IoT.1 | AWS IoT Device Defender Perfis de segurança do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT.2 | AWS IoT Core Ações de mitigação do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT.3 | AWS IoT Core As dimensões do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT.4 | AWS IoT Core Os autorizadores do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT.5 | AWS IoT Core Os aliases de perfil do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT.6 | AWS IoT Core As políticas do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT TEvents 1.1 | AWS IoT Events As entradas do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT TEvents 1.2 | AWS IoT Events Os modelos de detectores do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT TEvents 3.3 | AWS IoT Events Os modelos de alarmes do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Eu sou TSite sábio.1 | AWS IoT SiteWise modelos de ativos devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Eu sou TSite sábio.2 | AWS IoT SiteWise Os painéis do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Eu sou TSite sábio.3 | AWS IoT SiteWise Os gateways do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Eu sou TSite sábio.4 | AWS IoT SiteWise Os portais do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Eu sou TSite sábio.5 | AWS IoT SiteWise Os projetos do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Io TTwin Maker. 1 | AWS Os trabalhos de TwinMaker sincronização de IoT devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Io TTwin Maker.2 | AWS Os TwinMaker espaços de trabalho de IoT devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Io TTwin Maker.3 | AWS As TwinMaker cenas de IoT devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Io TTwin Maker.4 | AWS As TwinMaker entidades de IoT devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT TWireless 1.1 | AWS Os grupos multicast do IoT Wireless devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT TWireless 1.2 | AWS Perfis de serviços do IoT Wireless devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IoT TWireless 3.3 | AWS As tarefas do IoT Wireless FUOTA devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IVS.1 | Os pares de teclas de reprodução IVS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IV.2 | As configurações de gravação do IVS devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| IV.3 | Os canais do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Espaços-chave. 1 | Os keyspaces do Amazon Keyspaces devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Kinesis.1 | Os fluxos do Kinesis devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Kinesis.2 | Os fluxos do Kinesis devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Kinesis.3 | Os fluxos do Kinesis devem ter um período de retenção de dados adequado | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| KMS.1 | As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| KMS.2 | As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| KMS.3 | AWS KMS keys não deve ser excluído acidentalmente | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| KMS.4 | AWS KMS key A alternância de deve ser ativada | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. AWS 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MÉDIO | |
Periódico |
| KMS.5 | As chaves do KMS não devem ser acessíveis publicamente | AWS Foundational Security Best Practices v1.0.0 | CRÍTICO | Acionado por alterações | |
| Lambda.1 | As funções do Lambda devem proibir o acesso público | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| Lambda.2 | As funções do Lambda devem usar os tempos de execução compatíveis | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Lambda.3 | As funções do Lambda devem estar em uma VPC | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| Lambda.5 | As funções do Lambda da VPC devem operar em várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Lambda.6 | As funções do Lambda devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Macie.1 | O Amazon Macie deve ser habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| Macie.2 | A descoberta automatizada de dados confidenciais do Macie deve estar habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | Periódico | |
| MSK.1 | Os clusters MSK devem ser criptografados em trânsito entre os nós do agente | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| MSK.2 | Os clusters do MSK devem ter um monitoramento aprimorado configurado | NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| MSK.3 | Os conectores da MSK Connect devem ser criptografados em trânsito | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| MQ.2 | Os agentes do ActiveMQ devem transmitir logs de auditoria para CloudWatch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| MQ.3 | Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| MQ.4 | Os agentes do Amazon MQ devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| MQ.5 | Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera | NIST SP 800-53 Rev. 5, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| MQ.6 | Os agentes do RabbitMQ devem usar o modo de implantação de cluster | NIST SP 800-53 Rev. 5, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| Neptune.1 | Os clusters de banco de dados Neptune devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.2 | Os clusters do banco de dados do Neptune devem publicar logs de auditoria no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.3 | Os instantâneos do cluster de banco de dados Neptune não devem ser públicos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| Neptune.4 | O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | BAIXO | |
Acionado por alterações |
| Neptune.5 | Os clusters de banco de dados Neptune devem ter backups automatizados habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.6 | Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.7 | Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Neptune.8 | Os clusters de banco de dados Neptune devem ser configurados para copiar tags para instantâneos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | BAIXO | |
Acionado por alterações |
| Neptune.9 | Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall1. | Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.2 | O registro em log do Network Firewall deve ser habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| NetworkFirewall.3 | As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.4 | A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| NetworkFirewall5. | A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.6 | O grupo de regras de firewall de rede sem estado não deve estar vazio | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall7. | Os firewalls do Network Firewall devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| NetworkFirewall8. | As políticas de firewall do Network Firewall devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| NetworkFirewall9. | Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| NetworkFirewall.10 | Os firewalls do Firewall de Rede devem ter a proteção contra alterações de sub-rede ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| Opensearch.1 | OpenSearch Os domínios devem ter a criptografia em repouso habilitada | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| Opensearch.2 | OpenSearch Os domínios do devem ser publicamente acessíveis | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Acionado por alterações |
| Opensearch.3 | OpenSearch Os domínios devem criptografar os dados enviados entre os nós | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Opensearch.4 | OpenSearch O registro em log de erros do domínio em CloudWatch Logs deve ser ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Opensearch.5 | OpenSearch Os domínios do devem ter o registro em log de auditoria ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Opensearch.6 | OpenSearch Os domínios devem ter pelo menos três nós de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Opensearch.7 | OpenSearch Os domínios devem ter um controle de acesso refinado habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| Opensearch.8 | As conexões com os OpenSearch domínios devem ser criptografadas com a política de segurança TLS mais recente | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | Acionado por alterações | |
| Opensearch.9 | OpenSearch Os domínios do devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Opensearch.10 | OpenSearch Os domínios devem ter a atualização de software mais recente instalada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| Opensearch.11 | OpenSearch Os domínios devem ter pelo menos três nós primários dedicados | NIST SP 800-53 Rev. 5 | BAIXO | Periódico | |
| PCA.1 | AWS Private CA A autoridade de certificação raiz deve ser desabilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Periódico |
| PCA.2 | AWS As autoridades certificadoras privadas da CA devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RDS.1 | [RDS.1] Os instantâneos do RDS devem ser privados | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Acionado por alterações |
| RDS.2 | As instâncias de banco de dados do RDS deve proibir o acesso público, determinado pela configuração PubliclyAccessible | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, NIST SP 800-53 Rev. 5, PCI DSS AWS Control Tower v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
Acionado por alterações |
| RDS.3 | As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada. | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, NIST SP 800-53 Rev. 5 AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.4 | Os instantâneos do cluster do RDS e os instantâneos do banco de dados devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.5 | As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.6 | O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.7 | O cluster de banco de dados do RDS deve ter a proteção contra exclusão habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| RDS.8 | As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.9 | As instâncias de bancos de dados do RDS devem publicar logs no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.10 | A autenticação do IAM deve ser configurada para instâncias do RDS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.11 | As instâncias do RDS devem ter backups automáticos habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.12 | A autenticação do IAM deve ser configurada para clusters do RDS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.13 | As atualizações automáticas de versões secundárias do RDS devem estar habilitadas | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| RDS.14 | Os clusters Amazon Aurora devem ter o backtracking habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.15 | Os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.16 | Os clusters de banco de dados do RDS devem ser configurados para copiar tags para instantâneos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAIXO | |
Acionado por alterações |
| RDS.17 | As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.18 | As instâncias do RDS devem ser implantadas em uma VPC | Padrão gerenciado por serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| RDS.19 | As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.20 | As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.21 | Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.22 | Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.23 | As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | BAIXO | |
Acionado por alterações |
| RDS.24 | Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.25 | As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.26 | As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup | NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| RDS.27 | Os clusters de banco de dados do RDS devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| RDS.28 | Os clusters de bancos de dados do RDS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RDS.29 | Os snapshots de cluster de bancos de dados do RDS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RDS.30 | As instâncias de bancos de dados do RDS devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RDS.31 | Os grupos de segurança de bancos de dados do RDS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RDS.32 | Os snapshots de bancos de dados do RDS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RDS.33 | Os grupos de sub-redes de bancos de dados do RDS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RDS.34 | Os clusters de banco de dados MySQL do MySQL devem publicar logs de auditoria no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.35 | Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| RDS.36 | As instâncias de bancos de dados do RDS para PostgreSDL devem publicar logs no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| RDS.37 | Os clusters de banco de dados PostgreSQL do Aurora devem publicar logs no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| RDS. 38 | As instâncias de bancos de dados do RDS para PostgreSDL devem ser criptografadas em trânsito | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| RDS. 39 | O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| RDS.40 | As instâncias de bancos de dados do RDS para SQL Server devem publicar logs no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| RDS. 41 | As instâncias de bancos de dados do RDS para SQL Server devem ser criptografadas em trânsito | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| RDS. 42 | As instâncias de bancos de dados do RDS para MariaDB devem publicar logs no Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| RDS. 44 | As instâncias de bancos de dados do RDS para MariaDB devem ser criptografadas em trânsito | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| Redshift.1 | Os clusters do Amazon Redshift devem proibir o acesso público | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | CRÍTICO | |
Acionado por alterações |
| Redshift.2 | As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.3 | Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| Redshift.4 | Os clusters do Amazon Redshift devem ter o registro de auditoria ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.6 | O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.7 | Os clusters do Redshift devem usar roteamento de VPC aprimorado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Service-Managed Standard: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| Redshift.8 | Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| Redshift.9 | Os clusters do Redshift não devem usar o nome do banco de dados padrão | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| Redshift.10 | Os clusters do Redshift devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| Redshift.11 | Os clusters do Redshift devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Redshift.12 | As notificações de assinatura de eventos do Redshift devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Redshift.13 | Os snapshots de clusters do Redshift devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Redshift.14 | Os grupos de sub-redes de clusters do Redshift devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Redshift.15 | Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster de origens restritas | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Periódico | |
| Desvio para o vermelho.16 | Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| Desvio para o vermelho.17 | Os grupos de parâmetros de clusters do Redshift devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| RedshiftServerless1. | Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento de VPC aprimorado | AWS Foundational Security Best Practices v1.0.0 | HIGH (ALTO) | Periódico | |
| RedshiftServerless.2 | As conexões com grupos de trabalho sem servidor do Redshift devem ser obrigatórias para usar SSL | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| RedshiftServerless.3 | Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público | AWS Foundational Security Best Practices v1.0.0 | HIGH (ALTO) | Periódico | |
| RedshiftServerless.4 | Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| RedshiftServerless5. | Os namespaces do Redshift Serverless não devem usar o nome de usuário Admin padrão | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| RedshiftServerless.6 | Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| RedshiftServerless7. | Os namespaces do Redshift Serverless não devem usar o nome do banco de dados padrão | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| Route53.1 | As verificações de integridade do Route 53 devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Route53.2 | As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| S3.1 | Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | Periódico | |
| S3.2 | Os buckets de uso geral do S3 devem bloquear o acesso público para leitura | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | Acionado por alterações e periódico | |
| S3.3 | Os buckets de uso geral do S3 devem bloquear o acesso público para gravação | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | Acionado por alterações e periódico | |
| S3.5 | Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | Acionado por alterações | |
| S3.6 | As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | HIGH (ALTO) | Acionado por alterações | |
| S3.7 | Os buckets de uso geral do S3 devem usar replicação entre regiões | PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| S3.8 | Os buckets de uso geral do S3 devem bloquear o acesso público | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | Acionado por alterações | |
| S3.9 | Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | MÉDIO | Acionado por alterações | |
| S3.10 | Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| S3.11 | Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | Acionado por alterações | |
| S3.12 | ACLs não deve ser usado para gerenciar o acesso de usuários a buckets de uso geral do S3 | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | Acionado por alterações | |
| S3.13 | Os buckets de uso geral do S3 devem ter configurações de ciclo de vida | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | BAIXO | Acionado por alterações | |
| S3.14 | Os buckets de uso geral do S3 devem ter o versionamento habilitado | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAIXO | Acionado por alterações | |
| S3.15 | Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MÉDIO | Acionado por alterações | |
| S3.17 | Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | Acionado por alterações | |
| S3.19 | Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | Acionado por alterações | |
| S3.20 | Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada | CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, NIST AWS SP 800-53 Rev. 5 | BAIXO | Acionado por alterações | |
| S3.22 | Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto | CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| S3.23 | Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto | CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MÉDIO | Periódico | |
| S3.24 | Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | HIGH (ALTO) | Acionado por alterações | |
| SageMaker1. | As instâncias de SageMaker caderno da Amazon não devem ter acesso direto à internet | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Periódico |
| SageMaker.2 | SageMaker As instâncias do notebook devem ser iniciadas em uma VPC personalizada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | HIGH (ALTO) | |
Acionado por alterações |
| SageMaker.3 | Os usuários não devem ter acesso raiz às instâncias do SageMaker notebook | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | HIGH (ALTO) | |
Acionado por alterações |
| SageMaker.4 | SageMaker As variantes de produção de endpoints devem ter uma contagem inicial de instâncias maior do que 1 | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| SageMaker5. | SageMaker os modelos devem bloquear o tráfego de entrada | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| SageMaker.6 | SageMaker As configurações de imagem do aplicativo devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| SageMaker7. | SageMaker As imagens do devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| SageMaker8. | SageMaker instâncias de notebook devem ser executadas em plataformas compatíveis | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Periódico | |
| SecretsManager1. | Os segredos do Secrets Manager devem ter a alternância automática ativada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| SecretsManager.2 | Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Acionado por alterações |
| SecretsManager.3 | Remover segredos do Secrets Manager não utilizados | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Periódico |
| SecretsManager.4 | Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower | MÉDIO | |
Periódico |
| SecretsManager5. | Os segredos do Secrets Manager devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| ServiceCatalog1. | Os portfólios do Service Catalog só devem ser compartilhados somente dentro de uma AWS organização da | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | Periódico | |
| SES.1 | As listas de contatos do SES devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| SES.2 | Os conjuntos de configuração do SES devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| SNS.1 | Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MÉDIO | Acionado por alterações | |
| SNS.3 | Os tópicos do SNS devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| SNS.4 | As políticas de acesso a tópicos do SNS não devem permitir o acesso público | AWS Foundational Security Best Practices v1.0.0 | HIGH (ALTO) | Acionado por alterações | |
| SQS.1 | As filas do Amazon SQS devem ser criptografadas em repouso | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| SQS.2 | As filas do SQS devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| SQS.3 | As políticas de acesso a filas do SQS não devem permitir o acesso público | AWS Foundational Security Best Practices v1.0.0 | HIGH (ALTO) | Acionado por alterações | |
| SSM.1 | EC2 as instâncias devem ser gerenciadas por AWS Systems Manager | AWS Foundational Security Best Practices v1.0.0, padrão gerenciado pelo serviço:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| SSM.2 | EC2 as instâncias gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT após a instalação do patch | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | HIGH (ALTO) | |
Acionado por alterações |
| SSM.3 | EC2 As instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, padrão gerenciado pelo serviço: AWS Control Tower | BAIXO | |
Acionado por alterações |
| SSM.4 | Os documentos SSM não devem ser públicos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | CRÍTICO | |
Periódico |
| SSM. 5 | Os documentos do SSM devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| StepFunctions1. | As máquinas de estado do Step Functions devem ter o registro ativado | AWS Foundational Security Best Practices v1.0.0, PCI DSS v4.0.1 | MÉDIO | |
Acionado por alterações |
| StepFunctions.2 | As atividades do Step Functions devem ser marcadas | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Transfer.1 | Os fluxos de trabalho do Transfer Family devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Transfer.2 | Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Periódico | |
| Transferência.3 | Os conectores do Transfer Family devem ter o registro em log habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | Acionado por alterações | |
| Transferência.4 | Os acordos do Transfer Family devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Transferência.5 | Os certificados do Transfer Family devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Transferência.6 | Os conectores do Transfer Family devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| Transferência.7 | Perfis do Transfer Family devem ser marcados | AWS Resource Tagging Standard | BAIXO | Acionado por alterações | |
| WAF.1 | AWS O registro em log da ACL da web do WAF Classic Global deve estar ativado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Periódico |
| WAF.2 | AWS As regras Classic Regional do WAF devem ter pelo menos uma condição | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| WAF.3 | AWS Os grupos de regras Classic Regional do WAF devem ter pelo menos uma regra | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| WAF.4 | AWS O WAF Classic Regional ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| WAF.6 | AWS As regras Classic global do WAF Classic devem ter pelo menos uma condição | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| WAF.7 | AWS Os grupos de regras Classic global do WAF Classic devem ter pelo menos uma regra | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| WAF.8 | AWS A web global do WAF Classic ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| WAF.10 | AWS A web do WAF ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-53 Rev. AWS Control Tower 5 | MÉDIO | |
Acionado por alterações |
| WAF.11 | AWS O registro em log de ACL da web do WAF deve estar ativado | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAIXO | |
Periódico |
| WAF.12 | AWS As regras do WAF devem ter CloudWatch métricas ativadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MÉDIO | |
Acionado por alterações |
| WorkSpaces1. | WorkSpaces Os volumes de usuários do devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações | |
| WorkSpaces.2 | WorkSpaces Os volumes-raiz do devem ser criptografados em repouso | AWS Foundational Security Best Practices v1.0.0 | MÉDIO | Acionado por alterações |
