As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Manuais [Essa solução inclui o manual de remediações para os padrões de segurança definidos como parte do [Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), [CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)[[, [Payment Card Industry Data Security Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) (PCI-DSS)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) e National Institute of Standards and Tecnologia (NIST).](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Se você tiver as descobertas de controle consolidadas habilitadas, esses controles serão suportados em todos os padrões. Se esse recurso estiver ativado, somente o manual do SC precisará ser implantado. Caso contrário, os manuais são compatíveis com os padrões listados anteriormente. **Importante** Somente implante os manuais de acordo com os padrões habilitados para evitar atingir as cotas de serviço. Para obter detalhes sobre uma remediação específica, consulte o documento de automação do Systems Manager com o nome implantado pela solução em sua conta. Acesse o [console do AWS Systems Manager](https://console.aws.amazon.com/systems-manager/) e, no painel de navegação, escolha **Documents**. | Description | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | ID do controle de segurança | | --- | --- | --- | --- | --- | --- | --- | --- | | **Total de remediações** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR- Verificação EnableAutoScalingGroup ELBHealth** Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do balanceador de carga | Escalonamento automático.1 | | Escalonamento automático.1 | | Escalonamento automático.1 | | Escalonamento automático.1 | | **ASR- ConfigureAutoScalingLaunchConfigToRequire IMDSv2** As configurações de lançamento em grupo do Auto Scaling devem configurar as EC2 instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2 | | | | | Escalonamento automático.3 | | Escalonamento automático.3 | | **ASR- CreateCloudTrailMultiRegionTrail** CloudTrail deve ser ativada e configurada com pelo menos uma trilha multirregional | CloudTrail1. | 2.1 | CloudTrail2. | 3.1 | CloudTrail1. | 3.1 | CloudTrail1. | | **ASR- EnableEncryption** CloudTrail deve ter a criptografia em repouso ativada | CloudTrail2. | 2.7 | CloudTrail1. | 3.7 | CloudTrail2. | 3.5 | CloudTrail2. | | **ASR- EnableLogFileValidation** Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | CloudTrail4. | | CloudTrail4. | | **ASR- EnableCloudTrailToCloudWatchLogging** Garanta que as CloudTrail trilhas estejam integradas com o Amazon CloudWatch Logs | CloudTrail5. | 2.4 | CloudTrail4. | 3.4 | CloudTrail5. | | CloudTrail5. | | **O ASR configura 3 BucketLogging** Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 | | 2.6 | | 3.6 | | 3.4 | CloudTrail7. | | **ASR- ReplaceCodeBuildClearTextCredentials** CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | **Habilitar ASR AWSConfig** Certifique-se de que o AWS Config esteja ativado | Config.1 | 2,5 | Config.1 | 3.5 | Config.1 | 3.3 | Config.1 | | **ASR-Make EBSSnapshots Privado** Os snapshots do Amazon EBS não devem ser restauráveis publicamente | EC21. | | EC21. | | EC21. | | EC21. | | **ASR-Remove VPCDefault SecurityGroupRules** O grupo de segurança padrão da VPC deve proibir o tráfego de entrada e saída | EC22. | 4.3 | EC22. | 5.3 | EC22. | 5.4 | EC22. | | **Registros habilitados para ASR VPCFlow** O registro de fluxo de VPC deve ser ativado em todos VPCs | EC2.6 | 2.9 | EC2.6 | 3.9 | EC2.6 | 3.7 | EC2.6 | | **ASR- EnableEbsEncryptionByDefault** A criptografia padrão do EBS deve ser ativada | EC27. | 2.2.1 | | | EC27. | 2.2.1 | EC27. | | **ASR- RevokeUnrotatedKeys** As chaves de acesso dos usuários devem ser trocadas a cada 90 dias ou menos | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **Política ASR-Set IAMPassword** Política de senha padrão do IAM | IAM.7 | 1,5-1,11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **ASR- Credenciais RevokeUnused IAMUser** As credenciais do usuário devem ser desativadas se não forem usadas dentro de 90 dias | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **ASR- Credenciais RevokeUnused IAMUser** As credenciais do usuário devem ser desativadas se não forem usadas dentro de 45 dias | | | | 1.12 | | 1.12 | IAM.22 | | **ASR- RemoveLambdaPublicAccess** As funções Lambda devem proibir o acesso público | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-Make RDSSnapshot Privado** Os instantâneos do RDS devem proibir o acesso público | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR- DisablePublicAccessTo RDSInstance** As instâncias de banco de dados do RDS devem proibir o acesso público | RDS.2 | | RDS 2 | | RDS 2 | 2.3.3 | RDS 2 | | **Criptografia ASR RDSSnapshot** Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR- EnableMulti AZOn RDSInstance** As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR- EnableEnhancedMonitoringOn RDSInstance** O monitoramento aprimorado deve ser configurado para instâncias e clusters de banco de dados do RDS | RDS.6 | | | | RDS.6 | | RDS.6 | | **Habilitar ASR RDSCluster DeletionProtection** Os clusters do RDS devem ter a proteção contra exclusão ativada | RDS.7 | | | | RDS.7 | | RDS.7 | | **Habilitar ASR RDSInstance DeletionProtection** As instâncias de banco de dados do RDS devem ter a proteção de exclusão ativada | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR- EnableMinorVersionUpgradeOn RDSDBInstance** As atualizações automáticas de versões secundárias do RDS devem ser ativadas | RDS.13 | | | | RDS. 13 | 2.3.2 | RDS.13 | | **ASR- EnableCopyTagsToSnapshotOn RDSCluster** Os clusters de banco de dados do RDS devem ser configurados para copiar tags para instantâneos | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR- DisablePublicAccessToRedshiftCluster** Os clusters do Amazon Redshift devem proibir o acesso público | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR- EnableAutomaticSnapshotsOnRedshiftCluster** Os clusters do Amazon Redshift devem ter snapshots automáticos ativados | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR- EnableRedshiftClusterAuditLogging** Os clusters do Amazon Redshift devem ter o registro de auditoria ativado | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR- EnableAutomaticVersionUpgradeOnRedshiftCluster** O Amazon Redshift deve ter as atualizações automáticas para as versões principais ativadas | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **O ASR configura 3 PublicAccessBlock** A configuração do S3 Block Public Access deve ser ativada | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **O ASR configura 3 BucketPublicAccessBlock** Os buckets do S3 devem proibir o acesso público à leitura | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **O ASR configura 3 BucketPublicAccessBlock** Os buckets do S3 devem proibir o acesso público à gravação | | S3.3 | | | | | S3.3 | | **ASR-S3 EnableDefaultEncryption** Os buckets S3 devem ter a criptografia do lado do servidor ativada | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **Política ASR-Set SSLBucket** Os buckets S3 devem exigir solicitações para usar SSL | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3 BlockDenylist** As permissões do Amazon S3 concedidas a outras contas da AWS em políticas de bucket devem ser restritas | 3.6 | | | | S3.6 | | S3.6 | | A configuração do S3 Block Public Access deve ser ativada no nível do bucket | S3.8 | | | | S3.8 | | S3.8 | | **O ASR configura 3 BucketPublicAccessBlock** Certifique-se de que os CloudTrail registros do bucket do S3 não estejam acessíveis publicamente | | 2.3 | | | | | CloudTrail.6 | | **ASR- CreateAccessLoggingBucket** Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 | | 2.6 | | | | | CloudTrail7. | | **ASR- EnableKeyRotation** Garanta que a rotação criada pelo cliente CMKs esteja ativada | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas | | 3.1 | | 4.1 | | | Cloudwatch.1 | | **ASR- CreateLogMetricFilterAndAlarm** Certifique-se de que exista um filtro métrico de log e um alarme para login no AWS Management Console sem MFA | | 3.2 | | 4.2 | | | Cloudwatch.2 | | **ASR- CreateLogMetricFilterAndAlarm** Certifique-se de que exista um filtro métrico de log e um alarme para uso do usuário “root” | | 3.3 | VACA.1 | 4.3 | | | Cloudwatch.3 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM | | 3.4 | | 4.4 | | | Cloudwatch.4 | | **ASR- CreateLogMetricFilterAndAlarm** Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração | | 3.5 | | 4.5 | | | Cloudwatch.5 | | **ASR- CreateLogMetricFilterAndAlarm** Certifique-se de que exista um filtro métrico de log e um alarme para falhas de autenticação do AWS Management Console | | 3.6 | | 4.6 | | | Cloudwatch.6 | | **ASR- CreateLogMetricFilterAndAlarm** Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs | | 3.7 | | 4.7 | | | Cloudwatch.7 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 | | 3.8 | | 4.8 | | | Cloudwatch.8 | | **ASR- CreateLogMetricFilterAndAlarm** Certifique-se de que exista um filtro métrico de log e um alarme para as alterações de configuração do AWS Config | | 3.9 | | 4,9 | | | Cloudwatch.9 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança | | 3.10 | | 4.10 | | | Cloudwatch.10 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL) | | 3.11 | | 4.11 | | | Cloudwatch.11 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede | | 3.12 | | 4.12 | | | Cloudwatch.12 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas | | 3.13 | | 4.13 | | | Cloudwatch.13 | | **ASR- CreateLogMetricFilterAndAlarm** Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC | | 3,14 | | 4.14 | | | Cloudwatch.14 | | **AWS- DisablePublicAccessForSecurityGroup** Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 22 | | 4.1 | EC25. | | EC21.3 | | EC21.3 | | **AWS- DisablePublicAccessForSecurityGroup** 4.2 Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389 | | 4.2 | | | EC21.4 | | EC21.4 | | **Configuração ASR SNSTopic ForStack** | CloudFormation1. | | | | CloudFormation1. | | CloudFormation1. | | **Função ASR-Create IAMSupport** | | 1,20 | | 1.17 | | 1.17 | IAM.18 | | **ASR- DisablePublic IPAuto Atribuir** EC2 As sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos | EC21.5 | | | | EC21.5 | | EC21.5 | | **ASR- EnableCloudTrailLogFileValidation** | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | | | CloudTrail4. | | **ASR- EnableEncryptionFor SNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR- EnableDeliveryStatusLoggingFor SNSTopic** O registro do status de entrega deve ser ativado para mensagens de notificação enviadas para um tópico | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR- EnableEncryptionFor SQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | O instantâneo **RDS RDSSnapshot privado do ASR-Make** deve ser privado | RDS.1 | | RDS.1 | | | | RDS.1 | | **Bloco ASR SSMDocument PublicAccess** Os documentos SSM não devem ser públicos | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR- EnableCloudFrontDefaultRootObject** CloudFront as distribuições devem ter um objeto raiz padrão configurado | CloudFront1. | | | | CloudFront1. | | CloudFront1. | | **ASR- SetCloudFrontOriginDomain** CloudFront distribuições não devem apontar para origens inexistentes do S3 | CloudFront1.2 | | | | CloudFront1.2 | | CloudFront1.2 | | **ASR- RemoveCodeBuildPrivilegedMode** CodeBuild os ambientes do projeto devem ter uma configuração AWS de registro | CodeBuild5. | | | | CodeBuild5. | | CodeBuild5. | | **Instância de encerramento do ASR EC2** EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado | EC24. | | | | EC24. | | EC24. | | **Habilitar ASR IMDSV2 OnInstance** EC2 as instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2 | EC28. | | | | EC28. | 5.6 | EC28. | | **ASR- RevokeUnauthorizedInboudRules** Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas | EC21.8 | | | | EC21.8 | | EC21.8 | | INSIRA O TÍTULO AQUI Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | EC21.9 | | | | EC21.9 | | EC21.9 | | **Desabilitar ASR TGWAuto AcceptSharedAttachments** O Amazon EC2 Transit Gateways não deve aceitar automaticamente solicitações de anexos de VPC | EC22.3 | | | | EC22.3 | | EC22.3 | | **ASR- EnablePrivateRepositoryScanning** Os repositórios privados do ECR devem ter a digitalização de imagens configurada | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR- EnableGuardDuty** GuardDuty deve ser habilitado | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | **O ASR configura 3 BucketLogging** O registro em log de acesso ao servidor para bucket do S3 deve estar habilitado | S3.9 | | | | S3.9 | | S3.9 | | **ASR- EnableBucketEventNotifications** Os buckets do S3 devem ter as notificações de eventos ativadas | S3.11 | | | | S3.11 | | S3.11 | | **Conjuntos ASR 3 LifecyclePolicy** Os buckets do S3 devem ter políticas de ciclo de vida configuradas | S3.13 | | | | S3.13 | | S3.13 | | **ASR- EnableAutoSecretRotation** Os segredos do Secrets Manager devem ter a alternância automática ativada | SecretsManager1. | | | | SecretsManager1. | | SecretsManager1. | | **ASR- RemoveUnusedSecret** Remover segredos do Secrets Manager não utilizados | SecretsManager3. | | | | SecretsManager3. | | SecretsManager3. | | **ASR- UpdateSecretRotationPeriod** Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias | SecretsManager4. | | | | SecretsManager4. | | SecretsManager4. | | **Habilitar ASR APIGateway CacheDataEncryption** Os dados do cache da API REST de Gateway devem ser criptografados em repouso | | | | | APIGateway5. | | APIGateway5. | | **ASR- SetLogGroupRetentionDays** CloudWatch os grupos de registros devem ser mantidos por um período de tempo especificado | | | | | CloudWatch1.6 | | CloudWatch1.6 | | **ASR- AttachService VPCEndpoint** A Amazon EC2 deve ser configurada para usar endpoints VPC que são criados para o serviço Amazon EC2 | EC2.10 | | | | EC2.10 | | EC2.10 | | **ASR- TagGuardDutyResource** GuardDuty os filtros devem ser marcados | | | | | | | GuardDuty2. | | **ASR- TagGuardDutyResource** GuardDuty detectores devem ser marcados | | | | | | | GuardDuty4. | | **SSMPermissionsASR-Anexar a EC2** EC2 As instâncias da Amazon devem ser gerenciadas pelo Systems Manager | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR- ConfigureLaunchConfigNoPublic IPDocument** EC2 As instâncias da Amazon lançadas usando as configurações de lançamento em grupo do Auto Scaling não devem ter endereços IP públicos | | | | | Autoscaling.5 | | Autoscaling.5 | | **Habilitar ASR APIGateway ExecutionLogs** | APIGateway1. | | | | | | APIGateway1. | | **ASR- EnableMacie** O Amazon Macie deve ser habilitado | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR- EnableAthenaWorkGroupLogging** Os grupos de trabalho do Athena devem ter o registro em log habilitado | Athena.4 | | | | | | Athena.4 | | **ASR-Enforce LAB HTTPSFor** O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **Limite ASR ECSRoot FilesystemAccess** Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR- EnableElastiCacheBackups** ElastiCache Os clusters (Redis OSS) devem ter backups automáticos habilitados | ElastiCache1. | | | | ElastiCache1. | | ElastiCache1. | | **ASR- EnableElastiCacheVersionUpgrades** ElastiCache os clusters devem ter atualizações automáticas de versões secundárias habilitadas | ElastiCache2. | | | | ElastiCache2. | | ElastiCache2. | | **ASR- EnableElastiCacheReplicationGroupFailover** ElastiCache os grupos de replicação devem ter o failover automático ativado | ElastiCache3. | | | | ElastiCache3. | | ElastiCache3. | | **Escalabilidade ASR ConfigureDynamo DBAuto** As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **ASR- Recurso TagDynamo DBTable** As tabelas do DynamoDB devem ser marcadas | | | | | | | DynamoDB.5 | | **Proteção ASR EnableDynamo DBDeletion** As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada | | | | | DynamoDB.6 | | DynamoDB.6 |