明らかに更新-8 月8、2018

次の更新は8/8/2018 の明白なサービスで有効になるようにスケジュールされる:

拡張機能

• 新しい署名:AWS: kms-004-kms 外部 CMKは30日間で有効期限
  説明:自動キーローテーションは、KMS によって生成されたキーマテリアルを使用して、すべての顧客管理 CMKs で利用可能です。    キーマテリアルをインポートした CMKs では使用できません (原点フィールドの値は外部です)。この署名は、インポート/外部 CMK が30日以内に期限切れになった場合に警告します。 
  
  
• 新しい署名:aws: iam の-022-iam の ssh キー 90 日よりも古い検出
  された説明:この署名は、 AWSを保護するために、定期的にローテーションしていることを確認するために、すべての IAM ssh 公開キーをスキャンします。CodeCommitリポジトリ。      キーが90日よりも古い場合は、FAIL アラートが生成されます。 
  
  
• 新しい署名:aws: ELB-015-ALB アクセスログが有効になっていません
  説明: この署名は、すべての AWS アプリケーションロードバランサーをスキャンして、アクセスログが有効になっていることを確認し、エラーが発生した場合は失敗アラートを返します。じゃない。     
  
  
• 新しい署名:aws: ELB-013- ELB アクセスログNot 有効
  説明: この署名は、すべてのAWSクラシックエラスティックロードバランサーをスキャンして、アクセスログが有効になっていることを確認し、失敗した場合は警告します。    
  
  
• 新しい署名:AWS: EC-001- ElastiCacheクラスタNotの vpc
  説明:このシグネチャは、ElastiCache クラスターをスキャンして、 vpc 内でプロビジョニングされていることを確認し、失敗した場合に警告を返します。彼らはそうではない。    
  
  
• 新しい署名:AWS: CLT-007-Cloudtrail s3 ログが有効になっていない説明: この署名は s3 クラウド t レールバケットをスキャンして、
  s3クラウドtレールがあることを確認します。ログが有効になっていない場合は、失敗アラートを返します。    
  
  
• 新しい署名:AWS: CFM-003-CFN スタック終端保護が有効になっていない
  説明: このシグネチャは、スタックで終了保護が有効になっていることを確認し、それなしで見つかった場合は失敗アラートを返すようにスキャンします。  
  
  
• 新しい署名:AWS: acm-001-acm ssl 証明書の有効期限
  は30日です。説明: この署名は、ACM ssl 証明書の有効期限をスキャンし、失敗の警告 if は 30 日以内に失効する ことを返します。   
  
  
• 新しい署名: AWS: ラムダ-004-ラムダ制限の 
  説明:このシグネチャは、ラムダ関数を持つ各領域をスキャンし、ラムダ関数のコードサイズの組み合わせが容量に近づいている場合 (上限の 90% 以上)、失敗アラートが生成されます。 
  
  
• 新しい署名:AZU: KV-001-キーボールト監査ログが有効になっていない
  説明: Azure key vault のログを有効にして、キーボールトにアクセス、変更、および  使用するタイミングを表示することをお勧めします。   このシグネチャは、Azure Key Vault のログ記録が有効になっていることを確認し、 そうでない場合は失敗アラートを返します。  
  
  
• 新しい署名: AZU: SC-001- SQL 暗号化ポリシーが有効になっていません
  説明: rest での暗号化は、Azure SQL データベース、関連するバックアップ、およびトランザクションログファイルに対して有効にすることをお勧めします。.   SQL 暗号化ポリシーが有効になっていない場合、この署名は FAIL アラートを生成します。  
  
  
• 新しい署名:AZU: NET-010-TLS v1.2 のアプリケーションゲートウェイ
  説明:この署名は、すべてのカスタム SSL 接続をスキャンして、Min ProtocolVersion が TLSv1_2 に設定されていることを確認します (または、定義済みのAppGwSslPolicy20170401S SSLポリシーが使用されています)。    これらの条件を満たさないカスタム SSL 接続が署名によって検出されると、エラーアラートが返されます。 
  
  
• 新しい署名:AZ 順U: NET-009 -ロードバランサー診断ログが有効になっていない
  説明:この署名は、すべてのリソースに診断ログが記録されていることを確認するためにスキャンします。アラートイベントと正常性ステータスが有効になっていて、それなしで見つかった場合は失敗アラートを返します。     
  
  
• 新しい署名:AZU: KV-003-キーボールトシークレットの期限が切れるようにスケジュールされている
  説明: キーボールトシークレットは定期的にローテーションし、各キーボールトシークレットは有効期限を設定する必要があります。  このシグネチャは、Key Vault シークレットのインスタンスを検索し、有効期限が設定されていない各シークレットに対して失敗アラートを生成します。 
  
  
• 新しい署名: AZU: KV-002-キーボールトのキーが期限切れにスケジュールされていません
  説明: キーボールトキーは定期的にローテーションされ、各キーボールトキーは有効期限が切れるようにスケジュールする必要があります。このシグネチャは、key Vault キーのインスタンスを検索し、有効期限が設定されていない各キーに対して失敗アラートを生成します。 
  
  
• 新しい署名: AZU: SC-003- jit ネットワークアクセスポリシーが有効になっていません
  説明:この署名は、jit ネットワークアクセス (セキュリティセンターの標準層が必要) が有効になっていることを確認するためにセキュリティポリシーをチェックし、失敗した場合は警告を返します。  
• 新しい署名: AZU: SC-002-アラートに関するメールが有効になっていない
  説明: この署名は、セキュリティの連絡先に電子メールで送信されたセキュリティ警告が有効になっているかどうかをチェックし、失敗した場合は警告を返します。   
  
  
• [コピーとカスタマイズ] テンプレートには、これらの既定の署名をカスタマイズできるように設定されています。 
  • aws: CF-001aws CloudFront CDN が使用されていません    
  • AWS: ec2-034ec2 シングルインスタンスが冗長ではないように見える  
  • AWS: R53-001Route53 DNS   
  • AWS: rds-001rds の保持< 7=""></>ポリシー  
  • AWS: rds-003rds データベースが暗号化されていません  
  • AWS: rds 004rds データベースは、顧客の KMS キー で暗号化されていません  
  • AWS: rds-009rds イベントサブスクリプションが有効になっていません  
  • AWS: redshift-001redshift クラスターがパブリックにアクセス可能  
  • AWS: redshift-002 暗号化していないredshift クラスター   
  • AWS: redshift-003redshift クラスターは、顧客の KMS キー で暗号化されていません  
  • AWS: SSS-008S3 バケットにグローバル ACL 権限が有効になっている   
  • AWS: SSS-014S3 サーバー側の暗号化が有効になっていません   
  • AWS: SSS-015S3 セキュアデータ転送ポリシー違反が検出されました
    メモ: 署名をカスタマイズするためのリファレンスリンク:     
    • ESP ドキュメント 
    • FAQ: カスタム署名コードサンプルはどこで見つけることができますか? 
    • Ruby チュートリアル 
    • JavaScript のチュートリアル 
       
• Updated CIS AWS の基礎ベンチマーク v1.2 に一致する :  

• セクション1.21 を1.19 に番号を付け直す -インスタンスから AWS リソースへのアクセスに IAM インスタンスロールが使用されるようにする  

• セクション1.22 を1.20 に番号を付け直す-サポートロールが作成されていることを確認  する  
   
• セクション1.23 を1.21 に番号を付け直す -コンソールパスワードを持つすべての IAM ユーザーの初期ユーザーセットアップ中にアクセスキーを設定 しない 
   
• セクション1.24 を1.22 に番号を付け直す -完全な "*:*" 管理者特権が作成されないようにする IAM ポリシーを確認します 。 
   
• セクション4.3 を2.9 に番号を付け直す-すべての VPCs で VPC フローロギングが有効になっていることを確認   
   

• Azure SDK を最新のリリースバージョンに更新しました。 
   

• カスタム署名エディタ は NoMethodExceptions に関するより多くの情報を提供するようになりました。  
   
• 改善されたレポートの並べ替えフィールドは、チーム名とアカウント名で並べ替えることができ、 警告による並べ替えは、署名識別子で並べ替えるように変更 しました。 
   
• 新機能: ユーザーアクセスレベル 
  
  組織内のすべてのユーザーに対して、適切なアクセス (組織、サブ組織、またはチーム) を明示的に付与できるようになりました。明らかなサービスのユーザーに対してきめ細かなアクセスを可能にすることで、データへのエクスポージャーを制限し、アクセスレベルの高い暗黙の参照によるユーザーの特権のエスカレーションを防ぐことができます。たとえば、チームアクセスを許可したユーザーは、所属するチームを削除した場合、サブ組織へのアクセスを昇格させることはできません。 
   
• 新機能: 編集可能抑制
  明らかなサービスで定義した抑制の数を統合するために、アラート抑制を編集できるようになりました。  たとえば、新しいアカウントを追加したり、新しい署名に対する警告を抑制したりする場合は、既存の抑制を変更して新しいユーザーを作成するのではなく、変更を含めることができます。 
   
• 明白なお問い合わせページが明らかにナレッジベースを含むように更新されました, パロアルトネットワークのサポート, 新しいユーザーのためのログイン支援.  
   

• ベータダッシュボードがデフォルトのビューになりまし た。  

対処問題 
 

• 署名aws: vpc-002およびSignature: aws: vpc-009 は、 署名の設計ニーズを満たすのに適した新しいフェイル条件を追加するように改訂されました。  
   
• Signature: AWS: vpc-003 は、vpc サブネット/NACL がインターネットにアクセス可能なときに、より良い顧客に通知するために改訂されました。 
   

• Signature: AWS: ELB-006 は 、パス/フェイルメッセージの欠如を装い、 広告に編集されました。 
   
• 警告が長すぎるため、Jira 通知が失敗 した問題を修正しました。 
   
• KMS クライアントリストの別名に p ローパー p エージングを 追加しました。 
   
• 次のシグネチャは、予期しないエラーに対処し、すべての一致と部分一致の問題を確認するために編集されました。 

• AWS: SSS-010 

• AWS: SSS-011  
• AWS: SSS-012  
• AWS: SSS-013