明显更新-2018年8月8日

以下更新计划将在 8/8/2018 的明显服务中生效:

增强功能

• 新签名:AWS:KMS-004-KMS 外部西麦克在30天内到期
  说明: 在所有客户管理的 CMKs 上都可以使用 KMS 生成的关键材料自动进行密钥轮换.     对于具有导入密钥材料的 CMKs ("源" 字段的值为 "外部"), 它不可用。如果您的导入/外部西麦克在30天或更短时间内到期, 此签名将提醒您。 
  
  
• 新签名:iam-022-iam ssh 密钥超过90天检测到的
  说明:此签名扫描所有IAM SSH 公钥, 以验证它们是否定期旋转以保护您的 AWS CodeCommit存储库 .      如果密钥超过90天, 则会生成故障警报。 
  
  
• 新签名: AWS:ELB-015-白长袍访问日志未启用  
  说明: 此签名将扫描所有AWS应用程序 负载平衡器, 以确保启用访问日志记录, 并返回一个故障警报,如果它是不。 
  
  
• 新签名:AWS:ELB-013- ELB 访问日志N启用
  说明: 此签名扫描所有AWS经典弹性负载平衡器, 以确保启用访问日志记录并返回一个如果不是, 则警报失败.     
  
  
• 新签名:AWS:EC-001- ElastiCache簇N在 VPC
  描述:此签名扫描您的ElastiCache群集, 以确保在 VPC 中设置它们, 并返回一个失败警报, 如果他们不是。    
  
  
• 新签名: AWS:CLT-007- Cloudtrail S3 日志记录未启用 
  说明:此签名扫描您的 S3云t轨道桶, 以验证您是否有 S3云t轨道启用日志记录, 如果不是, 则返回失败警报。 
  
  
• 新签名:AWS:CFM-003-CFN 堆栈终止保护未启用
  说明: 此签名扫描以确保在堆栈上启用了终止保护, 如果没有它, 则返回失败警报.   
  
  
• 新签名:AWS:ACM-001 ssl 证书有效期30天
  说明:此签名扫描过期的 ACM SSL 证书, 并返回一个故障警报 if任何将在30天内到期.    
  
  
• 新签名: AWS:LAMBDA-004 限制 
  说明:此签名扫描您在中具有 lambda 函数的每个区域, 如果 LAMBDA 函数的组合代码大小接近容量 (超过限制的 90%), 则生成故障警报。 
  
  
• 新签名:AZU:KV-001-密钥存储库审核日志记录未启用
  说明: 建议启用 Azure 密钥存储日志记录, 以了解如何以及何时访问、修改密钥库以及由谁来进行查看.     此签名验证是否启用了 Azure 密钥存储日志记录, 如果没有, 则返回失败警报 .  
  
  
• 新签名: AZU:SC-001 的加密策略未启用
  说明:建议为Azure SQL 数据库、相关备份和事务日志文件启用 rest 加密功能。.   如果未启用 SQL 加密策略, 则此签名将生成故障警报.   
  
  
• 新签名:应用程序网关上的 AZU:NET-010 v1.2
  说明:此签名扫描所有自定义 SSL 连接, 以确保最小ProtocolVersion设置为 TLSv1_2 (或预定义的使用 AppGwSslPolicy20170401S SSL策略).     如果签名找到不符合这些条件的自定义 SSL 连接, 它将返回一个失败警报。 
  
  
• 新签名:NET-009 -负载平衡器诊断日志未启用
  说明:此签名扫描以确保您的所有资源都具有诊断日志,并具有启用警报事件和健康状态, 如果没有它, 则返回失败警报.      
  
  
• 新签名:AZU:KV-003 密钥存储库机密计划过期
  描述: 密钥库机密应定期旋转, 因此每个密钥存储库机密都应安排为过期.   此签名搜索实例密钥库机密, 并为未计划过期的每个机密生成失败警报。 
  
  
• 新签名: AZU:KV-002 密钥保险存储密钥未计划过期
  说明: 密钥保险存储密钥应定期旋转, 因此每个密钥存储库密钥都应安排为过期. 此签名搜索实例密钥库密钥, 并为未计划过期的每个密钥生成失败警报。 
  
  
• 新签名: AZU:SC-003- JIT 网络访问策略未启用
  说明:此签名检查您的安全策略, 以确保启用 JIT 网络访问 (要求标准安全中心层), 并如果不是, 则返回失败警报。  
• 新签名: AZU:SC-002-有关警报的电子邮件未启用
  说明:此签名将检查是否已启用安全警报电子邮件发送到安全联系人, 如果没有, 则返回故障警报.    
  
  
• 已填充 "复制和自定义" 模板以允许自定义这些默认签名: 
  • AWS:CF-001AWS CloudFront CDN 不在使用中    
  • AWS:EC2-034EC2 单个实例似乎没有冗余   
  • AWS:R53-001Route53 DNS   
  • AWS:RDS-001RDS 保留策略< 7=""></>   
  • AWS:RDS-003RDS 数据库未加密   
  • AWS:RDS-004RDS 数据库未使用客户 KMS 密钥加密  
  • AWS:RDS-009RDS 事件订阅未启用    
  • AWS:REDSHIFT-001红移簇可以公开访问  
  • AWS:REDSHIFT-002 未加密红移簇  
  • AWS:REDSHIFT-003红移群集未使用客户 KMS 密钥加密  
  • AWS:SSS-008S3 桶已启用全局 ACL 权限   
  • AWS:SSS-014S3 服务器端加密未启用    
  • AWS:SSS-015S3 安全的数据传输策略违规发现
    注意: 自定义签名的引用链接:     
    • ESP 文档 
    • 常见问题: 在哪里可以找到自定义签名代码示例？ 
    • Ruby 教程 
    • JavaScript 教程 
       
• Updated 自动气象站基础基准, 以匹配 v1.2 :  

• 重新编号1.21 至1.19 节 -确保 IAM 实例角色用于从实例的 AWS 资源访问  

• 重新编号1.22 至1.20 节-确保已创建支持角色    
   
• 重新编号1.23 到1.21 节 -在初始用户设置期间不设置访问键, 对于所有具有控制台密码的 IAM 用户  , 
   
• 重新编号1.24 至1.22 节 -确保不创建允许完全 "*:*" 管理权限的 IAM 策略 
   
• 重新编号4.3 至2.9 节-确保在所有 VPCs 中启用 VPC 流日志记录   
   

• 已将 Azure SDK 更新为最新版本。 
   

• 自定义签名编辑器现在提供有关NoMethodExceptions的 更多信息.  
   
• 改进的报表排序字段允许按团队名称和帐户名进行排序, 按警报排序已更改为按签名标识符排序.  
   
• 新功能: 用户访问级别 
  
  现在可以向组织中的每个用户显式授予适当的访问 (组织、子组织或团队). 为明显的服务中的用户启用粒状访问, 您可以限制对数据的暴露, 并防止由于对较高访问级别的隐式引用而使用户的特权升级。例如, 如果您删除了其所属的团队, 则您已授予团队访问权限的用户无法获得对子组织的提升访问权限。 
   
• 新功能: 可编辑镇压
  要合并在明显服务上定义的镇压数量, 现在可以编辑警报抑制.   例如, 如果添加新帐户, 或者要取消新签名的警报, 则可以修改现有的抑制以包括更改, 而不是创建新的。 
   
• 明显的联系我们页面已更新, 包括明显的知识库, 帕洛阿尔托网络支持, 并登录帮助新用户.  
   

• Beta 仪表板现在是默认视图.  

解决问题 
 

• 签名AWS:VPC-002和Signature: AWS:VPC-009被修改以添加新的失败条件, 更适合满足签名的设计需要.   
   
• Signature: AWS:VPC-003被修订, 以更好地通知客户, 当 VPC 子网/NACL 是互联网可访问.  
   

• Signature: AWS:ELB-006被编辑了对广告穿戴缺乏通行证或失败消息.  
   
• 修正了由于警报太长而 Jira 通知失败 的问题。 
   
• 增加 p罗珀 p老化到 KMS 客户端列表别名.  
   
• 编辑了以下签名以解决意外错误, 同时确保所有匹配和部分匹配问题: 

• AWS:SSS-010 

• AWS:SSS-011  
• AWS:SSS-012  
• AWS:SSS-013