明显的更新-2018年7月11日 (和以前)
Resolution
每周计划部署-2018年7月11日
以下更新计划将在 7/11/2018 的明显服务中生效:
增强功能
- 新签名:AWS:EC2-043-具有打开的专用 CIDRs 的安全组描述: 此签名检查所有 EC2 安全组, 并在找到任何入站规则时返回警报, 此查询允许从RFC-1918 (即10.0、0.0/8、172.16.0、0/12 和 192.168.0). 风险: 低
- 新签名:AWS:EC2-044-EC2 实例计划事件说明: 此签名检查您的亚马逊 EC2 实例是否具有受支持的计划事件. 如果 AWS 计划事件提前7天排定, 则会触发警告。如果计划在7天内启动 AWS 计划事件, 此签名将触发故障警报。 风险: 中等
- 新签名: 启用了 AWS:EFS-001-EFS 加密 说明: 此签名检查您的弹性文件系统以验证是否启用了加密, 如果没有, 则触发警报。风险: 中等
- 新签名:AWS:ELB-011 网络负载平衡器全局管理端口说明: 当在端口范围定义全局权限时, 此签名将触发警报, 授予对一个或多个管理端口的访问权限, 并在可由网络负载平衡器规避的安全组. 风险: 高
- 新签名:AWS:ELB-012-ELB (经典) 跨区域负载平衡描述: 此签名检查您的所有经典负载平衡器节点的跨区域负载平衡, 并触发一个警报, 如果你有一个不正确的配置. 风险: 低
- 新签名:AWS:IAM-020-IAM SSL 服务器证书检查说明: 此签名检查存储在 AWS IAM 中的所有 SSL 服务器证书, 以验证它们是否是最新的, 如果不是, 则触发警报. 风险: 中等
- 新签名:AWS:IAM-021 已弃用的 IAM 管理策略在使用说明中: 此签名检查已否决的 AWS IAM 管理策略的任何用法, 如果在云资源中找到一个警报, 则返回警告. 风险: 高
- 新签名:AWS:ELB-009-ELB (经典) 连接排水说明: 此签名扫描所有经典负载平衡器请求, 如果实例正在取消注册或不健康, 则返回警报. 风险: 高
- 新签名:AWS:RDS-010 实例多亚利桑那州启用说明: 此签名检查多 az 设置的所有 RDS 实例, 如果 rds 未部署在多亚利桑那州, 则会生成故障警报. 风险: 中等
- 新功能:计划的签名导出说明:
- 新功能:新仪表板 (Beta) 说明: 明显的程控仪表板现在授权您准确地选择要查看的威胁数据. 您可以从一系列数据可视化和自定义筛选器中进行选择。
- 新功能:扫描间隔更新说明: 用户现在可以为最适合其业务需求的时间安排报告间隔.
- 新功能: Azure 升级
- 对 ESP 仪表板上的 Azure 区域名称进行了编辑, 以便清晰度和可读性。
- 为了避免可读性问题, 频道组名称现在修剪前导空格。
- 现在无法创建报告, 直到5分钟后, 才通过最后一个来避免垃圾邮件。
bug
- 解决了签名 AWS 的问题: IAM-004 不接收用户属性数据的 "禁用 MFA" 事件。
- 更正了已知的问题, 在该组织只有一个用户且该用户自删除该帐户时才会删除它。
- 修订的签名 AWS:CLT-004 以解决丢失的元数据信息。
- 将 S3 签名 (AWS:SSS-0010 到 013) 的问题旋转, 不处理列表中的所有桶并生成其他警报。
- 修正了签名 AWS:RDS-001 在不应该时检查 RDS 读取器副本的问题。
- 解决了 AWS:CLT-006 和 ASW:SSS-003 的 bug, 偶尔生成 AuthorizationHeaderMalformed 错误。
- 用 AWS:RDS-012 解决了一个 bug, 它在 VPC 中查找所有子网中的 internet 路由, 而不是仅限于定义的子网组中的子网。 此外, 元数据现在只包括包含失败 (打开到 internet) 规则的路由表。
- 更新的签名: AWS:EC2-038 现在仅当默认 VPC 安全组没有入站和出站规则 (这将限制所有访问) 时才会传递。
- 编辑的 AWS:LAMBDA-003 在函数具有环境变量时不再生成信息警报, 并且在不存在时生成传递/失败警报。
- 纠正了 AWS:EC2-031 的问题, 这大大增加了 EC2 API 调用的数量, 从而限制了实例的发生。
- 解决了一个间歇性问题, 用户在创建自定义签名后可能会在错误404页上着陆。
- 解决了如果 rds 实例太多, rds 相关签名不会生成警报的问题。
----------------------------------------------------------------------------------------------
每周计划部署-2018年6月06日
以下更新将在 5/30/2018 的明显管理控制台中生效:
增强功能
- 已升级自定义签名引擎的 AWS SDK 版本。
- 签名的复制和自定义函数现在也将基签名的描述和修正步骤复制到自定义签名中。
- 改进了外部帐户页面性能。
- 改进的报表页面性能。
- 显而易见. io 的自动化和自定义签名 GitHub 存储库已移动到帕洛阿尔托网络的存储库中。 新的网址是:
- https://github.com/PaloAltoNetworks/evident-custom-signatures
- https://github.com/PaloAltoNetworks/evident-automation
缺陷修复
- 解决了阻止用户编辑自定义法规遵从性标准的错误。
- 解决了一个问题, 即可以创建 Azure 外部帐户, 其权限不足, 无法进行明显的监视以生成警报。
- 修正了新用户邀请电子邮件在移动设备上无法正确显示的问题。
- 更正了新用户邀请电子邮件在 Microsoft Outlook 中无法正常工作的问题。
- 解决了 AWS:EC2-031 的问题, 当应用程序负载平衡器引用安全组时, 它将无法生成警报
- 解决了 AWS:SSS-014 的问题, 即使它生成了传递警报, 也会生成 ServerSideEncryption 错误。
每周计划部署-2018年5月23日
以下更新将在 ESP 管理控制台 5/23/2018 生效:
- 已填充 "复制和自定义" 模板以允许自定义这些默认签名:
- AWS:SSS-001 S3 对象版本控制已启用
- S3 上未启用 AWS:SSS-003 MFA 删除
- AWS:SSS-004 S3 桶已启用全局编辑 ACL 权限
- AWS:SSS-005 S3 桶具有全局上载和删除 ACL 权限
- AWS:SSS-006 S3 桶已启用全局列表 ACL 权限
- AWS:SSS-007 S3 桶已启用全局视图 ACL 权限
- AWS:VPC-011虚拟私有云 (VPC) 空
- AWS:VPC-012每个 VPC 的最大子网
- AWS:VPC-013 VPC 弹性 IP 限制
- AWS:VPC-014 VPC 客户网关限制
- AWS:VPC-016 VPC 安全组限制
- AWS:VPC-017 NAT 网关未使用
- AWS:VPC-018防止未经授权的虚拟私有云 (VPC) 对等
- AWS:VPC-019 VPC 专用网关限制
- 注意: 用于自定义签名的引用链接:
显而易见. io 的自动化和自定义签名 GitHub 存储库将在6月6日移动到帕洛阿尔托网络的存储库中。 在移动发生时将提供更多详细信息。
----------------------------------------------------------------------------------------------
以下更新将在 5/3/2018 的明显管理控制台中生效:
增强功能
- 新签名:AWS:RDS-012(RDS 专用子网)
- 新签名:AWS:RDS-011(启用 RDS 次要升级)
缺陷修复
- 签名AWS:IAM-019被编辑, 以确保它适用于包括 "NotAction" 的模板.
- 签名AWS:LAMBDA-003被修订, 以确保它包括标签.
- 签名:AWS:SQS-002被修订为在元数据信息中包含 KMS 密钥 Id.
- 解决了一些 VPCs AWS:VPC-009 抛出错误 的问题。
- 修正了如果将安全组分配给 EMR, AWS:EC2-031 抛出错误 的问题。
- 更正了多个 S3 签名的问题, CreationDate 随机更改字段。
- AWS:SSS-001
- AWS:SSS-004
- AWS:SSS-005
- AWS:SSS-006
- AWS:SSS-007
- AWS:SSS-008
- AWS:SSS-009
- AWS:SSS-010
- AWS:SSS-011
- AWS:SSS-012
- AWS:SSS-013
- AWS:SSS-014
- AWS:SSS-015
- 编辑签名AWS:SSS-014和签名AWS:SSS-015 在条件子句中使用各种大写.
- 修订签名:AWS:IAM-017包含更多元数据信息.
- 编辑的签名:AWS:R53-001每帐户生成一个警报, 而不是每个区域的一个警报.
- 修正了签名问题:AWS:CFM-001在某些状态下为 CloudFormationTemplate 抛出错误.
- 修订签名:AWS:CLT-003确保元数据信息中的水桶策略格式正确.
- 已编辑的签名:AWS:EC2-034以确保检查所有 CloudWatch 警报.
- 编辑的签名:AWS:CLT-001正确的失败警报消息和相关元数据.
----------------------------------------------------------------------------------------------
每周计划部署-2018年5月2日
以下更新将在 5/2/2018 的明显管理控制台中生效:
增强功能
- 已修改警报详细信息以确定归属和元数据的位置。
- 复制和自定义模板已填充, 以允许自定义这些默认签名:
- AWS:EC2-007非 Web 端口在全球范围内可从 Internet 访问
- 检测到 AWS:EC2-022 全局 ICMP (Ping) 访问权限
- AWS:EC2-030EBS 卷是独立的
- AWS:EC2-031未使用的安全组
- AWS:EC2-039检测到的所有端口的全局访问权限
- 检测到 AWS:EC2-040 全局管理端口访问
- 检测到 AWS:EC2-041 全局服务端口访问
- AWS:IAM-017没有用户默认访问键
- 注意: 用于自定义签名的引用链接:
缺陷修复
- 已在 azure 入职向导上修复了指向 azure CLI 入职文档的链接。
- 解决了创建自定义签名过程中出现的问题。如果用户提交了大量的标记文本来描述签名, 则有时会引发异常。
- 修正了使用集成 API 并试图更改页面大小导致错误的问题。
- 当用户试图通过 API 导出报告时, 解决了失败的授权检查错误。
----------------------------------------------------------------------------------------------
每周计划部署-2018年4月25日
以下更新将在 4/25/2018 的明显管理控制台中生效:
增强功能
- 为了减少状态翻转的次数, 如果上次备份是在10分钟前完成的, AWS:RDS-002 将生成失败警报。
- AWS:SSS-014 已得到增强, 以支持服务器端加密的 "aws: kms" 属性。 如果启用了桶的默认加密选项, 则签名现在也将通过。
缺陷修复
- 使用用户属性数据的 AWS:IAM-004 警报现在可以按预期结束。
每周计划部署-2018年4月18日
以下更新将在 4/18/2018 的明显管理控制台中生效:
增强功能
- 复制和自定义模板已填充, 以允许自定义这些默认签名:
- AWS:CF-002 未加密 CloudFront 到源服务器连接
- 没有 SNS 主题的 AWS:CFM-002 CloudFormation 堆栈配置
- 未为区域启用 AWS:CLT-001 CloudTrail 审核日志记录
- 未启用 AWS:CONFIG-001 AWS 配置
- 注意: 用于自定义签名的引用链接:
缺陷修复
- 更正了用户属性作业的问题, 如果无法找到任何相关的 CloudTrail 事件, 则每30分钟无法重试一次。
每周计划部署-2018年4月11日
以下更新将在 4/11/2018 的明显管理控制台中生效:
增强功能
- 复制和自定义模板已填充, 以允许自定义这些默认签名:
- AWS:ELB-007 ELB 不包含任何已注册的实例
- AWS:ES-001 ElasticSearch 打开访问策略发现
- AWS:ES-002 ElasticSearch 簇 VPC
- AWS:GLO-001未检测到非根用户
- AWS:IAM-001未检测到用户 API 密钥
- 禁用 AWS:KMS-001 KMS 密钥旋转
- 计划删除的 AWS:KMS-002 KMS 密钥
- AWS:RDS-005 RDS 数据库可公开访问
- 未启用 AWS:RDS-006 RDS 事件订阅
- AWS:RDS-007具有公共权限的 RDS 快照
- AWS:SQS-002 SQS 服务器端加密检查
- AWS:SSS-009 S3 日志记录已启用
- AWS:SSS-010 S3 桶具有全局获取权限
- AWS:SSS-011 S3 桶具有全局放置权限
- AWS:SSS-012 S3 桶具有全局删除权限
- AWS:SSS-013 S3 桶已启用全局列表权限
- AWS:VPC-009默认 VPC NACL
- 未启用 AWS:VPC-020 VPC 流日志
- 注意: 用于自定义签名的引用链接:
- 自定义签名在小时内均匀执行, 并且现在最后一次运行的结果包括在报表中。这样做是为了提高报告的性能。
----------------------------------------------------------------------------------------------
缺陷修复
- 修正了在自定义合规域上重新排序大量控件时的超时错误。
- 修正了试图通过 API 将 Azure 帐户添加到自定义签名时发生的错误。
- 解决了一个罕见的问题, 显示了未为本组织启用的附加法规遵从性标准。
- 添加了一个新的重试机制, 在 ESP 将集成标记为因 STS 承担角色错误而失败时。
每周计划部署-2018年3月28日
以下更新将在 3/28/2018 的明显管理控制台中生效:
增强功能
- 新的法规遵从性报告: 一般数据保护条例 (GDPR)
- 注: 请与您的销售代表或电子邮件sales@evident.io sales@evident 联系以获取有关许可成本和启用 GDPR 法规遵从性报告的信息. 一旦将许可证应用于组织, 这是配置的参考链接。
- 复制和自定义模板已填充, 以允许自定义这些默认签名:
- 未启用 AWS:EC2-032 EBS 卷加密
- AWS:ELB-003 ELB SSL 证书90天后到期
- AWS:ELB-004 ELB SSL 证书45天后到期
- AWS:ELB-005 ELB SSL 证书5天后到期
- 未启用 AWS:IAM-003 根 MFA
- AWS:IAM-004 IAM 未启用用户外交部
- AWS:IAM-009检测到的 IAM 管理员太少
- 检测到 AWS:IAM-012 根 API 密钥
- AWS:IAM-013 IAM 用户具有直接分配的策略
- AWS:IAM-014未使用的 IAM 用户凭据
- AWS:IAM-015未使用的 IAM 访问键
- AWS:IAM-016自定义 IAM 策略授予太多特权
- AWS:IAM-018支持角色检查
- AWS:IAM-019确保 iam 主机和 iam 管理器角色处于活动状态
- AWS:KMS-003客户管理的密钥不在使用中
- 使用西麦克加密的 AWS:LAMBDA-003 LAMBDA 环境变量
- 注意: 用于自定义签名的引用链接:
----------------------------------------------------------------------------------------------
每周计划部署-2018年3月21日
以下更新将在 ESP 管理控制台 3/21/2018 生效:
增强功能
已填充 "复制和自定义" 模板以允许自定义这些默认签名:
- AWS:CLT-002 CloudTrail 日志未加密的 SSE-KMS
- AWS:CLT-003 S3 桶策略允许公众访问 CloudTrail 日志
- AWS:CLT-004 CloudTrail 日志未与 CloudWatch 集成
- 未为 CloudTrail 日志文件启用 AWS:CLT-005 日志文件验证
- CloudFront 分布中的 AWS:CF-003 不安全密码
- AWS:CF-004 启用 CloudFront 访问日志记录
- AWS:CF-005 CloudFront 查看器协议策略要求 HTTPS
- AWS:EC2-035 未加密 AMI
- 检测到 AWS:EC2-036 公共 AMI
- AWS:EC2-037 EBS 卷未使用客户托管密钥加密
- AWS:EC2-038 默认 VPC 安全组允许通信
注意: 用于自定义签名的引用链接:
通过法规遵从性控件向警报 API 添加搜索功能。
更新了 azure 安装程序实时警报向导, 以简化所需的步骤并适应最新的 Azure 更新。
集成的所有风险级别选项现在都可以独立于单独的签名设置进行切换.。
bug
- 修正了 ESP 仪表板上的一个错误, 导致一些 Azure 区域消失。
- 解决了签名问题: AWS:IAM-004 用户属性数据将导致警报在错误的区域内变得陈旧。
- 解决了签名问题: AWS:IAM-010 某些拒绝语句未被准确处理的情况。
- 签名的警报阈值: AWS:RDS-002 设置为10分钟
- 解决滞后时间的问题。
- 签名: AWS:SSS-014 已修改为支持 AWS: kms 属性。
每周计划部署-2018年2月28日
以下更新将在 ESP 管理控制台 2/28/2018 生效:
增强功能
- 通过改进缓存并在加载每个页面时显示当前总视图, ESP 仪表板的加载时间已减少。
bug
- 更正了一个错误, 它阻止了签名和自定义签名的抑制生成, 从而无法抑制警报。
- 修正了一个防止区域抑制抑制警报的错误。
- 解决了导致签名在负载下创建重复警报的错误。
- 解决了导致签名不更新负载下的警报状态的错误。
----------------------------------------------------------------------------------------------
每周计划部署-2018年2月21日
以下更新将在 ESP 管理控制台 2/21/2018 生效:
增强功能
- 新签名: AWS:REDSHIFT-004 (通过 SSL 进行红移群集通信)。此签名当前已禁用, 将在2018年3月7日启用, 以便在一般情况下使用。
- 新签名: AWS:EC2-042 (带有公共权限的 EBS 快照集)。此签名当前已禁用, 将在2018年3月7日启用, 以便在一般情况下使用。
bug
- 签名 AWS:LAMBDA-003 不再尝试读取环境变量以检查是否存在, 因为它间接尝试解密变量。由于 SecurityAudit 角色不允许 KMS: 解密, 这导致访问被拒绝错误。
- 解决了签名 AWS:RDS-005 抛出而当前错误的问题。
- 修改后的签名: AWS:RDS-006 和 AWS:RDS-009, 以考虑为所有源类型配置的事件订阅。
- 修改后的签名: AWS:RDS-006 和 AWS:RDS-009 为每个区域生成一个警报。
- 修改后的签名 AWS:EC2-031 还可以检查 AWS Lambda 和应用程序负载平衡器。
- 已更正签名 AWS:CFM-001 以避免接收多个警报。
----------------------------------------------------------------------------------------------
每周计划部署-2018年1月31日
以下更新将在 ESP 管理控制台 1/31/2018 生效:
增强功能
- 新签名: 启用 CloudFront 访问记录 (AWS:CF-004)
- 新签名: SQS 死信队列检查 (AWS:SQS-003)
- 新签名: CloudFront 查看器协议策略使用 HTTPS (AWS:CF-005)
- 新签名: 确保 iam 主机和 iam 管理器角色处于活动状态 (CIS 1.1-1.18) (AWS:IAM-019)
- 将重新组织自定义签名 GitHub 存储库, 以提供更加直观和信息丰富的布局。 请注意, 一旦新布局生效, 旧文件链接将不再导致有效页面。
bug
- 修正了无法通过 ESP 重新启用禁用的签名的问题。
- 编辑的签名:AWS:CF-002以解决自定义源不正确解析起源.
- 修订后的签名:AWS:EC2-031验证安全组是否未被其他安全组引用.
- 更新的签名: AWS:CLT-001 验证日志传递是否成功
- 已编辑的签名:AWS:IAM-014以确保错误信息拥有正确的消息.
- 修改后的签名: AWS:IAM-010 在检查资源时删除空白。
- 修改后的签名: AWS:KMS-001 为外部 KMS 密钥更正触发器。
- (GovCloud) 所有 S3 签名都经过编辑, 以正确触发警报。
- (GovCloud)修改后的签名: AWS:EC2-034 确保在 EC2 实例上正确监视 Cloudwatch 警报。
- 对一些 S3 签名进行了编辑, 以确保在授予所有用户 "完全控制" 时不会生成假通行证警报。 修改的签名如下:
----------------------------------------------------------------------------------------------
每周计划部署-2018年1月17日
以下更新将在 ESP 管理控制台 1/17/2017 生效:
增强功能
- 添加了冗余, 以确保在禁用签名时, 它将结束所有从该签名发出的未来警报。
bug
- 修正了无法通过 ESP 重新启用禁用的签名的问题。
--------------------------------------------------------------------------------------------
每周计划部署-2018年1月10日
以下更新将在 ESP 管理控制台 1/10/2017 生效:
增强功能
- 添加了重新发送 SSO 用户邀请的能力。
- 已升级自定义签名引擎的 SDK 以增强现有服务, 并添加对以下 AWS 服务的支持:
- AlexaForBusiness
- AppSync
- Cloud9
- 理解
- CostExplorer
- GuardDuty
- IoTJobsDataPlane
- KinesisVideo
- KinesisVideoArchivedMedia
- KinesisVideoMedia
- MQ
- MediaLive
- MediaStore
- MediaStoreData
- MediaConvert
- MediaPackage
- 定价
- ResourceGroups
- SageMaker
- SageMakerRuntime
- ServerlessApplicationRepository
- 翻译
bug
- 解决了集成方面的问题, 在这种情况下, 禁用 "孤立" 集成不会产生错误。 注意: 必须修改活动的 "孤立" 集成, 使其与至少一个外部帐户相关联, 然后才能禁用它。
- 修正了显示 Azure 帐户的自定义签名外部帐户选择的问题。
- 更正了一个问题, 导致某些地方不允许使用特殊字符, 如 "(样式化撇号)"。
----------------------------------------------------------------------------------------------
每周计划部署-2017年12月20日
以下更新将在 ESP 管理控制台 12/20/2017 生效:
增强功能
- 新签名: AWS S3 服务器端加密 (AWS:SSS-014).
- 新签名: S3 安全数据传输策略违规发现 (AWS:SSS-015).
- 新签名: SQS 服务器端加密检查 (AWS:SQS-002).
- 新签名: 使用西麦克 (AWS:LAMBDA-003) 在 rest 中加密的 Lambda 环境变量。
- 新签名: ElasticSearch 打开访问策略发现 (AWS:ES-001).
- 新签名: VPC 中的 ElasticSearch 簇 (AWS:ES-002)
- S3 桶健身报告有一个新的加密控制域与控制, 以检查加密在休息和加密在传输。
- ESP 更新了自定义签名引擎的 AWS SDK。
- 签名: 未使用的 IAM 访问密钥 (AWS:IAM-015) 现在会生成警告警报, 而不是在找到非活动访问密钥但在最近90天内未使用的情况下发出警报通知.
- 签名: VPC 出口 ELB (AWS:VPC-007) 已编辑, 以降低其风险水平从高到中等.
- 修改了以下 S3 签名以改进操作子句中通配符的覆盖率:
bug
- 签名: RDS 数据库公开访问 (AWS:RDS-005) 已编辑为清晰.
- 签名: 未启用 RDS 事件订阅 (对于 DB 安全组事件) (AWS:RDS-009) 已暂时禁用, 直到 bug 可以用它解决为止。
- 即使无法检索 S3 桶, 也会编辑以下签名以生成警报:
- 更新了以下签名以改进分页结果:
- 解决了签名:AWS:ELB-001并不总是针对正确的 SSL 安全策略进行验证 的问题。
- 修正了签名的问题:AWS:Config-001不总是检查传递是否成功.
- 对下列签字进行了修订, 以改善主要条款的覆盖面: