Sicherheitslückenbewertung für AWS ändern oder deaktivieren

Vorhandenen Scan für die Sicherheitslückenbewertung für AWS ändern

Im folgenden Abschnitt wird beschrieben, wie Sie die Konfiguration für einen Scan zur Sicherheitslückenbewertung für AWS ändern.

  1. Prüfen Sie, ob Sie die Berechtigungen und Rollen haben, die unter Sicherheitslückenbewertung für AWS aktivieren und verwenden definiert sind.

  2. Rufen Sie im Security Command Center die Seite Einstellungen auf:

    Einstellungen aufrufen

  3. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS ändern möchten. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

  4. Wählen Sie Einstellungen aus.

  5. Klicken Sie auf der Dienstkarte Vulnerability Assessment (Schwachstellenanalyse) auf Einstellungen verwalten. Die Seite Vulnerability Assessment (Schwachstellenanalyse) wird geöffnet.

  6. Wählen Sie den Tab Amazon Web Services aus.

  7. Klicken Sie im Bereich Scaneinstellungen für AWS-Computing und ‑Speicher auf Scaneinstellungen bearbeiten, um den Umfang der gescannten Ressourcen zu ändern.

    Sie können maximal 50 AWS-Tags und Amazon EC2-Instanz-IDs definieren. Änderungen an den Scaneinstellungen wirken sich nicht auf die AWS CloudFormation-Vorlage aus. Sie müssen die Vorlage nicht noch einmal bereitstellen. Wenn ein Tag oder eine Instanz-ID nicht korrekt ist (z. B. wenn der Wert falsch geschrieben ist) und die angegebene Ressource nicht vorhanden ist, wird der Wert beim Scan ignoriert.
    Option Beschreibung
    Scanintervall Geben Sie die Anzahl der Stunden zwischen den einzelnen Scans ein. Gültige Werte reichen von 6 bis 24. Der Standardwert ist 6. Häufigere Scans können zu einer höheren Ressourcennutzung und möglicherweise zu höheren Abrechnungsgebühren führen.
    AWS-Regionen

    Wählen Sie eine Teilmenge von Regionen aus, die in den Scan zur Sicherheitslückenbewertung einbezogen werden sollen.

    Es werden nur Instanzen aus den ausgewählten Regionen gescannt. Wählen Sie eine oder mehrere AWS-Regionen aus, die in den Scan eingeschlossen werden sollen.

    Wenn Sie im Amazon Web Services (AWS)-Connector bestimmte Regionen konfiguriert haben, müssen die hier ausgewählten Regionen mit den Regionen übereinstimmen, die Sie beim Konfigurieren der Verbindung zu AWS definiert haben, oder eine Teilmenge davon sein.

    AWS-Tags Geben Sie Tags an, mit denen die Teilmenge der gescannten Instanzen identifiziert wird. Nur Instanzen mit diesen Tags werden gescannt. Geben Sie das Schlüssel/Wert-Paar für jedes Tag ein. Wenn ein ungültiges Tag angegeben wird, wird es ignoriert. Sie können maximal 50 Tags angeben. Weitere Informationen zu Tags finden Sie unter Amazon EC2-Ressourcen taggen und Tags für Amazon EC2-Ressourcen hinzufügen und entfernen.
    Nach Instanz-ID ausschließen

    Schließen Sie EC2-Instanzen aus jedem Scan aus, indem Sie die EC2-Instanz-ID angeben. Sie können maximal 50 Instanz-IDs angeben. Wenn ungültige Werte angegeben werden, werden sie ignoriert. Wenn Sie mehrere Instanz-IDs definieren, werden sie mit dem Operator AND kombiniert.

    • Wenn Sie Instanz nach ID ausschließen auswählen, geben Sie jede Instanz-ID manuell ein. Klicken Sie dazu auf AWS EC2-Instanz hinzufügen und geben Sie den Wert ein.

    • Wenn Sie Liste auszuschließender Instanz-IDs im JSON-Format kopieren und einfügen auswählen, haben Sie folgende Möglichkeiten:

      • Geben Sie ein Array von Instanz-IDs ein. Beispiel:

        [ "instance-id-1", "instance-id-2" ]

      • Laden Sie eine Datei mit der Liste der Instanz-IDs hoch. Der Inhalt der Datei sollte ein Array von Instanz-IDs sein, z. B.: 

        [ "instance-id-1", "instance-id-2" ]
    SC1-Instanz scannen Wählen Sie SC1-Instanz scannen aus, um diese Instanzen einzubeziehen. SC1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu SC1-Instanzen
    ST1-Instanz scannen Wählen Sie ST1-Instanz scannen aus, um diese Instanzen einzubeziehen. ST1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu ST1-Instanzen
    Elastic Container Registry (ECR) scannen Wählen Sie Elastic Container Registry-Instanz scannen aus, um in ECR gespeicherte Container-Images und die darin installierten Pakete zu scannen. Weitere Informationen zu Elastic Container Registry

  8. Klicken Sie auf Speichern.

Scan für die Sicherheitslückenbewertung für AWS deaktivieren

Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ deaktivieren möchten, müssen Sie ihn in Security Command Center deaktivieren und dann den Stack löschen, der die CloudFormation-Vorlage in AWS enthält. Wenn der Stack nicht gelöscht wird, fallen in AWS weiterhin Kosten an.

Führen Sie die folgenden Schritte aus, um die Sicherheitslückenbewertung für AWS zu deaktivieren:

  1. Rufen Sie im Security Command Center die Seite Einstellungen auf:

    Einstellungen aufrufen

  2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS deaktivieren möchten. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

  3. Klicken Sie auf der Dienstkarte Vulnerability Assessment (Schwachstellenanalyse) auf Einstellungen verwalten.

  4. Wählen Sie den Tab Amazon Web Services aus.

  5. Wählen Sie im Feld Status unter Dienstaktivierung die Option Deaktivieren aus.

  6. Rufen Sie in der AWS Management Console die Seite AWS CloudFormation Template (AWS CloudFormation-Vorlage) auf.

  7. Löschen Sie den Stack, der die CloudFormation-Vorlage für die Sicherheitslückenbewertung für AWS enthält.

    Wenn Sie die Vorlage nicht löschen, können unnötige Kosten anfallen.