Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für CloudWatch
Diese Kontrollen bewerten den CloudWatch Service und die Ressourcen von Amazon.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein
Verwandte Anforderungen: PCI DSS v3.2.1/7.2.1, CIS AWS Benchmark für Grundlagen v1.2.0/1.1, CIS AWS Benchmark für Stiftungen v1.2.0/3.3, CIS AWS Benchmark für Stiftungen v1.4.0/1.7, CIS AWS Benchmark für Stiftungen v1.4.0/4.3
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Der Root-Benutzer hat uneingeschränkten Zugriff auf alle Dienste und Ressourcen in einem AWS-Konto. Wir empfehlen dringend, den Root-Benutzer nicht für tägliche Aufgaben zu verwenden. Durch die Minimierung der Nutzung des Root-Benutzers und die Anwendung des Prinzips der geringsten Rechte für die Zugriffsverwaltung wird das Risiko unbeabsichtigter Änderungen und der unbeabsichtigten Offenlegung hochberechtigter Anmeldeinformationen verringert.
Es hat sich bewährt, Ihre Root-Benutzeranmeldedaten nur dann zu verwenden, wenn sie für die Durchführung von Konto- und Dienstverwaltungsaufgaben erforderlich sind. Anwenden AWS Identity and Access Management (IAM) Richtlinien direkt für Gruppen und Rollen, aber nicht für Benutzer. Eine Anleitung zur Einrichtung eines Administrators für den täglichen Gebrauch finden Sie im Benutzerhandbuch unter Erstellen Ihres ersten IAM Admin-Benutzers und Ihrer ersten IAMAdministratorgruppe
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 1.7 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für unautorisierte API Anrufe vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.1
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch
CISempfiehlt, einen Metrikfilter zu erstellen und unberechtigte API Anrufe zu alarmieren. Durch die Überwachung nicht autorisierter API Anrufe können Anwendungsfehler aufgedeckt und die Zeit bis zur Erkennung bösartiger Aktivitäten reduziert werden.
Um diese Prüfung durchzuführen, verwendet Security Hub eine benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 3.1 in der CIS AWS Benchmark für Grundlagen v1.2
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console vorhanden sind ohne MFA
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.2
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch
CISempfiehlt, einen Metrikfilter und Alarm-Konsolen-Logins zu erstellen, die nicht durch geschützt sind. MFA Durch die Überwachung von Ein-Faktor-Konsolenanmeldungen wird der Überblick über Konten erhöht, die nicht durch geschützt sind. MFA
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 3.2 in der CIS AWS Benchmark für Grundlagen v1.2
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM Richtlinienänderungen vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.4, CIS AWS Benchmark für Stiftungen v1.4.0/4.4
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement überprüft, ob Sie API Anrufe in Echtzeit überwachen, indem es CloudTrail Protokolle in Logs umleitet und entsprechende Metrikfilter und Alarme einrichtet. CloudWatch
CISempfiehlt, einen Metrikfilter und einen Alarm für Änderungen an IAM Richtlinien zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Anmerkung
Unser empfohlenes Filtermuster für diese Behebungsschritte unterscheidet sich von dem Filtermuster in der CIS Anleitung. Unsere empfohlenen Filter zielen nur auf Ereignisse ab, die auf IAM API Anrufe zurückzuführen sind.
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für CloudTrail AWS Config Die Dauer ändert sich
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.5, CIS AWS Benchmark für Stiftungen v1.4.0/4.5
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch
CISempfiehlt, einen metrischen Filter und einen Alarm für Änderungen an den CloudTrail Konfigurationseinstellungen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass die Transparenz für Aktivitäten in diesem Konto erhalten bleibt.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.5 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Management Console Fehler bei der Authentifizierung
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.6, CIS AWS Benchmark für Stiftungen v1.4.0/4.6
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch
CISempfiehlt, einen Metrikfilter und einen Alarm für fehlgeschlagene Konsolenauthentifizierungsversuche zu erstellen. Durch die Überwachung fehlgeschlagenere Konsolenanmeldungen kann die Vorlaufzeit für die Erkennung von Brute-Force-Angriffsversuchen auf Anmeldeinformationen reduziert werden, durch die ein Indikator geliefert werden kann (wie z. B. eine Quell-IP), den Sie in anderen Ereigniskorrelationen verwenden können.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.6 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.7, CIS AWS Benchmark für Stiftungen v1.4.0/4.7
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch
CISempfiehlt, einen Metrikfilter und einen Alarm für vom Kunden verwaltete Schlüssel zu erstellen, deren Status in „Deaktiviert“ oder „Geplantes Löschen“ geändert wurde. Mit deaktivierten oder gelöschten Schlüsseln verschlüsselte Daten sind nicht mehr zugänglich.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.7 in der CIS AWS Benchmark für Grundlagen v1.4.0ExcludeManagementEventSources
, kms.amazonaws.com
wenn
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.8, CIS AWS Benchmark für Stiftungen v1.4.0/4.8
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch
CISempfiehlt, einen Metrikfilter und einen Alarm für Änderungen an den S3-Bucket-Richtlinien zu erstellen. Durch das Überwachen dieser Änderungen können Sie die Zeit reduzieren, die zum Erkennen und Korrigieren permissiver Richtlinien für sensible S3-Buckets erforderlich ist.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.8 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Config Änderungen an der Konfiguration
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.9, CIS AWS Benchmark für Stiftungen v1.4.0/4.9
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:AWS::Logs::MetricFilter
,, AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch
CISempfiehlt die Erstellung eines Metrikfilters und eines Alarms für Änderungen an AWS Config Konfigurationseinstellungen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass die Transparenz im Hinblick auf Konfigurationselemente in diesem Konto erhalten bleibt.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.9 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.10, CIS AWS Benchmark für Stiftungen v1.4.0/4.10
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:,, AWS::Logs::MetricFilter
AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch Sicherheitsgruppen sind statusbehaftete Paketfilter, die den eingehenden und ausgehenden Verkehr in einem kontrollieren. VPC
CISempfiehlt, einen Metrikfilter und einen Alarm für Änderungen an Sicherheitsgruppen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass -Ressourcen und -Services nicht unbeabsichtigt ungeschützt sind.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.10 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists () NACL vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.11, CIS AWS Benchmark für Stiftungen v1.4.0/4.11
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:,, AWS::Logs::MetricFilter
AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch NACLswerden als zustandsloser Paketfilter verwendet, um den eingehenden und ausgehenden Verkehr für Subnetze in a zu kontrollieren. VPC
CISempfiehlt, einen Metrikfilter und einen Alarm für Änderungen an zu erstellen. NACLs Durch die Überwachung dieser Änderungen können Sie sicherstellen, dass AWS Ressourcen und Dienste werden nicht unbeabsichtigt gefährdet.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.11 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.12, CIS AWS Benchmark für Stiftungen v1.4.0/4.12
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:,, AWS::Logs::MetricFilter
AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch Netzwerk-Gateways sind erforderlich, um Datenverkehr an ein Ziel außerhalb von a zu senden und zu empfangen. VPC
CISempfiehlt, einen metrischen Filter und einen Alarm für Änderungen an Netzwerk-Gateways zu erstellen. Durch die Überwachung dieser Änderungen wird sichergestellt, dass der gesamte ein- und ausgehende Verkehr die VPC Grenze auf einem kontrollierten Weg passiert.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.12 in der CIS AWS Benchmark für Grundlagen v1.2
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.13, CIS AWS Benchmark für Stiftungen v1.4.0/4.13
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:,, AWS::Logs::MetricFilter
AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement überprüft, ob Sie API Anrufe in Echtzeit überwachen, indem es CloudTrail Protokolle in Logs umleitet und entsprechende Metrikfilter und Alarme einrichtet. CloudWatch Routing-Tabellen leiten Netzwerkdatenverkehr zwischen Subnetzen und Netzwerk-Gateways weiter.
CISempfiehlt, einen Metrikfilter und einen Alarm für Änderungen an Routing-Tabellen zu erstellen. Durch die Überwachung dieser Änderungen wird sichergestellt, dass der gesamte VPC Verkehr über einen erwarteten Pfad fließt.
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Anmerkung
Unser empfohlenes Filtermuster für diese Behebungsschritte unterscheidet sich von dem Filtermuster in der CIS Anleitung. Unsere empfohlenen Filter zielen nur auf Ereignisse ab, die von Amazon Elastic Compute Cloud (EC2) API -Aufrufen stammen.
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC Änderungen vorhanden sind
Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/3.14, CIS AWS Benchmark für Stiftungen v1.4.0/4.14
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Ressourcentyp:,, AWS::Logs::MetricFilter
AWS::CloudWatch::Alarm
AWS::CloudTrail::Trail
AWS::SNS::Topic
AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)
Art des Zeitplans: Periodisch
Parameter: Keine
Sie können API Anrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende Metrikfilter und Alarme einrichten. CloudWatch Sie können mehrere VPC Konten haben und Sie können eine Peer-Verbindung zwischen zwei Konten herstellenVPCs, sodass der Netzwerkverkehr zwischen ihnen weitergeleitet werden kann. VPCs
CISempfiehlt, einen Metrikfilter und einen Alarm für Änderungen an zu erstellenVPCs. Die Überwachung dieser Änderungen hilft sicherzustellen, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.
Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.14 in der CIS AWS Benchmark für Grundlagen v1.4.0
Anmerkung
Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.
Die Prüfung führt in den folgenden Fällen zu FAILED
Ergebnissen:
Es ist kein Trail konfiguriert.
Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.
Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA
:
Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.
Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.
Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur von der verwaltet werden AWS Organizations Verwaltungskonto oder das CloudTrail delegierte Administratorkonto. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von vier Kontrollen,
NO_DATA
die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.
Für den Alarm muss das Girokonto entweder das referenzierte SNS Amazon-Thema besitzen oder telefonisch Zugriff auf das SNS Amazon-Thema erhaltenListSubscriptionsByTopic
. Andernfalls generiert Security Hub WARNING
Ergebnisse für die Kontrolle.
Abhilfe
Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein SNS Amazon-Thema zu erstellen, ein AWS CloudTrail Trail, ein metrischer Filter und ein Alarm für den metrischen Filter.
Erstellen Sie ein SNS Amazon-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.
Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Eine Anleitung dazu finden Sie unter Einen Trail erstellen im AWS CloudTrail Benutzerleitfaden.
Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.
Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Muster definieren, Filtermuster
{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}
Metrischer Namespace
LogMetrics
Metrikwert
1
Standardwert
0
Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:
Feld Value (Wert) Bedingungen, Typ des Schwellenwerts
Statisch
Wann auch immer
your-metric-name
ist...Größer/Gleich
als...
1
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
Kategorie: Erkennung > Erkennungsservices
Verwandte Anforderungen: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 IR-4 (1), .800-53.r5 IR-4 (5), NIST .800-53.r5 SI-2, .800-53.r5 SI-20, .800-53.r5 SI-4 (12), NIST .800-53.r5 SI-4 (5) NIST NIST NIST
Schweregrad: Hoch
Art der Ressource: AWS::CloudWatch::Alarm
AWS Config Regel: cloudwatch-alarm-action-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Die Steuerung ermittelt, |
Boolesch |
Nicht anpassbar |
|
|
Die Steuerung ermittelt, |
Boolesch |
|
|
|
Die Steuerung gibt einen |
Boolesch |
|
|
Dieses Steuerelement prüft, ob für einen CloudWatch Amazon-Alarm mindestens eine Aktion für den ALARM
Status konfiguriert ist. Die Steuerung schlägt fehl, wenn für den Alarm keine Aktion für den ALARM
Status konfiguriert ist. Optional können Sie benutzerdefinierte Parameterwerte angeben, sodass auch Alarmaktionen für die OK
Zustände INSUFFICIENT_DATA
oder erforderlich sind.
Anmerkung
Security Hub bewertet diese Kontrolle auf der Grundlage von CloudWatch metrischen Alarmen. Metrische Alarme können Teil von zusammengesetzten Alarmen sein, für die die angegebenen Aktionen konfiguriert sind. Die Steuerung generiert FAILED
Ergebnisse in den folgenden Fällen:
Die angegebenen Aktionen sind nicht für einen metrischen Alarm konfiguriert.
Der metrische Alarm ist Teil eines zusammengesetzten Alarms, für den die angegebenen Aktionen konfiguriert sind.
Diese Steuerung konzentriert sich darauf, ob für einen CloudWatch Alarm eine Alarmaktion konfiguriert ist, wohingegen sich CloudWatch.17 auf den Aktivierungsstatus einer CloudWatch Alarmaktion konzentriert.
Wir empfehlen CloudWatch Alarmaktionen, um Sie automatisch zu benachrichtigen, wenn eine überwachte Metrik den definierten Schwellenwert überschreitet. Mithilfe von Überwachungsalarmen können Sie ungewöhnliche Aktivitäten erkennen und schnell auf Sicherheits- und Betriebsprobleme reagieren, wenn ein Alarm in einen bestimmten Zustand übergeht. Die häufigste Art von Alarmaktion besteht darin, einen oder mehrere Benutzer zu benachrichtigen, indem eine Nachricht an ein Amazon Simple Notification Service (AmazonSNS) -Thema gesendet wird.
Abhilfe
Informationen zu Aktionen, die von CloudWatch Alarmen unterstützt werden, finden Sie unter Alarmaktionen im CloudWatch Amazon-Benutzerhandbuch.
[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden
Kategorie: Identifizieren > Protokollierung
Verwandte Anforderungen: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-12
Schweregrad: Mittel
Art der Ressource: AWS::Logs::LogGroup
AWS Config Regel: cw-loggroup-retention-period-check
Art des Zeitplans: Periodisch
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Mindestaufbewahrungsdauer in Tagen für CloudWatch Protokollgruppen |
Enum |
|
|
Diese Kontrolle prüft, ob eine CloudWatch Amazon-Protokollgruppe eine Aufbewahrungsfrist von mindestens der angegebenen Anzahl von Tagen hat. Die Kontrolle schlägt fehl, wenn die Aufbewahrungsdauer unter der angegebenen Anzahl liegt. Sofern Sie keinen benutzerdefinierten Parameterwert für den Aufbewahrungszeitraum angeben, verwendet Security Hub einen Standardwert von 365 Tagen.
CloudWatch Protokolle zentralisieren die Protokolle all Ihrer Systeme, Anwendungen und AWS-Services in einem einzigen, hoch skalierbaren Service. Sie können CloudWatch Logs verwenden, um Ihre Protokolldateien von Amazon Elastic Compute Cloud (EC2) -Instances aus zu überwachen, zu speichern und darauf zuzugreifen. AWS CloudTrail, Amazon Route 53 und andere Quellen. Wenn Sie Ihre Protokolle mindestens ein Jahr lang aufbewahren, können Sie die Aufbewahrungsstandards für Protokolle einhalten.
Abhilfe
Informationen zur Konfiguration der Protokollaufbewahrungseinstellungen finden Sie unter Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs im CloudWatch Amazon-Benutzerhandbuch.
[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Verwandte Anforderungen: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, .800-53.r5 SI-4 (12) NIST
Schweregrad: Hoch
Art der Ressource: AWS::CloudWatch::Alarm
AWS Config Regel: cloudwatch-alarm-action-enabled-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob CloudWatch Alarmaktionen aktiviert sind (ActionEnabled
sollte auf „true“ gesetzt sein). Die Steuerung schlägt fehl, wenn die Alarmaktion für einen CloudWatch Alarm deaktiviert ist.
Anmerkung
Security Hub bewertet diese Kontrolle auf der Grundlage von CloudWatch metrischen Alarmen. Metrische Alarme können Teil von zusammengesetzten Alarmen sein, bei denen die Alarmaktionen aktiviert sind. Die Steuerung generiert FAILED
Ergebnisse in den folgenden Fällen:
Die angegebenen Aktionen sind nicht für einen metrischen Alarm konfiguriert.
Der metrische Alarm ist Teil eines zusammengesetzten Alarms, für den Alarmaktionen aktiviert sind.
Diese Steuerung konzentriert sich auf den Aktivierungsstatus einer CloudWatch Alarmaktion, wohingegen sich CloudWatch.15 darauf konzentriert, ob eine ALARM
Aktion in einem CloudWatch Alarm konfiguriert ist.
Alarmaktionen benachrichtigen Sie automatisch, wenn eine überwachte Metrik den definierten Schwellenwert überschreitet. Wenn die Alarmaktion deaktiviert ist, werden keine Aktionen ausgeführt, wenn sich der Status des Alarms ändert, und Sie werden nicht über Änderungen der überwachten Messwerte informiert. Wir empfehlen, CloudWatch Alarmaktionen zu aktivieren, damit Sie schnell auf Sicherheits- und Betriebsprobleme reagieren können.
Abhilfe
Um eine CloudWatch Alarmaktion zu aktivieren (Konsole)
Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/
. Wählen Sie im Navigationsbereich unter Alarme die Option Alle Alarme aus.
Wählen Sie den Alarm aus, für den Sie Aktionen aktivieren möchten.
Wählen Sie für Aktionen die Option Alarmaktionen — neu und dann Aktivieren aus.
Weitere Informationen zur Aktivierung von CloudWatch Alarmaktionen finden Sie unter Alarmaktionen im CloudWatch Amazon-Benutzerhandbuch.