Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para CloudWatch
Estos controles evalúan el CloudWatch servicio y los recursos de Amazon.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»
Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS Foundations Benchmark v1.4.0/1.7, CIS AWS Foundations Benchmark v1.4.0/4.3 AWS AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Este usuario raíz tiene acceso a todos los recursos y los servicios no restringidos de Cuenta de AWS. Le recomendamos encarecidamente que evite utilizar el usuario raíz para las tareas diarias. Al minimizar el uso del usuario root y adoptar el principio del privilegio mínimo para la administración del acceso, se reduce el riesgo de cambios accidentales y de la divulgación involuntaria de credenciales con muchos privilegios.
Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para realizar tareas de administración de cuentas y servicios. Aplique las políticas AWS Identity and Access Management (IAM) directamente a los grupos y funciones, pero no a los usuarios. Para ver un tutorial sobre cómo configurar un administrador para el uso diario, consulte Creación del primer grupo y usuario administrador de IAM en la Guía de usuario de IAM.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 1.7 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.1
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.
El CIS recomienda crear un filtro métrico y una alarma para las llamadas a la API no autorizadas. La monitorización de las llamadas no autorizadas a la API ayuda a revelar errores de la aplicación y puede reducir el tiempo que se tarda en detectar actividades malintencionadas.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.1 en el CIS AWS Foundations Benchmark v1.2
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.2
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.
CIS recomienda que cree un filtro de métricas y alarma para los inicios de sesión en la consola que no estén protegidos por MFA. La monitorización de los inicios de sesión de la consola con un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.2 en el CIS AWS Foundations Benchmark v1.2
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, dirige CloudTrail los registros a CloudWatch los registros y establece los filtros de métricas y las alarmas correspondientes.
CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de IAM. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
nota
El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se dirigen únicamente a los eventos que provienen de las llamadas a la API de IAM.
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.
CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de CloudTrail. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de las actividades de la cuenta.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.5 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.
CIS recomienda que cree un filtro de métrica y alarma para los intentos de autenticación de la consola que producen un error. La monitorización de los inicios de sesión con error en la consola podría disminuir el tiempo que se tarda en detectar un intento introducir credenciales por fuerza bruta, lo que podría proporcionar un indicador, como el IP de origen, que se puede utilizar en otras correlaciones de eventos.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.6 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.
CIS recomienda que cree un filtro de métricas y alarma para claves administradas por el cliente que hayan cambiado de estado a deshabilitada o eliminación programada. Los datos cifrados con claves deshabilitadas o eliminadas ya no son accesibles.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.7 en el CIS AWS Foundations Benchmark v1.4.0ExcludeManagementEventSources contiene kms.amazonaws.com.
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.
CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de bucket S3. La monitorización de estos cambios puede reducir el tiempo que se tarda en detectar y corregir políticas permisivas sobre buckets de S3 confidenciales.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.8 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.
CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de AWS Config . La monitorización de estos cambios ayuda a garantizar la visibilidad continua de los elementos de configuración de la cuenta.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.9 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controlan el tráfico de entrada y salida en una VPC.
CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a los grupos de seguridad. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios no se expongan de forma involuntaria.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.10 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. NACLs se utilizan como un filtro de paquetes sin estado para controlar el tráfico de entrada y salida de las subredes de una VPC.
El CIS recomienda crear un filtro métrico y una alarma para detectar los cambios en. NACLs La supervisión de estos cambios ayuda a garantizar que AWS los recursos y servicios no queden expuestos involuntariamente.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.11 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Las gateways de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC.
CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las puertas de enlace de red. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de entrada y salida atraviesa la frontera de la VPC a través de una ruta controlada.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.12 en el CIS AWS Foundations Benchmark v1.2
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, dirige CloudTrail los registros a CloudWatch los registros y establece los filtros de métricas y las alarmas correspondientes. Las tablas de enrutamiento dirigen el tráfico de red entre subredes y a gateways de red.
CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las tablas de enrutamiento. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de la VPC vaya a través de una ruta esperada.
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
nota
El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se dirigen únicamente a los eventos que provienen de las llamadas a la API de Amazon Elastic Compute Cloud (EC2).
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree un CloudTrail registro que se aplique a todos Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14 AWS
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Puede tener más de una VPC en una cuenta y puede crear una conexión de igual nivel entre dos VPCs, lo que permite que el tráfico de red se enrute entre ellas. VPCs
El CIS recomienda crear un filtro de métricas y una alarma para VPCs los cambios en. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.
Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.14 en el CIS AWS Foundations Benchmark v1.4.0
nota
Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.
La comprobación arroja resultados de FAILED en los siguientes casos:
No hay ningún rastro configurado.
Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.
La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:
Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.
Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de
NO_DATAde los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.
Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.
Corrección
Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail , un filtro de métricas y una alarma para el filtro de métricas.
Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.
Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail .
Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.
Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:
Campo Valor Defina el patrón, el patrón de filtro
{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}Espacio de nombres de métrica
LogMetricsValor de la métrica
1Valor predeterminado
0Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:
Campo Valor Condiciones, tipo de umbral
Estático
Siempre que sea...
your-metric-nameMayor/Igual
que…
1
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas
Categoría: Detectar - Servicios de detección
Requisitos relacionados: NIST.800-53.r5 IR-4 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, niST.800-53.r5 IR-4 (5), niST.800-53.r5 SI-2, NIst.800-53.r5 SI-20, NISt.800-53.r5 SI-4 (12), NISt.800-53.r5 SI-4 (5)
Gravedad: alta
Tipo de recurso: AWS::CloudWatch::Alarm
AWS Config regla: cloudwatch-alarm-action-check
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El control genera un resultado |
Booleano |
No personalizable |
|
|
|
El control genera un resultado |
Booleano |
|
|
|
|
El control genera un resultado |
Booleano |
|
|
Este control comprueba si una CloudWatch alarma de Amazon tiene al menos una acción configurada para el ALARM estado. Se produce un error en el control si la alarma no tiene ninguna acción configurada para el estado ALARM. De manera opcional, puede incluir valores personalizados de parámetros para requerir también acciones de alarma para los estados INSUFFICIENT_DATA o OK.
nota
Security Hub evalúa este control en función de las alarmas CloudWatch métricas. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen configuradas las acciones especificadas. El control arroja resultados FAILED en los siguientes casos:
Las acciones especificadas no están configuradas para una alarma de métrica.
La alarma de métrica forma parte de una alarma compuesta que tiene configuradas las acciones especificadas.
Este control se centra en si una CloudWatch alarma tiene configurada una acción de alarma, mientras que el parámetro CloudWatch.17 se centra en el estado de activación de una acción de CloudWatch alarma.
Recomendamos realizar acciones de CloudWatch alarma para avisarle automáticamente cuando una métrica monitorizada supere el umbral definido. Las alarmas de supervisión ayudan a identificar actividades inusuales y a responder rápidamente a los problemas operativos y de seguridad cuando una alarma pasa a un estado específico. El tipo más común de acción de alarma es notificar a uno o más usuarios mediante el envío de un mensaje a un tema de Amazon Simple Notification Service (Amazon SNS).
Corrección
Para obtener información sobre las acciones que admiten las CloudWatch alarmas, consulta Acciones de alarma en la Guía del CloudWatch usuario de Amazon.
[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico
Categoría: Identificar - Registro
Requisitos relacionados: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-12
Gravedad: media
Tipo de recurso: AWS::Logs::LogGroup
AWS Config regla: cw-loggroup-retention-period-check
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Periodo mínimo de retención en días para los grupos de CloudWatch registros |
Enum |
|
|
Este control comprueba si un grupo de CloudWatch registros de Amazon tiene un período de retención de al menos el número de días especificado. Se produce un error en el control si el periodo de retención es inferior a la cantidad especificada. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención, Security Hub utiliza un valor predeterminado de 365 días.
CloudWatch Los registros centralizan los registros de todos sus sistemas y aplicaciones Servicios de AWS en un único servicio altamente escalable. Puede usar CloudWatch Logs para monitorear, almacenar y acceder a sus archivos de registro desde instancias de Amazon Elastic Compute Cloud (EC2) AWS CloudTrail, Amazon Route 53 y otras fuentes. Conservar los registros durante al menos un año puede ayudarle a cumplir con los estándares de retención de registros.
Corrección
Para configurar los ajustes de retención de registros, consulta Cambiar la retención de datos de registro en CloudWatch los registros en la Guía del CloudWatch usuario de Amazon.
[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas
Categoría: Detectar - Servicios de detección
Requisitos relacionados: niST.800-53.r5 SI-2 NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-4 (12)
Gravedad: alta
Tipo de recurso: AWS::CloudWatch::Alarm
AWS Config regla: cloudwatch-alarm-action-enabled-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las acciones de CloudWatch alarma están activadas (ActionEnableddebe configurarse en true). El control falla si la acción de alarma de una CloudWatch alarma está desactivada.
nota
Security Hub evalúa este control en función de las alarmas CloudWatch métricas. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen activadas las acciones de alarma. El control arroja resultados FAILED en los siguientes casos:
Las acciones especificadas no están configuradas para una alarma de métrica.
La alarma de métrica forma parte de una alarma compuesta que tiene activadas las acciones de alarma.
Este control se centra en el estado de activación de una acción de CloudWatch alarma, mientras que el CloudWatchparámetro .15 se centra en si alguna ALARM acción está configurada en una CloudWatch alarma.
Las acciones de alarma le avisan automáticamente cuando una métrica monitorizada está fuera del umbral definido. Si la acción de alarma está desactivada, no se ejecuta ninguna acción cuando la alarma cambia de estado y no se le avisará de los cambios en las métricas monitorizadas. Recomendamos activar las acciones de CloudWatch alarma para ayudarle a responder rápidamente a los problemas operativos y de seguridad.
Corrección
Para activar una acción CloudWatch de alarma (consola)
Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/
. En el panel de navegación, elija Alarmas y, luego, Todas las alarmas.
Seleccione la alarma para la que desea activar las acciones.
En Acciones, selecciona Acciones de alarma (nuevas) y, a continuación, selecciona Habilitar.
Para obtener más información sobre la activación de las acciones de CloudWatch alarma, consulta Acciones de alarma en la Guía del CloudWatch usuario de Amazon.
