Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour CloudTrail

Ces contrôles du Security Hub évaluent le AWS CloudTrail service et les ressources.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (22) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

Catégorie : Identifier - Journalisation

Gravité : Élevée

Type de ressource : AWS::::Account

Règle AWS Config  : multi-region-cloudtrail-enabled

Type de calendrier : Périodique

Paramètres :

Ce contrôle vérifie s'il existe au moins un journal multirégional qui capture AWS CloudTrail les événements de gestion de lecture et d'écriture. Le contrôle échoue s'il CloudTrail est désactivé ou s'il n'existe pas au moins une CloudTrail trace qui capture les événements de gestion de lecture et d'écriture.

AWS CloudTrail enregistre les AWS API appels relatifs à votre compte et vous envoie des fichiers journaux. Les informations enregistrées incluent les informations suivantes :

CloudTrail fournit un historique des AWS API appels relatifs à un compte, y compris API les appels passés à partir AWS Management Console des AWS SDKs outils de ligne de commande. L'historique inclut également les API appels provenant de niveaux supérieurs AWS services tels que. AWS CloudFormation

L'historique des AWS API appels produit par CloudTrail permet l'analyse de la sécurité, le suivi des modifications des ressources et l'audit de conformité. Les journaux de suivi multi-régions offrent également les avantages suivants.

Par défaut, les CloudTrail sentiers créés à l'aide du AWS Management Console sont des sentiers multirégionaux.

Correction

Pour créer un nouveau parcours multirégional dans CloudTrail, voir Création d'un parcours dans le guide de l'AWS CloudTrail utilisateur. Utilisez les valeurs suivantes :

Pour mettre à jour un parcours existant, voir Mettre à jour un parcours dans le Guide de AWS CloudTrail l'utilisateur. Dans Événements de gestion, pour APIl'activité, choisissez Lire et écrire.

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

Exigences associées : PCI DSS v3.2.1/3.4, CIS AWS Foundations Benchmark v1.2.0/2.7, Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, CIS AWS (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::CloudTrail::Trail

Règle AWS Config  : cloud-trail-encryption-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie s'il CloudTrail est configuré pour utiliser le chiffrement côté serveur (SSE). AWS KMS key Le contrôle échoue si le KmsKeyId n'est pas défini.

Pour renforcer la sécurité de vos fichiers CloudTrail journaux sensibles, vous devez utiliser le chiffrement côté serveur avec AWS KMS keys (SSE-KMS) pour le chiffrement au repos. CloudTrail Notez que par défaut, les fichiers journaux envoyés par CloudTrail vos buckets sont chiffrés par chiffrement côté serveur Amazon avec des clés de chiffrement gérées par Amazon S3 (-S3). SSE

Correction

Pour activer SSE KMS le chiffrement des fichiers CloudTrail journaux, voir Mettre à jour un historique pour utiliser une KMS clé dans le Guide de AWS CloudTrail l'utilisateur.

[CloudTrail.3] Au moins une CloudTrail piste doit être activée

Exigences connexes : PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, v3.2.1/10.2.2, v3.2.1/10.2.3, v3.2.1/10.2.4, v3.2.1/10.2.5, v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, v3.2.1/10.3.1, v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.5, PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv3.2.1/10.3.6

Catégorie : Identifier - Journalisation

Gravité : Élevée

Type de ressource : AWS::::Account

Règle AWS Config  : cloudtrail-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un AWS CloudTrail parcours est activé dans votre Compte AWS. Le contrôle échoue si aucun suivi n'est activé sur votre compte. CloudTrail

Cependant, certains AWS services ne permettent pas de consigner tous APIs les événements. Vous devez mettre en œuvre toute piste d'audit supplémentaire autre que CloudTrail et consulter la documentation de chaque service dans la section Services et intégrations CloudTrail pris en charge.

Correction

Pour commencer CloudTrail et créer un parcours, consultez le AWS CloudTrail didacticiel de prise en main du guide de l'AWS CloudTrail utilisateur.

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

Exigences associées : PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, CIS AWS Foundations Benchmark v1.2.0/2.2, Foundations Benchmark v1.4.0/3.2, Foundations Benchmark v3.0.0/3.2, .800-53.r5 AU-9, CIS AWS .800-53.r5 SI-4, .800-53.r5 SI-7 (1), CIS AWS .800-53.r5 SI-7 (3), NIST .800-53.r5 SI-7 (7) NIST NIST NIST NIST

Catégorie : Protection des données > Intégrité des données

Gravité : Faible

Type de ressource : AWS::CloudTrail::Trail

Règle AWS Config  : cloud-trail-log-file-validation-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la validation de l'intégrité du fichier journal est activée sur un CloudTrail journal.

CloudTrail la validation du fichier journal crée un fichier condensé signé numériquement qui contient le hachage de chaque journal CloudTrail écrit sur Amazon S3. Vous pouvez utiliser ces fichiers de synthèse pour déterminer si un fichier journal a été modifié, supprimé ou inchangé après la CloudTrail livraison du journal.

Security Hub vous recommande d'activer la validation des fichiers sur toutes les pistes. La validation des fichiers journaux fournit des contrôles d'intégrité supplémentaires des CloudTrail journaux.

Correction

Pour activer la validation des fichiers CloudTrail journaux, reportez-vous à la section Activation de la validation de l'intégrité des fichiers journaux CloudTrail dans le Guide de AWS CloudTrail l'utilisateur.

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

Exigences associées : PCI DSS v3.2.1/10.5.3, CIS AWS Foundations Benchmark v1.2.0/2.4, Foundations Benchmark v1.4.0/3.4, CIS AWS NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIST.800-53.r5 AC-4 NIST .800-53.r5 SI-20, .800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, .800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST NIST NIST

Catégorie : Identifier - Journalisation

Gravité : Faible

Type de ressource : AWS::CloudTrail::Trail

Règle AWS Config  : cloud-trail-cloud-watch-logs-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si les CloudTrail sentiers sont configurés pour envoyer des CloudWatch journaux à Logs. Le contrôle échoue si la CloudWatchLogsLogGroupArn propriété de la piste est vide.

CloudTrail enregistre AWS API les appels effectués sur un compte donné. Les informations enregistrées incluent les éléments suivants :

CloudTrail utilise Amazon S3 pour le stockage et la livraison des fichiers journaux. Vous pouvez capturer CloudTrail des journaux dans un compartiment S3 spécifique pour une analyse à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail l'envoi des CloudWatch journaux vers Logs.

Pour un suivi activé dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de CloudWatch journaux de journaux.

Security Hub vous recommande d'envoyer CloudTrail des journaux à CloudWatch Logs. Notez que cette recommandation vise à garantir que l'activité du compte est capturée, surveillée et déclenchée de manière appropriée. Vous pouvez utiliser CloudWatch Logs pour configurer cela avec votre AWS services. Cette recommandation n'exclut pas l'utilisation d'une autre solution.

L'envoi de CloudTrail CloudWatch journaux à Logs facilite l'enregistrement en temps réel et historique des activités en fonction de l'utilisateurAPI, de la ressource et de l'adresse IP. Vous pouvez utiliser cette approche pour établir des alarmes et des notifications en cas d'activité anormale ou sensible du compte.

Correction

Pour intégrer CloudTrail les CloudWatch journaux, consultez la section Envoyer des événements aux CloudWatch journaux dans le guide de AWS CloudTrail l'utilisateur.

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3

Catégorie : Identifier - Journalisation

Gravité : Critique

Type de ressource : AWS::S3::Bucket

AWS Config règle : Aucune (règle Security Hub personnalisée)

Type de calendrier : périodique et déclenché par des modifications

Paramètres : Aucun

CloudTrail enregistre tous les API appels effectués sur votre compte. Ces fichiers journaux sont stockés dans un compartiment S3. CISrecommande que la politique de compartiment S3, ou liste de contrôle d'accès (ACL), soit appliquée au compartiment S3 qui CloudTrail enregistre afin d'empêcher l'accès public aux CloudTrail journaux. Autoriser l'accès public au contenu des CloudTrail journaux peut aider un adversaire à identifier les faiblesses liées à l'utilisation ou à la configuration du compte concerné.

Pour exécuter cette vérification, Security Hub utilise d'abord une logique personnalisée pour rechercher le compartiment S3 dans lequel vos CloudTrail journaux sont stockés. Il utilise ensuite les règles AWS Config gérées pour vérifier que le bucket est accessible au public.

Si vous regroupez vos journaux dans un seul compartiment S3 centralisé, Security Hub effectue la vérification uniquement par rapport au compte et à la région où se trouve le compartiment S3 centralisé. Pour les autres comptes et régions, le statut du contrôle est Aucune donnée.

Si le compartiment est accessible au public, la vérification génère un échec de recherche.

Correction

Pour bloquer l'accès public à votre compartiment CloudTrail S3, consultez la section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service. Sélectionnez les quatre paramètres d'accès public par bloc d'Amazon S3.

[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.6, Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4 CIS AWS

Catégorie : Identifier - Journalisation

Gravité : Faible

Type de ressource : AWS::S3::Bucket

AWS Config règle : Aucune (règle Security Hub personnalisée)

Type de calendrier : Périodique

Paramètres : Aucun

La journalisation des accès au compartiment S3 génère un journal qui contient les enregistrements d'accès pour chaque demande envoyée à votre compartiment S3. Un enregistrement du journal d'accès contient des détails sur la demande, tels que le type de demande, les ressources spécifiées dans la demande utilisée, ainsi que l'heure et la date du traitement de la demande.

CISrecommande d'activer la journalisation de l'accès au compartiment sur le compartiment CloudTrail S3.

En activant la journalisation des accès aux compartiments S3 cibles, vous pouvez capturer tous les événements susceptibles d'affecter les objets dans un compartiment cible. Si les journaux sont configurés pour être placés dans un compartiment distinct, il est possible d'accéder aux informations qu'ils contiennent, qui peuvent s'avérer utiles dans les flux de travail de sécurité et de réponse aux incidents.

Pour exécuter cette vérification, Security Hub utilise d'abord une logique personnalisée pour rechercher le compartiment dans lequel vos CloudTrail journaux sont stockés, puis utilise la règle AWS Config gérée pour vérifier si la journalisation est activée.

S'il CloudTrail fournit des fichiers journaux provenant de plusieurs compartiments Comptes AWS vers un seul compartiment Amazon S3 de destination, Security Hub évalue ce contrôle uniquement par rapport au compartiment de destination de la région où il se trouve. Cela rationalise vos résultats. Toutefois, vous devez l'activer CloudTrail dans tous les comptes qui fournissent des journaux au compartiment de destination. Pour tous les comptes, à l'exception de celui qui contient le compartiment de destination, le statut de contrôle est Aucune donnée.

Si le compartiment est accessible au public, la vérification génère un échec de recherche.

Correction

Pour activer la journalisation de l'accès au serveur pour votre compartiment CloudTrail S3, consultez la section Activation de la journalisation de l'accès au serveur Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

[CloudTrail.9] les CloudTrail sentiers doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::CloudTrail::Trail

AWS Config règle : tagged-cloudtrail-trail (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Ce contrôle vérifie si un AWS CloudTrail parcours possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le parcours ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le parcours n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.

Correction

Pour ajouter des balises à un CloudTrail parcours, reportez-vous AddTagsà la section AWS CloudTrail APIRéférence.