Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Contrôles Security Hub CSPM pour Amazon CloudWatch
<a name="cloudwatch-controls"></a>

Ces AWS Security Hub CSPM contrôles évaluent le CloudWatch service et les ressources Amazon. Les commandes ne sont peut-être pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).

## [CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »
<a name="cloudwatch-1"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS Foundations Benchmark v1.4.0/4.3, AWS NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7, AWS PCI DSS v3.2.1/7.2.1

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

L'utilisateur root a un accès illimité à tous les services et ressources d'un Compte AWS. Nous vous recommandons vivement d'éviter d'utiliser l'utilisateur root pour les tâches quotidiennes. Minimiser l'utilisation de l'utilisateur root et adopter le principe du moindre privilège pour la gestion des accès réduisent le risque de modifications accidentelles et de divulgation involontaire d'informations d'identification hautement privilégiées.

Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour [effectuer des tâches de gestion des comptes et des services](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Appliquez les politiques Gestion des identités et des accès AWS (IAM) directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour un didacticiel sur la configuration d'un administrateur pour une utilisation quotidienne, voir [Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM dans le guide de l'utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) *IAM*

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 1.7 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-1-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés
<a name="cloudwatch-2"></a>

**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et une alarme pour les appels d'API non autorisés. La surveillance des appels d'API non autorisés contribue à révéler les erreurs d'application et à détecter plus rapidement les opérations malveillantes.

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 3.1 dans le [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-2-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA
<a name="cloudwatch-3"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.2

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et des connexions à la console d'alarme qui ne soient pas protégées par le MFA. La surveillance des connexions à un seul facteur à la console améliore la visibilité sur les comptes qui ne sont pas protégés par un MFA. 

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 3.2 dans le [CIS AWS Foundations Benchmark](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-3-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM
<a name="cloudwatch-4"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.4, CIS AWS Foundations Benchmark v1.4.0/4.4, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Ce contrôle vérifie si vous surveillez les appels d'API en temps réel en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux politiques IAM. Ceci permet de s'assurer que les contrôles d'authentification et d'autorisation restent inchangés.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-4-remediation"></a>

**Note**  
Le modèle de filtre que nous recommandons pour ces étapes de correction est différent du modèle de filtre indiqué dans les directives du CIS. Nos filtres recommandés ciblent uniquement les événements provenant d'appels d'API IAM.

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration
<a name="cloudwatch-5"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.5, CIS AWS Foundations Benchmark v1.4.0/4.5, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux paramètres CloudTrail de configuration. Ceci permet de garantir une visibilité constante sur les activités du compte.

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.5 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-5-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification
<a name="cloudwatch-6"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.6, CIS AWS Foundations Benchmark v1.4.0/4.6, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et une alarme en cas d'échec des tentatives d'authentification de console. La surveillance des échecs de connexion à la console peut contribuer à réduire les délais de détection d'une tentative de connexion en force, ce qui peut fournir un indicateur, telle une adresse IP source, qui pourra servir dans d'autres corrélations d'événements. 

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.6 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-6-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client
<a name="cloudwatch-7"></a>

**Exigences connexes :** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS AWS Foundations Benchmark v1.4.0/4.7, NIST.800-171.R2 3.13.10, NIST.800-171.R2 3.13.16, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et une alarme pour les clés gérées par le client dont l'état est passé à Désactivé ou à suppression planifiée. Les données chiffrées avec des clés désactivées ou supprimées ne sont plus accessibles.

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.7 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique. Le contrôle échoue également s'il `ExcludeManagementEventSources` contient`kms.amazonaws.com`.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-7-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3
<a name="cloudwatch-8"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.8, CIS AWS Foundations Benchmark v1.4.0/4.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux politiques du compartiment S3. La surveillance de ces modifications peut contribuer à réduire les délais de détection et de correction des stratégies permissives associées aux compartiments S3 sensibles.

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.8 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-8-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration
<a name="cloudwatch-9"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.9, CIS AWS Foundations Benchmark v1.4.0/4.9, NIST.800-171.R2 3.3.8, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux paramètres AWS Config de configuration. La surveillance de ces modifications permet de garantir une visibilité constante sur les éléments de configuration du compte.

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.9 dans le [CIS AWS Foundations Benchmark](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-9-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité
<a name="cloudwatch-10"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.10, CIS AWS Foundations Benchmark v1.4.0/4.10, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les groupes de sécurité constituent un filtre de paquet avec état qui contrôle le trafic entrant et sortant dans un VPC.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux groupes de sécurité. La surveillance de ces modifications permet de s'assurer que les ressources et les services ne sont pas involontairement exposés. 

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.10 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-10-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)
<a name="cloudwatch-11"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.11, CIS AWS Foundations Benchmark v1.4.0/4.11, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. NACLs sont utilisés comme filtre de paquets sans état pour contrôler le trafic entrant et sortant des sous-réseaux d'un VPC.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées à NACLs. Le suivi de ces changements permet de s'assurer que AWS les ressources et les services ne sont pas exposés involontairement. 

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.11 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-11-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau
<a name="cloudwatch-12"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.12, CIS AWS Foundations Benchmark v1.4.0/4.12, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les passerelles réseau permettent d'envoyer et de recevoir le trafic vers une destination en dehors d'un VPC.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux passerelles réseau. La surveillance de ces modifications permet de s'assurer que tout le trafic entrant et sortant traverse le VPC par un chemin d'accès contrôlé.

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.12 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-12-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage
<a name="cloudwatch-13"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.13, CIS AWS Foundations Benchmark v1.4.0/4.13, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Ce contrôle vérifie si vous surveillez les appels d'API en temps réel en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Les tables de routage acheminent le trafic réseau entre les sous-réseaux et vers les passerelles réseau.

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées aux tables de routage. La surveillance de ces modifications permet de s'assurer que l'ensemble du trafic du VPC passe par un chemin d'accès attendu.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-13-remediation"></a>

**Note**  
Le modèle de filtre que nous recommandons pour ces étapes de correction est différent du modèle de filtre indiqué dans les directives du CIS. Nos filtres recommandés ciblent uniquement les événements provenant des appels d'API Amazon Elastic Compute Cloud (EC2).

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC
<a name="cloudwatch-14"></a>

**Exigences associées :** CIS AWS Foundations Benchmark v1.2.0/3.14, CIS AWS Foundations Benchmark v1.4.0/4.14, NIST.800-171.R2 3.3.1, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.14.6, NIST.800-171.R2 3.14.7

**Catégorie :** Détecter - Services de détection

**Gravité : ** Faible

**Type de ressource :**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`

**AWS Config règle :** Aucune (règle CSPM personnalisée de Security Hub)

**Type de calendrier :** Périodique

**Paramètres :** Aucun

Vous pouvez surveiller en temps réel les appels d'API en dirigeant CloudTrail les journaux vers les CloudWatch journaux et en établissant des filtres métriques et des alarmes correspondants. Vous pouvez avoir plusieurs VPC dans un compte, et vous pouvez créer une connexion homologue entre deux VPCs, permettant ainsi au trafic réseau d'être acheminé entre eux. VPCs

CIS vous recommande de créer un filtre métrique et une alarme pour les modifications apportées à VPCs. Ceci permet de s'assurer que les contrôles d'authentification et d'autorisation restent inchangés.

Pour exécuter cette vérification, Security Hub CSPM utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 4.14 dans le [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

**Note**  
Lorsque Security Hub CSPM vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.  
La vérification aboutit à `FAILED` des constatations dans les cas suivants :  
Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.
La vérification aboutit à un état de contrôle `NO_DATA` dans les cas suivants :  
Un sentier multirégional est basé dans une région différente. Security Hub CSPM ne peut générer des résultats que dans la région où le trail est basé.
Un sentier multirégional appartient à un compte différent. Security Hub CSPM peut uniquement générer des résultats pour le compte propriétaire de la piste.  
Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle `NO_DATA` de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub CSPM génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub CSPM en utilisant l'agrégation entre régions.
Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. `ListSubscriptionsByTopic` Sinon, Security Hub CSPM génère des `WARNING` résultats pour le contrôle.

### Correction
<a name="cloudwatch-14-remediation"></a>

Pour passer ce contrôle, procédez comme suit pour créer une rubrique Amazon SNS, un journal AWS CloudTrail , un filtre métrique et une alarme pour le filtre métrique.

1. Créer une rubrique Amazon SNS. Pour obtenir des instructions, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) dans le manuel du *développeur Amazon Simple Notification Service*. Créez une rubrique qui reçoit toutes les alarmes CIS et créez au moins un abonnement à cette rubrique.

1. Créez un CloudTrail parcours qui s'applique à tous Régions AWS. Pour obtenir des instructions, reportez-vous à [la section Création d'un parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) dans le *guide de AWS CloudTrail l'utilisateur*.

   Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous allez créer le filtre métrique pour ce groupe de journaux à l'étape suivante.

1. Créez un filtre de métrique. Pour obtenir des instructions, consultez la section [Création d'un filtre métrique pour un groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) dans le *guide de CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

1. Créez une alarme en fonction du filtre. Pour obtenir des instructions, consultez la section [Création CloudWatch d'une alarme basée sur un filtre métrique de groupe de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) dans le guide de * CloudWatch l'utilisateur Amazon*. Utilisez les valeurs suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
<a name="cloudwatch-15"></a>

**Exigences connexes :** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 IR-4 (1), NIST.800-53.R5 IR-4 (5), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-20, NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5), NIST.800-171.R2 3.3.4, NIST.800-171.R2 3.14.R2 6

**Catégorie :** Détecter - Services de détection

**Gravité :** Élevée

**Type de ressource :** `AWS::CloudWatch::Alarm`

**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**Type de calendrier :** changement déclenché

**Paramètres :**


| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`ALARM`.  |  Booléen  |  Non personnalisable  |  `true`  | 
|  `insufficientDataActionRequired`  |  La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`INSUFFICIENT_DATA`.  |  Booléen  |  `true` ou `false`  |  `false`  | 
|  `okActionRequired`  |  La commande produit une `PASSED` constatation si le paramètre est réglé sur `true` et l'alarme agit lorsque l'état de l'alarme passe à`OK`.  |  Booléen  |  `true` ou `false`  |  `false`  | 

Ce contrôle vérifie si au moins une action est configurée pour l'`ALARM`état d'une CloudWatch alarme Amazon. Le contrôle échoue si aucune action de l'alarme n'est configurée pour `ALARM` cet état. Vous pouvez éventuellement inclure des valeurs de paramètres personnalisées afin de demander également des actions d'alarme pour les `OK` états `INSUFFICIENT_DATA` ou.

**Note**  
Security Hub CSPM évalue ce contrôle en fonction CloudWatch des alarmes métriques. Les alarmes métriques peuvent faire partie d'alarmes composites dont les actions spécifiées sont configurées. Le contrôle génère `FAILED` des résultats dans les cas suivants :  
Les actions spécifiées ne sont pas configurées pour une alarme métrique.
L'alarme métrique fait partie d'une alarme composite dont les actions spécifiées sont configurées.

Ce contrôle se concentre sur le fait de savoir si une CloudWatch action d'alarme est configurée pour une alarme, tandis que [CloudWatch.17](#cloudwatch-17) se concentre sur l'état d'activation d'une action CloudWatch d'alarme.

Nous recommandons des actions CloudWatch d'alarme pour vous avertir automatiquement lorsqu'une métrique surveillée dépasse le seuil défini. Les alarmes de surveillance vous aident à identifier les activités inhabituelles et à réagir rapidement aux problèmes de sécurité et de fonctionnement lorsqu'une alarme passe dans un état spécifique. Le type d'action d'alarme le plus courant consiste à avertir un ou plusieurs utilisateurs en envoyant un message à une rubrique Amazon Simple Notification Service (Amazon SNS).

### Correction
<a name="cloudwatch-15-remediation"></a>

Pour plus d'informations sur les actions prises en charge par les CloudWatch alarmes, consultez la section [Actions d'alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) dans le *guide de CloudWatch l'utilisateur Amazon*.

## [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée
<a name="cloudwatch-16"></a>

**Catégorie :** Identifier - Journalisation

**Exigences connexes :** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12

**Gravité :** Moyenne

**Type de ressource :** `AWS::Logs::LogGroup`

**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**Type de calendrier :** Périodique

**Paramètres :**


| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  Période de conservation minimale en jours pour les groupes de CloudWatch journaux  |  Enum  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

Ce contrôle vérifie si un groupe de CloudWatch journaux Amazon a une période de conservation d'au moins le nombre de jours spécifié. Le contrôle échoue si la période de rétention est inférieure au nombre spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rétention, Security Hub CSPM utilise une valeur par défaut de 365 jours.

CloudWatch Les journaux centralisent les journaux de tous vos systèmes et applications, Services AWS au sein d'un seul service hautement évolutif. Vous pouvez utiliser CloudWatch Logs pour surveiller, stocker et accéder à vos fichiers journaux à partir d'instances Amazon Elastic Compute Cloud (EC2), d' AWS CloudTrail Amazon Route 53 et d'autres sources. La conservation de vos journaux pendant au moins un an peut vous aider à respecter les normes de conservation des journaux.

### Correction
<a name="cloudwatch-16-remediation"></a>

Pour configurer les paramètres de conservation des journaux, consultez la section [Conservation des données des CloudWatch journaux des modifications dans Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) du *guide de CloudWatch l'utilisateur Amazon*.

## [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
<a name="cloudwatch-17"></a>

**Catégorie :** Détecter - Services de détection

**Exigences connexes :** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)

**Gravité :** Élevée

**Type de ressource :** `AWS::CloudWatch::Alarm`

**AWS Config règle : [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**Type de calendrier :** changement déclenché

**Paramètres :** Aucun

Cette commande vérifie si les actions CloudWatch d'alarme sont activées (elles `ActionEnabled` doivent être réglées sur true). La commande échoue si l'action d'alarme associée à une CloudWatch alarme est désactivée.

**Note**  
Security Hub CSPM évalue ce contrôle en fonction CloudWatch des alarmes métriques. Les alarmes métriques peuvent faire partie d'alarmes composites dont les actions d'alarme sont activées. Le contrôle génère `FAILED` des résultats dans les cas suivants :  
Les actions spécifiées ne sont pas configurées pour une alarme métrique.
L'alarme métrique fait partie d'une alarme composite dont les actions d'alarme sont activées.

Ce contrôle se concentre sur l'état d'activation d'une action CloudWatch d'alarme, tandis que [CloudWatch.15](#cloudwatch-15) se concentre sur la configuration d'une `ALARM` action dans une CloudWatch alarme.

Les actions d'alarme vous alertent automatiquement lorsqu'une métrique surveillée dépasse le seuil défini. Si l'action d'alarme est désactivée, aucune action n'est exécutée lorsque l'alarme change d'état, et vous ne serez pas averti des modifications des mesures surveillées. Nous vous recommandons CloudWatch d'activer les actions d'alarme pour vous aider à réagir rapidement aux problèmes de sécurité et de fonctionnement.

### Correction
<a name="cloudwatch-17-remediation"></a>

**Pour activer une action CloudWatch d'alarme (console)**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation, sous **Alarmes**, sélectionnez **Toutes les alarmes**.

1. Sélectionnez l'alarme pour laquelle vous souhaitez activer des actions.

1. **Pour **Actions**, choisissez **Actions d'alarme : nouveau**, puis sélectionnez Activer.**

Pour plus d'informations sur l'activation des actions CloudWatch d'alarme, consultez la section [Actions d'alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) dans le *guide de CloudWatch l'utilisateur Amazon*.