Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk CloudTrail
Kontrol Security Hub ini mengevaluasi AWS CloudTrail layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/2.1, Tolok Ukur CIS AWS Yayasan v1.4.0/3.1, Tolok Ukur CIS AWS Yayasan v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9),, NIST.800-53.r5 AC-4 (9), (22) NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8
Kategori: Identifikasi > Logging
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::::Account
AWS Config aturan: multi-region-cloudtrail-enabled
Jenis jadwal: Periodik
Parameter:
-
readWriteType
:ALL
(tidak dapat disesuaikan)includeManagementEvents
:true
(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah ada setidaknya satu AWS CloudTrail jejak Multi-wilayah yang menangkap peristiwa manajemen baca dan tulis. Kontrol gagal jika CloudTrail dinonaktifkan atau jika tidak ada setidaknya satu CloudTrail jejak yang menangkap peristiwa manajemen baca dan tulis.
AWS CloudTrail merekam AWS API panggilan untuk akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup informasi berikut:
-
Identitas API penelepon
-
Waktu API panggilan
-
Alamat IP sumber API penelepon
-
Permintaan parameter
-
elemen respon dikembalikan oleh Layanan AWS
CloudTrail menyediakan riwayat AWS API panggilan untuk akun, termasuk API panggilan yang dilakukan dari AWS Management Console, AWS SDKs, alat baris perintah. Riwayat juga mencakup API panggilan dari tingkat yang lebih tinggi Layanan AWS seperti. AWS CloudFormation
Riwayat AWS API panggilan yang dihasilkan oleh CloudTrail memungkinkan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan. Jalur Multi-Region juga memberikan manfaat berikut.
-
Jejak multi-wilayah membantu mendeteksi aktivitas tak terduga yang terjadi di Wilayah yang tidak digunakan.
-
Jejak multi-wilayah memastikan bahwa pencatatan peristiwa layanan global diaktifkan untuk jejak secara default. Pencatatan peristiwa layanan global mencatat peristiwa yang dihasilkan oleh layanan AWS global.
-
Untuk jejak Multi-wilayah, acara manajemen untuk semua operasi baca dan tulis memastikan bahwa operasi manajemen CloudTrail catatan pada semua sumber daya dalam file Akun AWS.
Secara default, CloudTrail jalur yang dibuat menggunakan jalur Multi-wilayah. AWS Management Console
Remediasi
Untuk membuat jejak Multi-wilayah baru CloudTrail, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna. Gunakan nilai berikut:
Bidang | Nilai |
---|---|
Pengaturan tambahan, validasi file log |
Diaktifkan |
Pilih peristiwa log, Acara manajemen, API aktivitas |
Baca dan Tulis. Kosongkan kotak centang untuk pengecualian. |
Untuk memperbarui jejak yang ada, lihat Memperbarui jejak di Panduan AWS CloudTrail Pengguna. Di acara Manajemen, untuk APIaktivitas, pilih Baca dan Tulis.
[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat
Persyaratan terkait: PCI DSS v3.2.1/3.4, Tolok Ukur CIS AWS Yayasan v1.2.0/2.7, Tolok Ukur Yayasan v1.4.0/3.7, Tolok Ukur CIS AWS Yayasan v3.0.0/3.5, (1), 3, 8, CIS AWS 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 SI-7 (6) NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST
Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::CloudTrail::Trail
AWS Config aturan: cloud-trail-encryption-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudTrail dikonfigurasi untuk menggunakan enkripsi enkripsi sisi server ()SSE. AWS KMS key Kontrol gagal jika KmsKeyId
tidak ditentukan.
Untuk lapisan keamanan tambahan untuk file CloudTrail log sensitif Anda, Anda harus menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) untuk file CloudTrail log Anda untuk enkripsi saat istirahat. Perhatikan bahwa secara default, file log yang dikirimkan CloudTrail ke bucket Anda dienkripsi oleh enkripsi sisi server Amazon dengan kunci enkripsi yang dikelola Amazon S3 (-S3). SSE
Remediasi
Untuk mengaktifkan SSE - KMS enkripsi untuk file CloudTrail log, lihat Memperbarui jejak untuk menggunakan KMS kunci di Panduan AWS CloudTrail Pengguna.
[CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan
Persyaratan terkait: PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, v3.2.1/10.2.3, v3.2.1/10.2.4, v3.2.1/10.2.5, v3.2.1/10.2.6, v3.2.1/10.2.7, v3.2.1/10.3.1, v3.2.1/10.3.2, v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.4, v3.2.1/10.3.4 10.3.5, PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv3.2.1/10.3.6
Kategori: Identifikasi > Logging
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::::Account
AWS Config aturan: cloudtrail-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS CloudTrail jejak diaktifkan di Anda Akun AWS. Kontrol gagal jika akun Anda tidak memiliki setidaknya satu CloudTrail jejak yang diaktifkan.
Namun, beberapa AWS layanan tidak mengaktifkan pencatatan semua APIs dan acara. Anda harus menerapkan jejak audit tambahan selain CloudTrail dan meninjau dokumentasi untuk setiap layanan di Layanan dan Integrasi yang CloudTrail Didukung.
Remediasi
Untuk memulai CloudTrail dan membuat jejak, lihat AWS CloudTrail tutorial Memulai dengan di Panduan AWS CloudTrail Pengguna.
[CloudTrail.4] validasi file CloudTrail log harus diaktifkan
Persyaratan terkait: PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, Tolok Ukur Yayasan v1.2.0/2.2, Tolok Ukur Yayasan v1.4.0/3.2, Tolok Ukur CIS AWS Yayasan v3.0.0/3.2, .800-53.r5 AU-9, .800-53.r5 SI-4, CIS AWS .800-53.r5 SI-7 (1), CIS AWS .800-53.r5 SI-7 (3), .800-53.r5 r5 SI-7 (7) NIST NIST NIST NIST NIST
Kategori: Perlindungan data > Integritas data
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudTrail::Trail
AWS Config aturan: cloud-trail-log-file-validation-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah validasi integritas file log diaktifkan pada CloudTrail jejak.
CloudTrail validasi file log membuat file digest yang ditandatangani secara digital yang berisi hash dari setiap log yang menulis ke CloudTrail Amazon S3. Anda dapat menggunakan file intisari ini untuk menentukan apakah file log diubah, dihapus, atau tidak diubah setelah CloudTrail mengirimkan log.
Security Hub merekomendasikan agar Anda mengaktifkan validasi file di semua jalur. Validasi file log memberikan pemeriksaan integritas tambahan CloudTrail log.
Remediasi
Untuk mengaktifkan validasi file CloudTrail log, lihat Mengaktifkan validasi integritas file log CloudTrail di Panduan Pengguna.AWS CloudTrail
[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch
Persyaratan terkait: PCI DSS v3.2.1/10.5.3, Tolok Ukur CIS AWS Yayasan v1.2.0/2.4, Tolok Ukur Yayasan v1.4.0/3.4, CIS AWS (4), (26), (9),, NIST.800-53.r5 AC-2 (9), NIST .800-53.r5 SI-20, NIST.800-53.r5 AC-4 .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, .800-53.r5 SI-4 (5), .800-53.r5 SI-7 (8) NIST.800-53.r5 AC-6 NIST NIST NIST NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudTrail::Trail
AWS Config aturan: cloud-trail-cloud-watch-logs-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah CloudTrail jejak dikonfigurasi untuk mengirim log ke CloudWatch Log. Kontrol gagal jika CloudWatchLogsLogGroupArn
properti jejak kosong.
CloudTrail merekam AWS API panggilan yang dilakukan di akun tertentu. Informasi yang direkam meliputi:
-
Identitas API penelepon
-
Waktu API panggilan
-
Alamat IP sumber API penelepon
-
Parameter permintaan
-
Elemen respons yang dikembalikan oleh Layanan AWS
CloudTrail menggunakan Amazon S3 untuk penyimpanan dan pengiriman file log. Anda dapat menangkap CloudTrail log dalam bucket S3 tertentu untuk analisis jangka panjang. Untuk melakukan analisis real-time, Anda dapat mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Log.
Untuk jejak yang diaktifkan di semua Wilayah dalam akun, CloudTrail kirimkan file log dari semua Wilayah tersebut ke grup CloudWatch log Log.
Security Hub merekomendasikan agar Anda mengirim CloudTrail log ke CloudWatch Log. Perhatikan bahwa rekomendasi ini dimaksudkan untuk memastikan bahwa aktivitas akun ditangkap, dipantau, dan diwaspadai dengan tepat. Anda dapat menggunakan CloudWatch Log untuk mengatur ini dengan Anda Layanan AWS. Rekomendasi ini tidak menghalangi penggunaan solusi yang berbeda.
Mengirim CloudTrail CloudWatch log ke Log memfasilitasi pencatatan aktivitas real-time dan historis berdasarkan penggunaAPI, sumber daya, dan alamat IP. Anda dapat menggunakan pendekatan ini untuk membuat alarm dan pemberitahuan untuk aktivitas akun anomali atau sensitivitas.
Remediasi
Untuk mengintegrasikan CloudTrail dengan CloudWatch Log, lihat Mengirim peristiwa ke CloudWatch Log di Panduan AWS CloudTrail Pengguna.
[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/2.3, Tolok Ukur Yayasan v1.4.0/3.3 CIS AWS
Kategori: Identifikasi > Logging
Tingkat keparahan: Kritis
Jenis sumber daya: AWS::S3::Bucket
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Berkala dan perubahan dipicu
Parameter: Tidak ada
CloudTrail mencatat catatan setiap API panggilan yang dilakukan di akun Anda. File log ini disimpan dalam ember S3. CISmerekomendasikan agar kebijakan bucket S3, atau access control list (ACL), diterapkan pada bucket S3 yang CloudTrail mencatat untuk mencegah akses publik ke log. CloudTrail Mengizinkan akses publik ke konten CloudTrail log dapat membantu musuh dalam mengidentifikasi kelemahan dalam penggunaan atau konfigurasi akun yang terpengaruh.
Untuk menjalankan pemeriksaan ini, Security Hub pertama-tama menggunakan logika kustom untuk mencari bucket S3 tempat CloudTrail log Anda disimpan. Kemudian menggunakan aturan AWS Config terkelola untuk memeriksa apakah bucket dapat diakses publik.
Jika Anda menggabungkan log Anda ke dalam satu bucket S3 terpusat, maka Security Hub hanya menjalankan pemeriksaan terhadap akun dan Wilayah tempat bucket S3 terpusat berada. Untuk akun dan Wilayah lain, status kontrolnya adalah Tidak ada data.
Jika bucket dapat diakses publik, cek akan menghasilkan temuan yang gagal.
Remediasi
Untuk memblokir akses publik ke bucket CloudTrail S3, lihat Mengonfigurasi blokir setelan akses publik untuk bucket S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Pilih keempat Pengaturan Akses Publik Blok Amazon S3.
[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3
Persyaratan terkait: Tolok Ukur CIS AWS Yayasan v1.2.0/2.6, Tolok Ukur Yayasan v1.4.0/3.6, Tolok Ukur CIS AWS Yayasan v3.0.0/3.4 CIS AWS
Kategori: Identifikasi > Logging
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::S3::Bucket
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Pencatatan akses bucket S3 menghasilkan log yang berisi catatan akses untuk setiap permintaan yang dibuat ke bucket S3 Anda. Catatan log akses berisi rincian tentang permintaan, seperti jenis permintaan, sumber daya yang ditentukan dalam permintaan berfungsi, dan waktu dan tanggal permintaan diproses.
CISmerekomendasikan agar Anda mengaktifkan pencatatan akses bucket pada bucket CloudTrail S3.
Dengan mengaktifkan pencatatan bucket S3 pada bucket S3 target, Anda dapat menangkap semua peristiwa yang mungkin memengaruhi objek dalam bucket target. Mengkonfigurasi log untuk ditempatkan di bucket terpisah memungkinkan akses ke informasi log, yang dapat berguna dalam alur kerja keamanan dan respons insiden.
Untuk menjalankan pemeriksaan ini, Security Hub pertama-tama menggunakan logika kustom untuk mencari bucket tempat CloudTrail log Anda disimpan dan kemudian menggunakan aturan AWS Config terkelola untuk memeriksa apakah logging diaktifkan.
Jika CloudTrail mengirimkan file log dari beberapa Akun AWS ke dalam satu bucket Amazon S3 tujuan, Security Hub mengevaluasi kontrol ini hanya terhadap bucket tujuan di Wilayah tempatnya berada. Ini merampingkan temuan Anda. Namun, Anda harus mengaktifkan CloudTrail semua akun yang mengirimkan log ke bucket tujuan. Untuk semua akun kecuali akun yang menyimpan bucket tujuan, status kontrolnya adalah Tidak ada data.
Jika bucket dapat diakses publik, cek akan menghasilkan temuan yang gagal.
Remediasi
Untuk mengaktifkan pencatatan akses server untuk bucket CloudTrail S3 Anda, lihat Mengaktifkan log akses server Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
[CloudTrail.9] CloudTrail jejak harus ditandai
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::CloudTrail::Trail
AWS Config aturan: tagged-cloudtrail-trail
(aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList | Daftar tag yang memenuhi AWS persyaratan |
No default value
|
Kontrol ini memeriksa apakah AWS CloudTrail jejak memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys
. Kontrol gagal jika jejak tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys
. Jika parameter requiredTagKeys
tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika jejak tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:
, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke CloudTrail jejak, lihat AddTagsdi AWS CloudTrail APIReferensi.