Kontrol Security Hub untuk CloudWatch - AWS Security Hub
[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan yang tidak sah API[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan IAM kebijakan[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk CloudTrail AWS Config perubahan urasi[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk AWS Management Console kegagalan otentikasi[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk AWS Config perubahan konfigurasi[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan () NACL[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk CloudWatch

Kontrol ini mengevaluasi CloudWatch layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”

Persyaratan terkait: PCI DSS v3.2.1/7.2.1, CIS AWS Tolok Ukur Yayasan v1.2.0/1.1, CIS AWS Tolok Ukur Yayasan v1.2.0/3.3, CIS AWS Tolok Ukur Yayasan v1.4.0/1.7, CIS AWS Tolok Ukur Yayasan v1.4.0/4.3

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Pengguna root memiliki akses tak terbatas ke semua layanan dan sumber daya dalam Akun AWS. Kami sangat menyarankan Anda menghindari penggunaan pengguna root untuk tugas sehari-hari. Meminimalkan penggunaan pengguna root dan mengadopsi prinsip hak istimewa paling sedikit untuk manajemen akses mengurangi risiko perubahan yang tidak disengaja dan pengungkapan kredenal yang sangat istimewa yang tidak diinginkan.

Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk melakukan tugas manajemen akun dan layanan. Terapkan AWS Identity and Access Management (IAM) kebijakan langsung ke grup dan peran tetapi bukan pengguna. Untuk tutorial tentang cara mengatur administrator untuk penggunaan sehari-hari, lihat Membuat pengguna dan grup IAM admin pertama Anda di Panduan IAM Pengguna

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 1.7 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan yang tidak sah API

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.1

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm API panggilan tidak sah. Memantau API panggilan yang tidak sah membantu mengungkapkan kesalahan aplikasi dan dapat mengurangi waktu untuk mendeteksi aktivitas berbahaya.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.1 di CIS AWS Tolok Ukur Yayasan v1.2. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.2

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan login konsol alarm yang tidak dilindungi olehMFA. Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh. MFA

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.2 di CIS AWS Tolok Ukur Yayasan v1.2. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    { ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan IAM kebijakan

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.4, CIS AWS Tolok Ukur Yayasan v1.4.0/4.4

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Anda memantau API panggilan secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan yang dibuat pada IAM kebijakan. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

catatan

Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam CIS panduan. Filter yang kami rekomendasikan hanya menargetkan acara yang berasal dari IAM API panggilan.

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk CloudTrail AWS Config perubahan urasi

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.5, CIS AWS Tolok Ukur Yayasan v1.4.0/4.5

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan CloudTrail konfigurasi. Memantau perubahan ini membantu memastikan visibilitas berkelanjutan terhadap aktivitas di akun.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.5 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk AWS Management Console kegagalan otentikasi

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.6, CIS AWS Tolok Ukur Yayasan v1.4.0/4.6

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk upaya otentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya untuk memaksa kredensi, yang mungkin memberikan indikator, seperti IP sumber, yang dapat Anda gunakan dalam korelasi peristiwa lain.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.6 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.7, CIS AWS Tolok Ukur Yayasan v1.4.0/4.7

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk kunci terkelola pelanggan yang telah mengubah status menjadi nonaktif atau penghapusan terjadwal. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak lagi dapat diakses.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.7 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik. Kontrol juga gagal jika ExcludeManagementEventSources berisikms.amazonaws.com.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.8, CIS AWS Tolok Ukur Yayasan v1.4.0/4.8

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan kebijakan bucket S3. Memantau perubahan ini dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada bucket S3 yang sensitif.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.8 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk AWS Config perubahan konfigurasi

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.9, CIS AWS Tolok Ukur Yayasan v1.4.0/4.9

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan AWS Config pengaturan konfigurasi. Memantau perubahan ini membantu memastikan visibilitas item konfigurasi yang berkelanjutan di akun.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.9 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.10, CIS AWS Tolok Ukur Yayasan v1.4.0/4.10

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Grup keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar dalam file. VPC

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada grup keamanan. Memantau perubahan ini membantu memastikan bahwa sumber daya dan layanan tidak terekspos secara tidak sengaja.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.10 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan () NACL

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.11, CIS AWS Tolok Ukur Yayasan v1.4.0/4.11

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. NACLsdigunakan sebagai filter paket stateless untuk mengontrol masuknya dan keluar lalu lintas untuk subnet di file. VPC

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahanNACLs. Memantau perubahan ini membantu memastikan bahwa AWS sumber daya dan layanan tidak terekspos secara tidak sengaja.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.11 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.12, CIS AWS Tolok Ukur Yayasan v1.4.0/4.12

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Gateway jaringan diperlukan untuk mengirim dan menerima lalu lintas ke tujuan di luar a. VPC

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan gateway jaringan. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas masuk dan keluar melintasi VPC perbatasan melalui jalur yang terkendali.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.12 di CIS AWS Tolok Ukur Yayasan v1.2. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.13, CIS AWS Tolok Ukur Yayasan v1.4.0/4.13

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Anda memantau API panggilan secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Tabel routing merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan.

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada tabel rute. Memantau perubahan ini membantu memastikan bahwa semua VPC lalu lintas mengalir melalui jalur yang diharapkan.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

catatan

Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam CIS panduan. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari API panggilan Amazon Elastic Compute Cloud (EC2).

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC

Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.14, CIS AWS Tolok Ukur Yayasan v1.4.0/4.14

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Anda dapat memiliki lebih dari satu VPC akun, dan Anda dapat membuat koneksi peer antara duaVPCs, memungkinkan lalu lintas jaringan untuk rute antara. VPCs

CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahanVPCs. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.14 di CIS AWS Tolok Ukur Yayasan v1.4.0. Kontrol ini gagal jika filter metrik tepat yang ditentukan oleh tidak CIS digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic. Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    Kapan pun your-metric-name adalah...

    lebih besar/sama

    dari...

    1

[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi

Kategori: Deteksi > Layanan deteksi

Persyaratan terkait: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 IR-4 (1), .800-53.r5 IR-4 (5), NIST .800-53.r5 SI-2, .800-53.r5 SI-20, .800-53.r5 SI-4 (12), NIST .800-53.r5 SI-4 (5) NIST NIST NIST

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::CloudWatch::Alarm

AWS Config aturan: cloudwatch-alarm-action-check

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

alarmActionRequired

Kontrol menghasilkan PASSED temuan jika parameter disetel ke true dan alarm memiliki tindakan ketika status alarm berubah menjadiALARM.

Boolean

Tidak dapat disesuaikan

true

insufficientDataActionRequired

Kontrol menghasilkan PASSED temuan jika parameter disetel ke true dan alarm memiliki tindakan ketika status alarm berubah menjadiINSUFFICIENT_DATA.

Boolean

true atau false

false

okActionRequired

Kontrol menghasilkan PASSED temuan jika parameter disetel ke true dan alarm memiliki tindakan ketika status alarm berubah menjadiOK.

Boolean

true atau false

false

Kontrol ini memeriksa apakah CloudWatch alarm Amazon memiliki setidaknya satu tindakan yang dikonfigurasi untuk ALARM status tersebut. Kontrol gagal jika alarm tidak memiliki tindakan yang dikonfigurasi untuk ALARM status. Secara opsional, Anda dapat menyertakan nilai parameter khusus untuk juga memerlukan tindakan alarm untuk OK status INSUFFICIENT_DATA atau.

catatan

Security Hub mengevaluasi kontrol ini berdasarkan alarm CloudWatch metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi. Kontrol menghasilkan FAILED temuan dalam kasus-kasus berikut:

  • Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.

  • Alarm metrik adalah bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi.

Kontrol ini berfokus pada apakah CloudWatch alarm memiliki tindakan alarm yang dikonfigurasi, sedangkan CloudWatch.17 berfokus pada status aktivasi tindakan CloudWatch alarm.

Kami merekomendasikan tindakan CloudWatch alarm untuk secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Memantau alarm membantu Anda mengidentifikasi aktivitas yang tidak biasa dan dengan cepat menanggapi masalah keamanan dan operasional ketika alarm masuk ke keadaan tertentu. Jenis tindakan alarm yang paling umum adalah memberi tahu satu atau lebih pengguna dengan mengirim pesan ke topik Amazon Simple Notification Service (AmazonSNS).

Remediasi

Untuk informasi tentang tindakan yang didukung oleh CloudWatch alarm, lihat Tindakan alarm di Panduan CloudWatch Pengguna Amazon.

[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu

Kategori: Identifikasi > Logging

Persyaratan terkait: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-12

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Logs::LogGroup

AWS Config aturan: cw-loggroup-retention-period-check

Jenis jadwal: Periodik

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

minRetentionTime

Periode retensi minimum dalam beberapa hari untuk grup CloudWatch log

Enum

365, 400, 545, 731, 1827, 3653

365

Kontrol ini memeriksa apakah grup CloudWatch log Amazon memiliki periode retensi setidaknya dalam jumlah hari yang ditentukan. Kontrol gagal jika periode retensi kurang dari jumlah yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi, Security Hub menggunakan nilai default 365 hari.

CloudWatch Log memusatkan log dari semua sistem, aplikasi, dan Layanan AWS dalam satu layanan yang sangat skalabel. Anda dapat menggunakan CloudWatch Log untuk memantau, menyimpan, dan mengakses file log Anda dari instans Amazon Elastic Compute Cloud (EC2), AWS CloudTrail, Amazon Route 53, dan sumber lainnya. Mempertahankan log Anda setidaknya selama 1 tahun dapat membantu Anda mematuhi standar penyimpanan log.

Remediasi

Untuk mengonfigurasi setelan penyimpanan log, lihat Mengubah penyimpanan data CloudWatch log di Log di Panduan CloudWatch Pengguna Amazon.

[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan

Kategori: Deteksi > Layanan deteksi

Persyaratan terkait: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, .800-53.r5 SI-4 (12) NIST

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::CloudWatch::Alarm

AWS Config aturan: cloudwatch-alarm-action-enabled-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah tindakan CloudWatch alarm diaktifkan (ActionEnabledharus disetel ke true). Kontrol gagal jika tindakan alarm untuk CloudWatch alarm dinonaktifkan.

catatan

Security Hub mengevaluasi kontrol ini berdasarkan alarm CloudWatch metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang mengaktifkan tindakan alarm. Kontrol menghasilkan FAILED temuan dalam kasus-kasus berikut:

  • Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.

  • Alarm metrik adalah bagian dari alarm komposit yang mengaktifkan tindakan alarm.

Kontrol ini berfokus pada status aktivasi tindakan CloudWatch alarm, sedangkan CloudWatch.15 berfokus pada apakah ALARM tindakan apa pun dikonfigurasi dalam CloudWatch alarm.

Tindakan alarm secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Jika tindakan alarm dinonaktifkan, tidak ada tindakan yang dijalankan saat alarm berubah status, dan Anda tidak akan diberitahu tentang perubahan dalam metrik yang dipantau. Sebaiknya aktifkan tindakan CloudWatch alarm untuk membantu Anda merespons masalah keamanan dan operasional dengan cepat.

Remediasi

Untuk mengaktifkan aksi CloudWatch alarm (konsol)
  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, di bawah Alarm, pilih Semua alarm.

  3. Pilih alarm yang ingin Anda aktifkan tindakan.

  4. Untuk Tindakan, pilih Tindakan alarm — baru, lalu pilih Aktifkan.

Untuk informasi selengkapnya tentang mengaktifkan tindakan CloudWatch alarm, lihat Tindakan alarm di Panduan CloudWatch Pengguna Amazon.