Kontrol Security Hub untuk CloudWatch - AWS Security Hub
[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail AWS Config urasi[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan AWS Management Console otentikasi[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk CloudWatch

Kontrol ini mengevaluasi CloudWatch layanan dan sumber daya Amazon.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”

Persyaratan terkait: PCI DSS v3.2.1/7.2.1, Tolok Ukur Yayasan CIS v1.2.0/1.1, Tolok Ukur AWS Yayasan CIS v1.2.0/3.3, Tolok Ukur Yayasan CIS v1.4.0/1.7, Tolok Ukur Yayasan CIS AWS v1.4.0/4.3 AWS AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Pengguna root memiliki akses tak terbatas ke semua layanan dan sumber daya dalam file Akun AWS. Kami sangat menyarankan Anda menghindari penggunaan pengguna root untuk tugas sehari-hari. Meminimalkan penggunaan pengguna root dan mengadopsi prinsip hak istimewa paling sedikit untuk manajemen akses mengurangi risiko perubahan yang tidak disengaja dan pengungkapan kredenal yang sangat istimewa yang tidak diinginkan.

Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk melakukan tugas manajemen akun dan layanan. Terapkan kebijakan AWS Identity and Access Management (IAM) secara langsung ke grup dan peran tetapi bukan pengguna. Untuk tutorial tentang cara mengatur administrator untuk penggunaan sehari-hari, lihat Membuat pengguna dan grup admin IAM pertama Anda di Panduan Pengguna IAM

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 1.7 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.1

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan Anda membuat filter metrik dan alarm untuk panggilan API yang tidak sah. Memantau panggilan API yang tidak sah membantu mengungkapkan kesalahan aplikasi dan dapat mengurangi waktu untuk mendeteksi aktivitas berbahaya.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika khusus untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.1 di CIS AWS Foundations Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.2

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan login konsol alarm yang tidak dilindungi oleh MFA. Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh MFA.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika khusus untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.2 di CIS AWS Foundations Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    { ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.4, Tolok Ukur Yayasan CIS v1.4.0/4.4 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk perubahan yang dibuat pada kebijakan IAM. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

catatan

Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API IAM.

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail AWS Config urasi

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.5, Tolok Ukur Yayasan CIS v1.4.0/4.5 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan CloudTrail konfigurasi. Memantau perubahan ini membantu memastikan visibilitas berkelanjutan terhadap aktivitas di akun.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.5 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}

    Namespace metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan AWS Management Console otentikasi

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.6, Tolok Ukur Yayasan CIS v1.4.0/4.6 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk upaya otentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya untuk memaksa kredensi, yang mungkin memberikan indikator, seperti IP sumber, yang dapat Anda gunakan dalam korelasi peristiwa lain.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.6 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.7, Tolok Ukur Yayasan CIS v1.4.0/4.7 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk kunci terkelola pelanggan yang telah mengubah status menjadi penghapusan dinonaktifkan atau terjadwal. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak lagi dapat diakses.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.7 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik. Kontrol juga gagal jika ExcludeManagementEventSources berisikms.amazonaws.com.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.8, Tolok Ukur Yayasan CIS v1.4.0/4.8 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS menyarankan agar Anda membuat filter metrik dan alarm untuk perubahan kebijakan bucket S3. Memantau perubahan ini dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada bucket S3 yang sensitif.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.8 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.9, Tolok Ukur Yayasan CIS v1.4.0/4.9 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan AWS Config konfigurasi. Memantau perubahan ini membantu memastikan visibilitas item konfigurasi yang berkelanjutan di akun.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.9 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.10, Tolok Ukur Yayasan CIS v1.4.0/4.10 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Grup keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar di VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada grup keamanan. Memantau perubahan ini membantu memastikan bahwa sumber daya dan layanan tidak terekspos secara tidak sengaja.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.10 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.11, Tolok Ukur Yayasan CIS v1.4.0/4.11 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. NACLs digunakan sebagai filter paket stateless untuk mengontrol masuknya dan keluar lalu lintas untuk subnet dalam VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk NACLs perubahan. Memantau perubahan ini membantu memastikan bahwa AWS sumber daya dan layanan tidak terekspos secara tidak sengaja.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.11 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.12, Tolok Ukur Yayasan CIS v1.4.0/4.12 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Gateway jaringan diperlukan untuk mengirim dan menerima lalu lintas ke tujuan di luar VPC.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan gateway jaringan. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas masuk dan keluar melintasi perbatasan VPC melalui jalur yang terkendali.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika khusus untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.12 di CIS AWS Foundations Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.13, Tolok Ukur Yayasan CIS v1.4.0/4.13 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Tabel routing merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan.

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada tabel rute. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas VPC mengalir melalui jalur yang diharapkan.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

catatan

Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API Amazon Elastic Compute Cloud (EC2).

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC

Persyaratan terkait: Tolok Ukur AWS Yayasan CIS v1.2.0/3.14, Tolok Ukur Yayasan CIS v1.4.0/4.14 AWS

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config aturan: Tidak ada (aturan Security Hub khusus)

Jenis jadwal: Periodik

Parameter: Tidak ada

Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Anda dapat memiliki lebih dari satu VPC di akun, dan Anda dapat membuat koneksi peer antara dua VPCs, memungkinkan lalu lintas jaringan untuk rute antara. VPCs

CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk VPCs perubahan. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.

Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.14 di CIS AWS Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.

catatan

Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.

Hasil pemeriksaan dalam FAILED temuan dalam kasus-kasus berikut:

  • Tidak ada jejak yang dikonfigurasi.

  • Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.

Hasil pemeriksaan dalam status kontrol NO_DATA dalam kasus berikut:

  • Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.

  • Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.

    Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol NO_DATA untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.

Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. ListSubscriptionsByTopic Jika tidak, Security Hub menghasilkan WARNING temuan untuk kontrol.

Remediasi

Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.

  1. Buat topik Amazon SNS. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.

  2. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di Panduan AWS CloudTrail Pengguna.

    Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.

  3. Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Tentukan pola, Pola filter

    {($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}

    Ruang nama metrik

    LogMetrics

    Nilai metrik

    1

    Nilai default

    0

  4. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:

    Bidang Nilai

    Kondisi, tipe Ambang

    Statis

    your-metric-nameKapanpun...

    Lebih Besar/Setara

    dari...

    1

[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi

Kategori: Deteksi > Layanan deteksi

Persyaratan terkait: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, Nist.800-53.R5 IR-4 (1), NIST.800-53.R5 IR-4 (5), Nist.800-53.R5 SI-2, Nist.800-53.R5 SI-20, Nist.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::CloudWatch::Alarm

AWS Config aturan: cloudwatch-alarm-action-check

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

alarmActionRequired

Kontrol menghasilkan PASSED temuan jika parameter disetel ke true dan alarm memiliki tindakan ketika status alarm berubah menjadiALARM.

Boolean

Tidak dapat disesuaikan

true

insufficientDataActionRequired

Kontrol menghasilkan PASSED temuan jika parameter disetel ke true dan alarm memiliki tindakan ketika status alarm berubah menjadiINSUFFICIENT_DATA.

Boolean

true atau false

false

okActionRequired

Kontrol menghasilkan PASSED temuan jika parameter disetel ke true dan alarm memiliki tindakan ketika status alarm berubah menjadiOK.

Boolean

true atau false

false

Kontrol ini memeriksa apakah CloudWatch alarm Amazon memiliki setidaknya satu tindakan yang dikonfigurasi untuk ALARM status. Kontrol gagal jika alarm tidak memiliki tindakan yang dikonfigurasi untuk ALARM status. Secara opsional, Anda dapat menyertakan nilai parameter khusus untuk juga memerlukan tindakan alarm untuk OK status INSUFFICIENT_DATA atau.

catatan

Security Hub mengevaluasi kontrol ini berdasarkan alarm CloudWatch metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi. Kontrol menghasilkan FAILED temuan dalam kasus-kasus berikut:

  • Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.

  • Alarm metrik adalah bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi.

Kontrol ini berfokus pada apakah CloudWatch alarm memiliki tindakan alarm yang dikonfigurasi, sedangkan CloudWatch.17 berfokus pada status aktivasi tindakan CloudWatch alarm.

Kami merekomendasikan tindakan CloudWatch alarm untuk secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Memantau alarm membantu Anda mengidentifikasi aktivitas yang tidak biasa dan dengan cepat menanggapi masalah keamanan dan operasional ketika alarm masuk ke keadaan tertentu. Jenis tindakan alarm yang paling umum adalah memberi tahu satu atau beberapa pengguna dengan mengirim pesan ke topik Amazon Simple Notification Service (Amazon SNS).

Remediasi

Untuk informasi tentang tindakan yang didukung oleh CloudWatch alarm, lihat Tindakan alarm di Panduan CloudWatch Pengguna Amazon.

[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu

Kategori: Identifikasi > Logging

Persyaratan terkait: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Logs::LogGroup

AWS Config aturan: cw-loggroup-retention-period-check

Jenis jadwal: Periodik

Parameter:

Parameter Deskripsi Jenis Nilai kustom yang diizinkan Nilai default Security Hub

minRetentionTime

Periode retensi minimum dalam beberapa hari untuk grup CloudWatch log

Enum

365, 400, 545, 731, 1827, 3653

365

Kontrol ini memeriksa apakah grup CloudWatch log Amazon memiliki periode retensi setidaknya dalam jumlah hari yang ditentukan. Kontrol gagal jika periode retensi kurang dari jumlah yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi, Security Hub menggunakan nilai default 365 hari.

CloudWatch Log memusatkan log dari semua sistem, aplikasi, dan Layanan AWS dalam satu layanan yang sangat skalabel. Anda dapat menggunakan CloudWatch Log untuk memantau, menyimpan, dan mengakses file log Anda dari instans Amazon Elastic Compute Cloud (EC2), AWS CloudTrail Amazon Route 53, dan sumber lainnya. Mempertahankan log Anda setidaknya selama 1 tahun dapat membantu Anda mematuhi standar penyimpanan log.

Remediasi

Untuk mengonfigurasi setelan penyimpanan log, lihat Mengubah penyimpanan data CloudWatch log di Log di Panduan CloudWatch Pengguna Amazon.

[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan

Kategori: Deteksi > Layanan deteksi

Persyaratan terkait: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)

Tingkat keparahan: Tinggi

Jenis sumber daya: AWS::CloudWatch::Alarm

AWS Config aturan: cloudwatch-alarm-action-enabled-check

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah tindakan CloudWatch alarm diaktifkan (ActionEnabledharus disetel ke true). Kontrol gagal jika tindakan alarm untuk CloudWatch alarm dinonaktifkan.

catatan

Security Hub mengevaluasi kontrol ini berdasarkan alarm CloudWatch metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang mengaktifkan tindakan alarm. Kontrol menghasilkan FAILED temuan dalam kasus-kasus berikut:

  • Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.

  • Alarm metrik adalah bagian dari alarm komposit yang mengaktifkan tindakan alarm.

Kontrol ini berfokus pada status aktivasi tindakan CloudWatch alarm, sedangkan CloudWatch.15 berfokus pada apakah ALARM tindakan apa pun dikonfigurasi dalam CloudWatch alarm.

Tindakan alarm secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Jika tindakan alarm dinonaktifkan, tidak ada tindakan yang dijalankan saat alarm berubah status, dan Anda tidak akan diberitahu tentang perubahan dalam metrik yang dipantau. Sebaiknya aktifkan tindakan CloudWatch alarm untuk membantu Anda merespons masalah keamanan dan operasional dengan cepat.

Remediasi

Untuk mengaktifkan aksi CloudWatch alarm (konsol)

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, di bawah Alarm, pilih Semua alarm.

  3. Pilih alarm yang ingin Anda aktifkan tindakan.

  4. Untuk Tindakan, pilih Tindakan alarm — baru, lalu pilih Aktifkan.

Untuk informasi selengkapnya tentang mengaktifkan tindakan CloudWatch alarm, lihat Tindakan alarm di Panduan CloudWatch Pengguna Amazon.