Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk CloudWatch
Kontrol ini mengevaluasi CloudWatch layanan dan sumber daya Amazon.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”
Persyaratan terkait: PCI DSS v3.2.1/7.2.1, CIS AWS Tolok Ukur Yayasan v1.2.0/1.1, CIS AWS Tolok Ukur Yayasan v1.2.0/3.3, CIS AWS Tolok Ukur Yayasan v1.4.0/1.7, CIS AWS Tolok Ukur Yayasan v1.4.0/4.3
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Pengguna root memiliki akses tak terbatas ke semua layanan dan sumber daya dalam Akun AWS. Kami sangat menyarankan Anda menghindari penggunaan pengguna root untuk tugas sehari-hari. Meminimalkan penggunaan pengguna root dan mengadopsi prinsip hak istimewa paling sedikit untuk manajemen akses mengurangi risiko perubahan yang tidak disengaja dan pengungkapan kredenal yang sangat istimewa yang tidak diinginkan.
Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk melakukan tugas manajemen akun dan layanan. Terapkan AWS Identity and Access Management (IAM) kebijakan langsung ke grup dan peran tetapi bukan pengguna. Untuk tutorial tentang cara mengatur administrator untuk penggunaan sehari-hari, lihat Membuat pengguna dan grup IAM admin pertama Anda di Panduan IAM Pengguna
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 1.7 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan yang tidak sah API
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.1
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm API panggilan tidak sah. Memantau API panggilan yang tidak sah membantu mengungkapkan kesalahan aplikasi dan dapat mengurangi waktu untuk mendeteksi aktivitas berbahaya.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.1 di CIS AWS Tolok Ukur Yayasan v1.2
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.2
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan login konsol alarm yang tidak dilindungi olehMFA. Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh. MFA
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.2 di CIS AWS Tolok Ukur Yayasan v1.2
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan IAM kebijakan
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.4, CIS AWS Tolok Ukur Yayasan v1.4.0/4.4
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah Anda memantau API panggilan secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan yang dibuat pada IAM kebijakan. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
catatan
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam CIS panduan. Filter yang kami rekomendasikan hanya menargetkan acara yang berasal dari IAM API panggilan.
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk CloudTrail AWS Config perubahan urasi
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.5, CIS AWS Tolok Ukur Yayasan v1.4.0/4.5
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan CloudTrail konfigurasi. Memantau perubahan ini membantu memastikan visibilitas berkelanjutan terhadap aktivitas di akun.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.5 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk AWS Management Console kegagalan otentikasi
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.6, CIS AWS Tolok Ukur Yayasan v1.4.0/4.6
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk upaya otentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya untuk memaksa kredensi, yang mungkin memberikan indikator, seperti IP sumber, yang dapat Anda gunakan dalam korelasi peristiwa lain.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.6 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.7, CIS AWS Tolok Ukur Yayasan v1.4.0/4.7
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk kunci terkelola pelanggan yang telah mengubah status menjadi nonaktif atau penghapusan terjadwal. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak lagi dapat diakses.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.7 di CIS AWS Tolok Ukur Yayasan v1.4.0ExcludeManagementEventSources
berisikms.amazonaws.com
.
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.8, CIS AWS Tolok Ukur Yayasan v1.4.0/4.8
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan kebijakan bucket S3. Memantau perubahan ini dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada bucket S3 yang sensitif.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.8 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk AWS Config perubahan konfigurasi
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.9, CIS AWS Tolok Ukur Yayasan v1.4.0/4.9
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan AWS Config pengaturan konfigurasi. Memantau perubahan ini membantu memastikan visibilitas item konfigurasi yang berkelanjutan di akun.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.9 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.10, CIS AWS Tolok Ukur Yayasan v1.4.0/4.10
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Grup keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar dalam file. VPC
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada grup keamanan. Memantau perubahan ini membantu memastikan bahwa sumber daya dan layanan tidak terekspos secara tidak sengaja.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.10 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan () NACL
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.11, CIS AWS Tolok Ukur Yayasan v1.4.0/4.11
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. NACLsdigunakan sebagai filter paket stateless untuk mengontrol masuknya dan keluar lalu lintas untuk subnet di file. VPC
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahanNACLs. Memantau perubahan ini membantu memastikan bahwa AWS sumber daya dan layanan tidak terekspos secara tidak sengaja.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.11 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.12, CIS AWS Tolok Ukur Yayasan v1.4.0/4.12
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Gateway jaringan diperlukan untuk mengirim dan menerima lalu lintas ke tujuan di luar a. VPC
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan gateway jaringan. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas masuk dan keluar melintasi VPC perbatasan melalui jalur yang terkendali.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.12 di CIS AWS Tolok Ukur Yayasan v1.2
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.13, CIS AWS Tolok Ukur Yayasan v1.4.0/4.13
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah Anda memantau API panggilan secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Tabel routing merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan.
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada tabel rute. Memantau perubahan ini membantu memastikan bahwa semua VPC lalu lintas mengalir melalui jalur yang diharapkan.
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
catatan
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam CIS panduan. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari API panggilan Amazon Elastic Compute Cloud (EC2).
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC
Persyaratan terkait: CIS AWS Tolok Ukur Yayasan v1.2.0/3.14, CIS AWS Tolok Ukur Yayasan v1.4.0/4.14
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya:AWS::Logs::MetricFilter
,AWS::CloudWatch::Alarm
,AWS::CloudTrail::Trail
, AWS::SNS::Topic
AWS Config aturan: Tidak ada (aturan Security Hub khusus)
Jenis jadwal: Periodik
Parameter: Tidak ada
Anda dapat melakukan pemantauan API panggilan secara real-time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Anda dapat memiliki lebih dari satu VPC akun, dan Anda dapat membuat koneksi peer antara duaVPCs, memungkinkan lalu lintas jaringan untuk rute antara. VPCs
CISmerekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahanVPCs. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.
Untuk menjalankan pemeriksaan ini, Security Hub menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.14 di CIS AWS Tolok Ukur Yayasan v1.4.0
catatan
Ketika Security Hub melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi milik akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam FAILED
temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol NO_DATA
dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub hanya dapat menghasilkan temuan di Wilayah tempat jejak itu berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jalur organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh AWS Organizations akun manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol
NO_DATA
untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator yang didelegasikan Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki SNS topik Amazon yang direferensikan, atau harus mendapatkan akses ke SNS topik Amazon dengan meneleponListSubscriptionsByTopic
. Jika tidak, Security Hub menghasilkan WARNING
temuan untuk kontrol.
Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah ini untuk membuat SNS topik Amazon, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
Buat SNS topik Amazon. Untuk petunjuk, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon. Buat topik yang menerima semua CIS alarm, dan buat setidaknya satu langganan topik.
Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat Membuat jejak di AWS CloudTrail Panduan Pengguna.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
Membuat sebuah filter metrik. Untuk petunjuknya, lihat Membuat filter metrik untuk grup log di Panduan CloudWatch Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Tentukan pola, Pola filter
{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}
Namespace metrik
LogMetrics
Nilai metrik
1
Nilai default
0
Buat alarm berdasarkan filter. Untuk petunjuknya, lihat Membuat CloudWatch alarm berdasarkan filter metrik grup log di CloudWatch Panduan Pengguna Amazon. Gunakan nilai berikut:
Bidang Nilai Kondisi, tipe Ambang
Statis
Kapan pun
your-metric-name
adalah...lebih besar/sama
dari...
1
[CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
Kategori: Deteksi > Layanan deteksi
Persyaratan terkait: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 IR-4 (1), .800-53.r5 IR-4 (5), NIST .800-53.r5 SI-2, .800-53.r5 SI-20, .800-53.r5 SI-4 (12), NIST .800-53.r5 SI-4 (5) NIST NIST NIST
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::CloudWatch::Alarm
AWS Config aturan: cloudwatch-alarm-action-check
Jenis jadwal: Perubahan dipicu
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
|
Kontrol menghasilkan |
Boolean |
Tidak dapat disesuaikan |
|
|
Kontrol menghasilkan |
Boolean |
|
|
|
Kontrol menghasilkan |
Boolean |
|
|
Kontrol ini memeriksa apakah CloudWatch alarm Amazon memiliki setidaknya satu tindakan yang dikonfigurasi untuk ALARM
status tersebut. Kontrol gagal jika alarm tidak memiliki tindakan yang dikonfigurasi untuk ALARM
status. Secara opsional, Anda dapat menyertakan nilai parameter khusus untuk juga memerlukan tindakan alarm untuk OK
status INSUFFICIENT_DATA
atau.
catatan
Security Hub mengevaluasi kontrol ini berdasarkan alarm CloudWatch metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi. Kontrol menghasilkan FAILED
temuan dalam kasus-kasus berikut:
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi.
Kontrol ini berfokus pada apakah CloudWatch alarm memiliki tindakan alarm yang dikonfigurasi, sedangkan CloudWatch.17 berfokus pada status aktivasi tindakan CloudWatch alarm.
Kami merekomendasikan tindakan CloudWatch alarm untuk secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Memantau alarm membantu Anda mengidentifikasi aktivitas yang tidak biasa dan dengan cepat menanggapi masalah keamanan dan operasional ketika alarm masuk ke keadaan tertentu. Jenis tindakan alarm yang paling umum adalah memberi tahu satu atau lebih pengguna dengan mengirim pesan ke topik Amazon Simple Notification Service (AmazonSNS).
Remediasi
Untuk informasi tentang tindakan yang didukung oleh CloudWatch alarm, lihat Tindakan alarm di Panduan CloudWatch Pengguna Amazon.
[CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
Kategori: Identifikasi > Logging
Persyaratan terkait: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-12
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Logs::LogGroup
AWS Config aturan: cw-loggroup-retention-period-check
Jenis jadwal: Periodik
Parameter:
Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
---|---|---|---|---|
|
Periode retensi minimum dalam beberapa hari untuk grup CloudWatch log |
Enum |
|
|
Kontrol ini memeriksa apakah grup CloudWatch log Amazon memiliki periode retensi setidaknya dalam jumlah hari yang ditentukan. Kontrol gagal jika periode retensi kurang dari jumlah yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi, Security Hub menggunakan nilai default 365 hari.
CloudWatch Log memusatkan log dari semua sistem, aplikasi, dan Layanan AWS dalam satu layanan yang sangat skalabel. Anda dapat menggunakan CloudWatch Log untuk memantau, menyimpan, dan mengakses file log Anda dari instans Amazon Elastic Compute Cloud (EC2), AWS CloudTrail, Amazon Route 53, dan sumber lainnya. Mempertahankan log Anda setidaknya selama 1 tahun dapat membantu Anda mematuhi standar penyimpanan log.
Remediasi
Untuk mengonfigurasi setelan penyimpanan log, lihat Mengubah penyimpanan data CloudWatch log di Log di Panduan CloudWatch Pengguna Amazon.
[CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan
Kategori: Deteksi > Layanan deteksi
Persyaratan terkait: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, .800-53.r5 SI-4 (12) NIST
Tingkat keparahan: Tinggi
Jenis sumber daya: AWS::CloudWatch::Alarm
AWS Config aturan: cloudwatch-alarm-action-enabled-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah tindakan CloudWatch alarm diaktifkan (ActionEnabled
harus disetel ke true). Kontrol gagal jika tindakan alarm untuk CloudWatch alarm dinonaktifkan.
catatan
Security Hub mengevaluasi kontrol ini berdasarkan alarm CloudWatch metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang mengaktifkan tindakan alarm. Kontrol menghasilkan FAILED
temuan dalam kasus-kasus berikut:
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang mengaktifkan tindakan alarm.
Kontrol ini berfokus pada status aktivasi tindakan CloudWatch alarm, sedangkan CloudWatch.15 berfokus pada apakah ALARM
tindakan apa pun dikonfigurasi dalam CloudWatch alarm.
Tindakan alarm secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Jika tindakan alarm dinonaktifkan, tidak ada tindakan yang dijalankan saat alarm berubah status, dan Anda tidak akan diberitahu tentang perubahan dalam metrik yang dipantau. Sebaiknya aktifkan tindakan CloudWatch alarm untuk membantu Anda merespons masalah keamanan dan operasional dengan cepat.
Remediasi
Untuk mengaktifkan aksi CloudWatch alarm (konsol)
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/
. Di panel navigasi, di bawah Alarm, pilih Semua alarm.
Pilih alarm yang ingin Anda aktifkan tindakan.
Untuk Tindakan, pilih Tindakan alarm — baru, lalu pilih Aktifkan.
Untuk informasi selengkapnya tentang mengaktifkan tindakan CloudWatch alarm, lihat Tindakan alarm di Panduan CloudWatch Pengguna Amazon.