Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon CloudWatch
AWS Security Hub CSPM Kontrol ini mengevaluasi CloudWatch layanan dan sumber daya Amazon. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/1.1, Tolok Ukur Yayasan CIS v1.2.0/3.3, Tolok Ukur Yayasan CIS v1.4.0/1.7, Tolok Ukur AWS Yayasan CIS v1.4.0/4.3, Nist.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/7.2.1 AWS
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Pengguna root memiliki akses tak terbatas ke semua layanan dan sumber daya dalam file Akun AWS. Kami sangat menyarankan Anda menghindari penggunaan pengguna root untuk tugas sehari-hari. Meminimalkan penggunaan pengguna root dan mengadopsi prinsip hak istimewa paling sedikit untuk manajemen akses mengurangi risiko perubahan yang tidak disengaja dan pengungkapan kredenal yang sangat istimewa yang tidak diinginkan.
Sebagai praktik terbaik, gunakan kredensi pengguna root Anda hanya jika diperlukan untuk [melakukan tugas manajemen akun dan layanan](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Terapkan kebijakan AWS Identity and Access Management (IAM) secara langsung ke grup dan peran tetapi bukan pengguna. Untuk tutorial tentang cara mengatur administrator untuk penggunaan sehari-hari, lihat [Membuat pengguna dan grup admin IAM pertama Anda di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) *IAM*
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 1.7 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.1, Nist.800-171.r2 3.13.1, Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS menyarankan agar Anda membuat filter metrik dan alarm untuk panggilan API yang tidak sah. Memantau panggilan API yang tidak sah membantu mengungkapkan kesalahan aplikasi dan dapat mengurangi waktu untuk mendeteksi aktivitas berbahaya.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.1 di [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.2
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS merekomendasikan agar Anda membuat filter metrik dan login konsol alarm yang tidak dilindungi oleh MFA. Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh MFA.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 3.2 di [CIS AWS Foundations](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.4, Tolok Ukur Yayasan CIS v1.4.0/4.4, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS menyarankan agar Anda membuat filter metrik dan alarm untuk perubahan yang dibuat pada kebijakan IAM. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
**catatan**
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API IAM.
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.5, Tolok Ukur Yayasan CIS v1.4.0/4.5, Nist.800-171.r2 3.3.8, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan CloudTrail konfigurasi. Memantau perubahan ini membantu memastikan visibilitas berkelanjutan terhadap aktivitas di akun.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.5 di [CIS AWS Foundations](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk kegagalan Konsol Manajemen AWS otentikasi
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.6, Tolok Ukur Yayasan CIS v1.4.0/4.6, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS menyarankan agar Anda membuat filter metrik dan alarm untuk upaya otentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya untuk memaksa kredensi, yang mungkin memberikan indikator, seperti IP sumber, yang dapat Anda gunakan dalam korelasi peristiwa lain.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.6 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.7, Tolok Ukur Yayasan CIS v1.4.0/4.7, Nist.800-171.r2 3.13.10, Nist.800-171.r2 3.13.16, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk kunci terkelola pelanggan yang telah mengubah status menjadi penghapusan dinonaktifkan atau terjadwal. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak lagi dapat diakses.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.7 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik. Kontrol juga gagal jika `ExcludeManagementEventSources` berisi`kms.amazonaws.com`.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.8, Tolok Ukur Yayasan CIS v1.4.0/4.8, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS menyarankan Anda membuat filter metrik dan alarm untuk perubahan kebijakan bucket S3. Memantau perubahan ini dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada bucket S3 yang sensitif.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.8 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.9, Tolok Ukur Yayasan CIS v1.4.0/4.9, Nist.800-171.r2 3.3.8, Nist.800-171.r2 AWS 3.14.6, Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai.
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pengaturan AWS Config konfigurasi. Memantau perubahan ini membantu memastikan visibilitas item konfigurasi yang berkelanjutan di akun.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.9 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.10, Tolok Ukur Yayasan CIS v1.4.0/4.10, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Grup keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar di VPC.
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada grup keamanan. Memantau perubahan ini membantu memastikan bahwa sumber daya dan layanan tidak terekspos secara tidak sengaja.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.10 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.11, Tolok Ukur Yayasan CIS v1.4.0/4.11, Nist.800-171.r2 3.14.6, AWS Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. NACLs digunakan sebagai filter paket stateless untuk mengontrol masuknya dan keluar lalu lintas untuk subnet dalam VPC.
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk NACLs perubahan. Memantau perubahan ini membantu memastikan bahwa AWS sumber daya dan layanan tidak terekspos secara tidak sengaja.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.11 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.12, Tolok Ukur Yayasan CIS v1.4.0/4.12, Nist.800-171.r2 3.3.1, AWS Nist.800-171.r2 3.13.1
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Gateway jaringan diperlukan untuk mengirim dan menerima lalu lintas ke tujuan di luar VPC.
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan gateway jaringan. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas masuk dan keluar melintasi perbatasan VPC melalui jalur yang terkendali.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika khusus untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.12 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.13, Tolok Ukur Yayasan CIS v1.4.0/4.13, Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.13.1, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah Anda memantau panggilan API secara real time dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Tabel routing merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan.
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk perubahan pada tabel rute. Memantau perubahan ini membantu memastikan bahwa semua lalu lintas VPC mengalir melalui jalur yang diharapkan.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
**catatan**
Pola filter yang kami rekomendasikan dalam langkah-langkah remediasi ini berbeda dari pola filter dalam panduan CIS. Filter yang kami rekomendasikan hanya menargetkan peristiwa yang berasal dari panggilan API Amazon Elastic Compute Cloud (EC2).
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC
**Persyaratan terkait:** Tolok Ukur AWS Yayasan CIS v1.2.0/3.14, Tolok Ukur Yayasan CIS v1.4.0/4.14, Nist.800-171.r2 3.3.1, Nist.800-171.r2 3.13.1, AWS Nist.800-171.r2 3.14.6, Nist.800-171.r2 3.14.7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:**`AWS::Logs::MetricFilter`,`AWS::CloudWatch::Alarm`,`AWS::CloudTrail::Trail`, `AWS::SNS::Topic`
**AWS Config aturan:** Tidak ada (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Anda dapat melakukan pemantauan real-time panggilan API dengan mengarahkan CloudTrail CloudWatch log ke Log dan membuat filter dan alarm metrik yang sesuai. Anda dapat memiliki lebih dari satu VPC di akun, dan Anda dapat membuat koneksi peer antara dua VPCs, memungkinkan lalu lintas jaringan untuk rute antara. VPCs
CIS merekomendasikan agar Anda membuat filter metrik dan alarm untuk VPCs perubahan. Memantau perubahan ini membantu memastikan bahwa kontrol otentikasi dan otorisasi tetap utuh.
Untuk menjalankan pemeriksaan ini, Security Hub CSPM menggunakan logika kustom untuk melakukan langkah-langkah audit yang tepat yang ditentukan untuk kontrol 4.14 di [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Kontrol ini gagal jika filter metrik yang tepat yang ditentukan oleh CIS tidak digunakan. Bidang atau istilah tambahan tidak dapat ditambahkan ke filter metrik.
**catatan**
Ketika Security Hub CSPM melakukan pemeriksaan untuk kontrol ini, ia mencari CloudTrail jejak yang digunakan akun saat ini. Jalur ini mungkin merupakan jalur organisasi yang dimiliki oleh akun lain. Jalur Multi-Wilayah juga mungkin berbasis di Wilayah yang berbeda.
Hasil pemeriksaan dalam `FAILED` temuan dalam kasus-kasus berikut:
Tidak ada jejak yang dikonfigurasi.
Jalur yang tersedia yang berada di Wilayah saat ini dan yang dimiliki oleh rekening giro tidak memenuhi persyaratan kontrol.
Hasil pemeriksaan dalam status kontrol `NO_DATA` dalam kasus berikut:
Jejak multi-wilayah berbasis di Wilayah yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan di Wilayah tempat jejak tersebut berada.
Jejak multi-wilayah milik akun yang berbeda. Security Hub CSPM hanya dapat menghasilkan temuan untuk akun yang memiliki jejak.
Kami merekomendasikan jejak organisasi untuk mencatat peristiwa dari banyak akun dalam suatu organisasi. Jejak organisasi adalah jalur Multi-wilayah secara default dan hanya dapat dikelola oleh akun AWS Organizations manajemen atau akun administrator yang CloudTrail didelegasikan. Menggunakan jejak organisasi menghasilkan status kontrol `NO_DATA` untuk kontrol yang dievaluasi dalam akun anggota organisasi. Di akun anggota, Security Hub CSPM hanya menghasilkan temuan untuk sumber daya milik anggota. Temuan yang berkaitan dengan jejak organisasi dihasilkan di akun pemilik sumber daya. Anda dapat melihat temuan ini di akun administrator delegasi CSPM Security Hub menggunakan agregasi lintas wilayah.
Untuk alarm, akun saat ini harus memiliki topik Amazon SNS yang direferensikan, atau harus mendapatkan akses ke topik Amazon SNS dengan menelepon. `ListSubscriptionsByTopic` Jika tidak, Security Hub CSPM menghasilkan `WARNING` temuan untuk kontrol.
### Remediasi
Untuk melewati kontrol ini, ikuti langkah-langkah berikut untuk membuat topik Amazon SNS, AWS CloudTrail jejak, filter metrik, dan alarm untuk filter metrik.
1. Buat topik Amazon SNS. Untuk petunjuknya, lihat [Memulai Amazon SNS di Panduan](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Pengembang Layanan Pemberitahuan Sederhana Amazon*. Buat topik yang menerima semua alarm CIS, dan buat setidaknya satu langganan ke topik tersebut.
1. Buat CloudTrail jejak yang berlaku untuk semua Wilayah AWS. Untuk petunjuk, lihat [Membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) di *Panduan AWS CloudTrail Pengguna*.
Catat nama grup CloudWatch log Log yang Anda kaitkan dengan CloudTrail jejak. Anda membuat filter metrik untuk grup log tersebut di langkah berikutnya.
1. Membuat sebuah filter metrik. Untuk petunjuknya, lihat [Membuat filter metrik untuk grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) di *Panduan CloudWatch Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
1. Buat alarm berdasarkan filter. Untuk petunjuknya, lihat [Membuat CloudWatch alarm berdasarkan filter metrik grup log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) di * CloudWatch Panduan Pengguna Amazon*. Gunakan nilai berikut:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi
**Persyaratan terkait:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, Nist.800-53.R5 IR-4 (1), Nist.800-53.R5 IR-4 (5), Nist.800-53.R5 SI-2, Nist.800-53.r5 SI-20, Nist.800-53.R5 SI-4 (12), Nist.800-53.r5 SI-4 (5), Nist.800-53.r5 SI-4 (5), Nist.800-53.r5 00-171.r2 3.3.4, Nist.800-171.r2 3.14.6
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::CloudWatch::Alarm`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `alarmActionRequired` | Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`ALARM`. | Boolean | Tidak dapat disesuaikan | `true` |
| `insufficientDataActionRequired` | Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`INSUFFICIENT_DATA`. | Boolean | `true` atau `false` | `false` |
| `okActionRequired` | Kontrol menghasilkan `PASSED` temuan jika parameter disetel ke `true` dan alarm memiliki tindakan ketika status alarm berubah menjadi`OK`. | Boolean | `true` atau `false` | `false` |
Kontrol ini memeriksa apakah CloudWatch alarm Amazon memiliki setidaknya satu tindakan yang dikonfigurasi untuk `ALARM` status. Kontrol gagal jika alarm tidak memiliki tindakan yang dikonfigurasi untuk `ALARM` status. Secara opsional, Anda dapat menyertakan nilai parameter khusus untuk juga memerlukan tindakan alarm untuk `OK` status `INSUFFICIENT_DATA` atau.
**catatan**
Security Hub CSPM mengevaluasi kontrol ini berdasarkan CloudWatch alarm metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi. Kontrol menghasilkan `FAILED` temuan dalam kasus-kasus berikut:
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang memiliki tindakan yang ditentukan dikonfigurasi.
Kontrol ini berfokus pada apakah CloudWatch alarm memiliki tindakan alarm yang dikonfigurasi, sedangkan [CloudWatch.17](#cloudwatch-17) berfokus pada status aktivasi tindakan CloudWatch alarm.
Kami merekomendasikan tindakan CloudWatch alarm untuk secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Memantau alarm membantu Anda mengidentifikasi aktivitas yang tidak biasa dan dengan cepat menanggapi masalah keamanan dan operasional ketika alarm masuk ke keadaan tertentu. Jenis tindakan alarm yang paling umum adalah memberi tahu satu atau beberapa pengguna dengan mengirim pesan ke topik Amazon Simple Notification Service (Amazon SNS).
### Remediasi
Untuk informasi tentang tindakan yang didukung oleh CloudWatch alarm, lihat [Tindakan alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) di *Panduan CloudWatch Pengguna Amazon*.
## [CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu
**Kategori:** Identifikasi > Logging
**Persyaratan terkait:** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-12
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Logs::LogGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``
**Jenis jadwal:** Periodik
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `minRetentionTime` | Periode retensi minimum dalam beberapa hari untuk grup CloudWatch log | Enum | `365, 400, 545, 731, 1827, 3653` | `365` |
Kontrol ini memeriksa apakah grup CloudWatch log Amazon memiliki periode retensi setidaknya dalam jumlah hari yang ditentukan. Kontrol gagal jika periode retensi kurang dari jumlah yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi, Security Hub CSPM menggunakan nilai default 365 hari.
CloudWatch Log memusatkan log dari semua sistem, aplikasi, dan Layanan AWS dalam satu layanan yang sangat skalabel. Anda dapat menggunakan CloudWatch Log untuk memantau, menyimpan, dan mengakses file log Anda dari instans Amazon Elastic Compute Cloud (EC2), Amazon Route 53 AWS CloudTrail, dan sumber lainnya. Mempertahankan log Anda setidaknya selama 1 tahun dapat membantu Anda mematuhi standar penyimpanan log.
### Remediasi
Untuk mengonfigurasi setelan penyimpanan [log, lihat Mengubah penyimpanan data CloudWatch log di Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) di *Panduan CloudWatch Pengguna Amazon*.
## [CloudWatch.17] tindakan CloudWatch alarm harus diaktifkan
**Kategori:** Deteksi > Layanan deteksi
**Persyaratan terkait:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::CloudWatch::Alarm`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah tindakan CloudWatch alarm diaktifkan (`ActionEnabled`harus disetel ke true). Kontrol gagal jika tindakan alarm untuk CloudWatch alarm dinonaktifkan.
**catatan**
Security Hub CSPM mengevaluasi kontrol ini berdasarkan CloudWatch alarm metrik. Alarm metrik dapat menjadi bagian dari alarm komposit yang mengaktifkan tindakan alarm. Kontrol menghasilkan `FAILED` temuan dalam kasus-kasus berikut:
Tindakan yang ditentukan tidak dikonfigurasi untuk alarm metrik.
Alarm metrik adalah bagian dari alarm komposit yang mengaktifkan tindakan alarm.
Kontrol ini berfokus pada status aktivasi tindakan CloudWatch alarm, sedangkan [CloudWatch.15](#cloudwatch-15) berfokus pada apakah `ALARM` tindakan apa pun dikonfigurasi dalam CloudWatch alarm.
Tindakan alarm secara otomatis mengingatkan Anda ketika metrik yang dipantau berada di luar ambang batas yang ditentukan. Jika tindakan alarm dinonaktifkan, tidak ada tindakan yang dijalankan saat alarm berubah status, dan Anda tidak akan diberitahu tentang perubahan dalam metrik yang dipantau. Sebaiknya aktifkan tindakan CloudWatch alarm untuk membantu Anda merespons masalah keamanan dan operasional dengan cepat.
### Remediasi
**Untuk mengaktifkan aksi CloudWatch alarm (konsol)**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, di bawah **Alarm, pilih **Semua** alarm**.
1. Pilih alarm yang ingin Anda aktifkan tindakan.
1. **Untuk **Tindakan**, pilih **Tindakan alarm — baru, lalu pilih Aktifkan**.**
Untuk informasi selengkapnya tentang mengaktifkan tindakan CloudWatch alarm, lihat [Tindakan alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) di *Panduan CloudWatch Pengguna Amazon*.