Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per CloudTrail

Questi controlli del Security Hub valutano il AWS CloudTrail servizio e le risorse.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), (9), (22) NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

Categoria: Identificazione > Registrazione

Gravità: alta

Tipo di risorsa: AWS::::Account

Regola AWS Config : multi-region-cloudtrail-enabled

Tipo di pianificazione: periodica

Parametri:

Questo controllo verifica se esiste almeno un AWS CloudTrail percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. Il controllo fallisce se CloudTrail è disabilitato o se non esiste almeno una CloudTrail traccia che acquisisca gli eventi di gestione di lettura e scrittura.

AWS CloudTrail registra AWS API le chiamate relative al tuo account e ti invia i file di registro. Le informazioni registrate includono le seguenti informazioni:

CloudTrail fornisce una cronologia delle AWS API chiamate per un account, incluse API le chiamate effettuate dagli AWS Management Console strumenti della riga di comando. AWS SDKs La cronologia include anche API le chiamate di livello superiore Servizi AWS come. AWS CloudFormation

La cronologia delle AWS API chiamate prodotta da CloudTrail consente l'analisi della sicurezza, il monitoraggio delle modifiche alle risorse e il controllo della conformità. I trail basati su più regioni offrono anche i seguenti vantaggi.

Per impostazione predefinita, i CloudTrail percorsi creati utilizzando i percorsi AWS Management Console sono multiregionali.

Correzione

Per creare un nuovo percorso multiregionale in CloudTrail, vedi Creazione di un percorso nella Guida per l'AWS CloudTrail utente. Utilizzare i seguenti valori:

Per aggiornare un percorso esistente, vedi Aggiornamento di un percorso nella Guida per l'AWS CloudTrail utente. In Gestione degli eventi, per APIattività, scegli Leggi e scrivi.

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

Requisiti correlati: PCI DSS v3.2.1/3.4, CIS AWS Foundations Benchmark v1.2.0/2.7, Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), 3, 8, 8 (1), CIS AWS (10), .800-53.r5 SI-7 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (6), v4.0.1/10.3.2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST PCI DSS

Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::CloudTrail::Trail

Regola AWS Config : cloud-trail-encryption-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se CloudTrail è configurato per utilizzare la crittografia lato server ()SSE. AWS KMS key Il controllo ha esito negativo se KmsKeyId non è definito.

Per un ulteriore livello di sicurezza per i file di CloudTrail registro sensibili, è consigliabile utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) per i file di CloudTrail registro per la crittografia a riposo. Tieni presente che, per impostazione predefinita, i file di log forniti dai CloudTrail tuoi bucket sono crittografati mediante crittografia lato server di Amazon con chiavi di crittografia gestite da Amazon S3 (-S3). SSE

Correzione

Per abilitare SSE la KMS crittografia per i file di CloudTrail registro, consulta Aggiornare un percorso per utilizzare una chiave nella Guida per l'utente. KMS AWS CloudTrail

[CloudTrail.3] Almeno un CloudTrail trail deve essere abilitato

Requisiti correlati: PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, v3.2.1/10.2.5, v3.2.1/10.2.6, v3.2.1/10.2.7, v3.2.1/10.3.1, v3.2.1/10.3.2, v3.2.1/10.3.2, v3.2.1/10.3.3, v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv3.2.1/10.3.6, PCI DSS v4.0.1/10.2.1

Categoria: Identificazione > Registrazione

Gravità: alta

Tipo di risorsa: AWS::::Account

Regola AWS Config : cloudtrail-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un AWS CloudTrail percorso è abilitato nel tuo Account AWS. Il controllo fallisce se il tuo account non ha almeno un CloudTrail trail abilitato.

Tuttavia, alcuni AWS servizi non consentono la registrazione di tutti APIs gli eventi. È necessario implementare eventuali percorsi di controllo aggiuntivi diversi da quelli indicati nella sezione Servizi CloudTrail e integrazioni CloudTrail supportati e consultare la documentazione relativa a ciascun servizio.

Correzione

Per iniziare CloudTrail e creare un percorso, consulta il AWS CloudTrail tutorial Guida introduttiva nella Guida per l'AWS CloudTrail utente.

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

Requisiti correlati: PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, Foundations Benchmark v1.2.0/2.2, Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, CIS AWS .800-53.r5 AU-9, .800-53.r5 SI-4, .800-53.r5 SI-7 (1), CIS AWS NIST .800-53.r5 SI-7 (3), .800-53.5 SI-7 (7), versione 4.0.1/10.3.2 NIST NIST NIST NIST PCI DSS

Categoria: Protezione dei dati > Integrità dei dati

Gravità: bassa

Tipo di risorsa: AWS::CloudTrail::Trail

Regola AWS Config : cloud-trail-log-file-validation-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se la convalida dell'integrità dei file di registro è abilitata su una CloudTrail traccia.

CloudTrail la convalida dei file di registro crea un file digest con firma digitale che contiene un hash di ogni log che scrive CloudTrail su Amazon S3. Puoi utilizzare questi file digest per determinare se un file di registro è stato modificato, eliminato o è rimasto invariato dopo la consegna del log. CloudTrail

Security Hub consiglia di abilitare la convalida dei file su tutti i percorsi. La convalida dei file di registro fornisce ulteriori controlli di integrità dei CloudTrail registri.

Correzione

Per abilitare la convalida dei file di CloudTrail registro, vedere Attivazione della convalida dell'integrità dei file di registro CloudTrail nella Guida per l'utente.AWS CloudTrail

[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

Requisiti correlati: PCI DSS v3.2.1/10.5.3, CIS AWS Foundations Benchmark v1.2.0/2.4, Foundations Benchmark v1.4.0/3.4, (4), CIS AWS (26), (9), (9), NIST .800-53.r5 SI-20, .800-53.r5 SI-3 NIST.800-53.r5 AC-2 (8), NIST.800-53.r5 AC-4 .800-53.r5 SI-4 NIST.800-53.r5 AC-6 (20), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7 .800-53.r5 SI-4 NIST.800-53.r5 SC-7 (5), .800-53.r5 SI-4 (5), .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-4 (5), .800-53.r5 3,5 SI-7 (8) NIST NIST NIST

Categoria: Identificazione > Registrazione

Gravità: bassa

Tipo di risorsa: AWS::CloudTrail::Trail

Regola AWS Config : cloud-trail-cloud-watch-logs-enabled

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se i CloudTrail trail sono configurati per inviare log a CloudWatch Logs. Il controllo fallisce se la CloudWatchLogsLogGroupArn proprietà del percorso è vuota.

CloudTrail registra AWS API le chiamate effettuate in un determinato account. Le informazioni registrate includono quanto segue:

CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di registro. Puoi acquisire CloudTrail i log in un bucket S3 specificato per analisi a lungo termine. Per eseguire analisi in tempo reale, puoi configurare l'invio dei log CloudTrail a Logs. CloudWatch

Per un percorso abilitato in tutte le regioni di un account, CloudTrail invia i file di registro da tutte le regioni a un gruppo di log dei CloudWatch registri.

Security Hub consiglia di inviare i log a CloudTrail CloudWatch Logs. Tieni presente che questa raccomandazione ha lo scopo di garantire che l'attività dell'account venga rilevata, monitorata e attivata in modo appropriato. Puoi usare CloudWatch Logs per configurarlo con il tuo. Servizi AWS Questa raccomandazione non preclude l'uso di una soluzione diversa.

L'invio di CloudTrail log a CloudWatch Logs facilita la registrazione storica e in tempo reale delle attività in base all'utenteAPI, alla risorsa e all'indirizzo IP. È possibile utilizzare questo approccio per stabilire allarmi e notifiche per attività anomale o riservate dell'account.

Correzione

Per l'integrazione CloudTrail con CloudWatch i registri, consulta Invio di eventi ai CloudWatch registri nella Guida per l'utente.AWS CloudTrail

[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/2.3, Foundations Benchmark v1.4.0/3.3, v4.0.1/1.4.4 CIS AWS PCI DSS

Categoria: Identificazione > Registrazione

Severità: critica

Tipo di risorsa: AWS::S3::Bucket

AWS Config regola: Nessuna (regola personalizzata del Security Hub)

Tipo di pianificazione: periodica e con attivazione di modifiche

Parametri: nessuno

CloudTrail registra una registrazione di ogni API chiamata effettuata nel tuo account. Questi file di registro sono archiviati in un bucket S3. CISconsiglia di applicare la policy del bucket S3, o access control list (ACL), al bucket S3 che CloudTrail registra per impedire l'accesso pubblico ai log. CloudTrail Consentire l'accesso pubblico ai contenuti dei CloudTrail log potrebbe aiutare un avversario a identificare i punti deboli nell'uso o nella configurazione dell'account interessato.

Per eseguire questo controllo, Security Hub utilizza innanzitutto una logica personalizzata per cercare il bucket S3 in cui sono CloudTrail archiviati i log. Utilizza quindi le regole AWS Config gestite per verificare che il bucket sia accessibile pubblicamente.

Se aggregate i log in un unico bucket S3 centralizzato, Security Hub esegue il controllo solo rispetto all'account e alla regione in cui si trova il bucket S3 centralizzato. Per altri account e regioni, lo stato del controllo è Nessun dato.

Se il bucket è accessibile pubblicamente, il controllo genera un risultato non riuscito.

Correzione

Per bloccare l'accesso pubblico al tuo bucket CloudTrail S3, consulta Configurazione delle impostazioni di blocco dell'accesso pubblico per i tuoi bucket S3 nella Guida per l'utente di Amazon Simple Storage Service. Seleziona tutte e quattro le impostazioni di accesso pubblico a blocchi di Amazon S3.

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

Requisiti correlati: CIS AWS Foundations Benchmark v1.2.0/2.6, Foundations Benchmark v1.4.0/3.6, Foundations Benchmark v3.0.0/3.4, v4.0.1/10.2.1 CIS AWS CIS AWS PCI DSS

Categoria: Identificazione > Registrazione

Gravità: bassa

Tipo di risorsa: AWS::S3::Bucket

AWS Config regola: Nessuna (regola personalizzata del Security Hub)

Tipo di pianificazione: periodica

Parametri: nessuno

La registrazione degli accessi al bucket S3 genera un registro che contiene i record di accesso per ogni richiesta effettuata al bucket S3. Un record dei log di accesso contiene dettagli sulla richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e l'ora e la data di elaborazione della richiesta.

CISconsiglia di abilitare la registrazione degli accessi ai bucket sul bucket S3. CloudTrail

L'abilitazione della registrazione di bucket S3 su bucket S3 di destinazione consente di acquisire tutti gli eventi che potrebbero influenzare gli oggetti in un bucket di destinazione. La configurazione dei log da inserire in un bucket separato consente l'accesso alle informazioni di log, che possono essere utili nei flussi di lavoro di risposta a sicurezza ed errori.

Per eseguire questo controllo, Security Hub utilizza innanzitutto una logica personalizzata per cercare il bucket in cui sono archiviati CloudTrail i log e quindi utilizza la regola AWS Config gestita per verificare se la registrazione è abilitata.

Se CloudTrail invia file di log da più bucket Amazon S3 di destinazione Account AWS in un unico bucket Amazon S3, Security Hub valuta questo controllo solo rispetto al bucket di destinazione nella regione in cui si trova. Questo semplifica le tue scoperte. Tuttavia, dovresti attivare CloudTrail tutti gli account che inviano i log al bucket di destinazione. Per tutti gli account tranne quello che contiene il bucket di destinazione, lo stato del controllo è Nessun dato.

Correzione

Per abilitare la registrazione dell'accesso al server per il tuo bucket CloudTrail S3, consulta Enabling Amazon S3 server access logging nella Amazon Simple Storage Service User Guide.

[CloudTrail.9] i percorsi devono essere etichettati CloudTrail

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::CloudTrail::Trail

AWS Config regola: tagged-cloudtrail-trail (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un AWS CloudTrail percorso contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il percorso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il percorso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e alle risorse. AWS È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.

Correzione

Per aggiungere tag a un CloudTrail percorso, vedi AddTagsnella Guida di riferimento.AWS CloudTrail API