翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール CloudTrail

これらの Security Hub コントロールは、 AWS CloudTrail サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔CloudTrail.1] CloudTrail 読み取りと書き込みの管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定する必要があります

関連する要件： CIS AWS Foundations Benchmark v1.2.0/2.1、 CIS AWS Foundations Benchmark v1.4.0/3.1、 CIS AWS Foundations Benchmark v3.0.0/3.1、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9)、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8(22)

カテゴリ: 識別 > ログ記録

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール : multi-region-cloudtrail-enabled

スケジュールタイプ : 定期的

パラメータ:

このコントロールは、読み取りと書き込みの管理イベントをキャプチャするマルチリージョン AWS CloudTrail 証跡が少なくとも 1 つあるかどうかを確認します。 CloudTrail が無効になっているか、読み取りと書き込みの管理イベントをキャプチャする CloudTrail 証跡が少なくとも 1 つ存在しない場合、コントロールは失敗します。

AWS CloudTrail は アカウントの呼び出しを記録 AWS APIし、ログファイルを配信します。記録された情報には、以下の情報が含まれます。

CloudTrail は、、、コマンドラインツールからの呼び出しなど AWS Management Console AWS SDKs、アカウントのAPI呼び出しの AWS API履歴を提供します。履歴には、 AWS のサービス などの上位レベルのAPI呼び出しも含まれます AWS CloudFormation。

によって生成された AWS API呼び出し履歴 CloudTrail により、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。マルチリージョン追跡には、次の利点もあります。

デフォルトでは、 を使用して作成された CloudTrail 証跡はマルチリージョンの証跡 AWS Management Console です。

修正

で新しいマルチリージョン証跡を作成するには CloudTrail、「 AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。以下の値を使用します。

既存の追跡を更新するには、「AWS CloudTrail ユーザーガイド」の「証跡の更新」を参照してください。管理イベントで、APIアクティビティに読み取りと書き込みを選択します。

〔CloudTrail.2] 保管時の暗号化を有効にする CloudTrail 必要があります

関連する要件： PCI DSS v3.2.1/3.4、 CIS AWS Foundations Benchmark v1.2.0/2.7、 CIS AWS Foundations Benchmark v1.4.0/3.7、 CIS AWS Foundations Benchmark v3.0.0/3.5、 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)、PCIDSSv4.0.1/10.3.2

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール : cloud-trail-encryption-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロール CloudTrail は、 がサーバー側の暗号化 (SSE) AWS KMS key 暗号化を使用するように設定されているかどうかをチェックします。KmsKeyId が定義されていない場合、コントロールは失敗します。

機密性の高い CloudTrail ログファイルのセキュリティを強化するには、保管時の暗号化のためにログファイルに AWS KMS keys （SSE-KMS) を使用したサーバー側の暗号化を使用する必要があります。 CloudTrail デフォルトでは、 によってバケット CloudTrail に配信されるログファイルは、Amazon S3-managedされた暗号化キー (SSE-S3) による Amazon サーバー側の暗号化によって暗号化されます。

修正

を有効にするKMSには、 CloudTrail 「 AWS CloudTrail ユーザーガイドSSE」のKMS「キーを使用するように証跡を更新する」を参照してください。

〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります

関連する要件： PCI DSS v3.2.1/10.1、PCIDSSv3.2.1/10.2.1、PCIDSSv3.2.1/10.2.2、PCIDSSv3.2.1/10.2.3、PCIDSSv3.2.1/10.2.4、PCIDSSv3.2.1/10.2.5、PCIDSSv3.2.1/10.2.6、PCIDSSv3.2.1/10.2.7、PCIDSSv3.2.1/10.3.1、PCIDSSv3.2.1/10.3.2、PCIDSSv3.2.1/10.3.3、PCIDSSv3.2.1/10.3.5、10.3.4PCIDSSv3.2.1/10.2.1、PCIDSSvPCIDSS4.0.1/10.3.6

カテゴリ: 識別 > ログ記録

重要度: 高

リソースタイプ : AWS::::Account

AWS Config ルール : cloudtrail-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 で AWS CloudTrail 証跡が有効になっているかどうかを確認します AWS アカウント。アカウントに少なくとも 1 つの CloudTrail 証跡が有効になっていない場合、コントロールは失敗します。

ただし、一部の AWS サービスでは、すべての APIsおよび イベントのログ記録が有効になっていません。以外の追加の監査証跡を実装 CloudTrail し、CloudTrail サポートされているサービスと統合の各サービスのドキュメントを確認する必要があります。

修正

の使用を開始 CloudTrail して証跡を作成するには、「 AWS CloudTrail ユーザーガイド」の「 の開始方法 AWS CloudTrail」チュートリアルを参照してください。

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

関連する要件： PCI DSS v3.2.1/10.5.2、PCIDSSv3.2.1/10.5.5、 CIS AWS Foundations Benchmark v1.2.0/2.2、 CIS AWS Foundations Benchmark v1.4.0/3.2、 CIS AWS Foundations Benchmark v3.0.0/3.2、NIST.800-53.r5 AU-9、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-7(1)、NIST.800-53.r5 SI-7(3)、NIST.800-53.r5 SI-7(7)、PCIDSSv4.0.1/10.3.2

カテゴリ: データ保護 > データの整合性

重要度: 低

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール : cloud-trail-log-file-validation-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、証跡でログファイルの CloudTrail整合性検証が有効になっているかどうかを確認します。

CloudTrail ログファイルの検証では、 が Amazon S3 に CloudTrail 書き込む各ログのハッシュを含むデジタル署名されたダイジェストファイルが作成されます。これらのダイジェストファイルを使用して、 がログを CloudTrail 配信した後にログファイルが変更、削除、または変更されていないかどうかを判断できます。

Security Hub では、すべての追跡でファイルの検証を有効にすることを推奨します。ログファイルの検証では、 CloudTrail ログの整合性チェックが追加されます。

修正

CloudTrail ログファイルの検証を有効にするには、「 AWS CloudTrail ユーザーガイド」の「 のログファイルの整合性検証 CloudTrailを有効にする」を参照してください。

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

関連する要件： PCI DSS v3.2.1/10.5.3、 CIS AWS Foundations Benchmark v1.2.0/2.4、 CIS AWS Foundations Benchmark v1.4.0/3.4、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-4(5)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度: 低

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール : cloud-trail-cloud-watch-logs-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、証 CloudTrail 跡が CloudWatch ログにログを送信するように設定されているかどうかを確認します。追跡の CloudWatchLogsLogGroupArn プロパティが空の場合、コントロールは失敗します。

CloudTrail は、特定のアカウントで行われた呼び出しを記録します AWS API。記録された情報には、以下が含まれます。

CloudTrail はログファイルの保存と配信に Amazon S3 を使用します。長期分析のために、指定された S3 バケットに CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、ログを CloudWatch ログに送信する CloudTrail ように を設定できます。

アカウントのすべてのリージョンで有効になっている証跡の場合、 はそれらのすべてのリージョンのログファイルを Logs CloudWatch ロググループ CloudTrail に送信します。

Security Hub では、 CloudTrail ログを CloudWatch Logs に送信することをお勧めします。この推奨事項は、アカウントアクティビティが確実にキャプチャおよびモニタリングされ、適切なアラームが出されることを確認する目的であることにご注意ください CloudWatch ログを使用して、 でこれをセットアップできます AWS のサービス。この推奨事項は、別のソリューションの使用を除外するものではありません。

Logs CloudWatch に CloudTrail ログを送信すると、ユーザー、、APIリソース、および IP アドレスに基づいて、アクティビティのリアルタイムログ記録と履歴ログ記録が容易になります。この方法を使用して、異常または機密性の高いアカウントアクティビティに対してアラームと通知を確立できます。

修正

CloudWatch ログ CloudTrail と統合するには、「 AWS CloudTrail ユーザーガイド」の CloudWatch 「ログへのイベントの送信」を参照してください。

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

関連する要件： CIS AWS Foundations Benchmark v1.2.0/2.3、 CIS AWS Foundations Benchmark v1.4.0/3.3、PCIDSSv4.0.1/1.4.4

カテゴリ: 識別 > ログ記録

重要度: 非常事態

リソースタイプ : AWS::S3::Bucket

AWS Config ルール： なし (カスタム Security Hub ルール）

スケジュールタイプ: 定期的および変更がトリガーされた場合

パラメータ : なし

CloudTrail は、アカウントで行われたすべてのAPI呼び出しのレコードを記録します。これらのログファイルは S3 バケットに保存されます。 CIS では、 CloudTrail ログへのパブリックアクセスを防ぐために、 CloudTrail ログを記録する S3 バケットに適用される S3 バケットポリシーまたはアクセスコントロールリスト (ACL) を推奨しています。 CloudTrail ログコンテンツへのパブリックアクセスを許可すると、攻撃者は影響を受けるアカウントの使用または設定の弱点を特定するのに役立つ可能性があります。

このチェックを実行するために、Security Hub はまずカスタムロジックを使用して、 CloudTrail ログが保存されている S3 バケットを探します。次に、 AWS Config マネージドルールを使用して、バケットがパブリックにアクセス可能であることを確認します。

ログを単一の集中管理 S3 バケットに集約する場合、Security Hub は、集中管理された S3 バケットがあるアカウントとリージョンに対してのみチェックを実行します。他のアカウントとリージョンでは、コントロールステータスは [No data] (データなし) となります。

バケットがパブリックアクセス可能な場合、チェックにより結果 (失敗) が生成されます。

修正

CloudTrail S3 バケットへのパブリックアクセスをブロックするには、「Amazon Simple Storage Service ユーザーガイド」のS3 バケットのパブリックアクセスブロック設定の構成」を参照してください。4 つの Amazon S3 パブリックアクセスブロック設定をすべて選択します。

〔CloudTrail.7] S3 バケットアクセスログ記録が CloudTrail S3 バケットで有効になっていることを確認する

関連する要件： CIS AWS Foundations Benchmark v1.2.0/2.6、 CIS AWS Foundations Benchmark v1.4.0/3.6、 CIS AWS Foundations Benchmark v3.0.0/3.4、PCIDSSv4.0.1/10.2.1

カテゴリ: 識別 > ログ記録

重要度: 低

リソースタイプ : AWS::S3::Bucket

AWS Config ルール： なし (カスタム Security Hub ルール）

スケジュールタイプ: 定期的

パラメータ : なし

S3 バケットアクセスログ記録により、S3 バケットに対して行われたリクエストごとのアクセスレコードを含むログが生成されます。アクセスログレコードには、リクエストのタイプ、リクエストに指定されたリソース、リクエストが処理された日時など、リクエストの詳細が記録されます。

CIS では、 CloudTrail S3 バケットでバケットアクセスのログ記録を有効にすることをお勧めします。

ターゲット S3 バケットで S3 バケットのログ記録を有効にすることで、ターゲットバケット内のオブジェクトに影響を与える可能性のあるすべてのイベントをキャプチャできます。ログを別のバケットに配置するように設定すると、ログ情報にアクセスできるようになり、セキュリティおよびインシデント対応のワークフローで役立ちます。

このチェックを実行するために、Security Hub はまずカスタムロジックを使用して CloudTrail ログが保存されているバケットを検索し、次に AWS Config マネージドルールを使用してログ記録が有効になっているかどうかを確認します。

が複数の から 1 つの送信先 Amazon S3 バケット AWS アカウント にログファイルを CloudTrail 配信する場合、Security Hub は、そのバケットが配置されているリージョンの送信先バケットに対してのみこのコントロールを評価します。これにより、結果が効率化されます。ただし、送信先バケットにログを配信するすべてのアカウント CloudTrail で を有効にする必要があります。宛先バケットを保持しているアカウントを除くすべてのアカウントの制御ステータスは「データなし」です。

修正

CloudTrail S3 バケットのサーバーアクセスログ記録を有効にするには、Amazon S3 サーバーアクセスログ記録の有効化」を参照してください。

〔CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール: tagged-cloudtrail-trail (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、 AWS CloudTrail 証跡にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。証跡にタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、証跡にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。プリンシIAMパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーを設計して、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

CloudTrail 証跡にタグを追加するには、「 AWS CloudTrail APIリファレンスAddTags」の「」を参照してください。