CloudWatch の Security Hub コントロール - AWS Security Hub
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.5] CloudTrail AWS Config 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.9] AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch の Security Hub コントロール

これらのコントロールは、Amazon CloudWatch サービスとリソースを評価します。

これらのコントロールは、すべての AWS リージョン で使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります

関連する要件: PCI DSS v3.2.1/7.2.1、CIS AWS Foundations Benchmark v1.2.0/1.1、CIS AWS Foundations Benchmark v1.2.0/3.3、CIS AWS Foundations Benchmark v1.4.0/1.7、CIS AWS Foundations Benchmark v1.4.0/4.3

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

ルートユーザーは、AWS アカウント のすべてのリソースとサービスに完全かつ無制限にアクセスできます。日常的なタスクにはルートユーザーを使用しないことが強く推奨されます。ルートユーザーの使用を最小限にし、アクセス管理の最小特権の原則を採用することにより、高い権限を持つ認証情報の意図しない変更や偶発的な開示のリスクが軽減されます。

ベストプラクティスは、アカウントおよびサービスの管理タスクを実行するときに必要となる場合のみ、ルートユーザー認証情報を使用することです。AWS Identity and Access Management (IAM) ポリシーは直接ユーザーに適用するのではなく、グループとロールに適用します。日常的に使用する管理者を設定する方法のチュートリアルについては、「IAM ユーザーガイド」の「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 1.7 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.1

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、不正な API コールに対するメトリクスフィルターとアラームを作成することを推奨しています。不正な API コールをモニタリングすることでアプリケーションエラーを明らかにし、悪意のあるアクティビティを検出するのにかかる時間を短縮できる可能性があります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.2 のコントロール 3.1 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.2

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、MFA で保護されていないコンソールログインに対するメトリクスフィルターとアラームを作成することを推奨しています。単一要素のコンソールログインをモニタリングすることにより、MFA によって保護されていないアカウントへの可視性が向上します。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.2 のコントロール 3.2 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    { ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.4、CIS AWS Foundations Benchmark v1.4.0/4.4

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行するかどうかを確認します。

CIS では、IAM ポリシーに加えられた変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

注記

これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは IAM API 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.5] CloudTrail AWS Config 設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.5、CIS AWS Foundations Benchmark v1.4.0/4.5

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、CloudTrail 構成設定の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、アカウント内のアクティビティを継続的に可視化できます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.5 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.6] AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.6、CIS AWS Foundations Benchmark v1.4.0/4.6

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、コンソール認証の試行の失敗に対するメトリクスフィルターとアラームを作成することを推奨しています。コンソールログインの失敗をモニタリングすることにより、認証情報へのブルートフォース攻撃の試行の検出にかかるリードタイムを短縮できる可能性があり、ソース IP などの、他のイベント相関で使用できるインジケータが得られる可能性もあります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.6 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.7、CIS AWS Foundations Benchmark v1.4.0/4.7

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、状態が無効またはスケジュールされた削除に変更されたカスタマーマネージドキーに対するメトリクスフィルターとアラームを作成することを推奨しています。無効になっているか、または削除されたキーで暗号化されたデータには、アクセスできなくなります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.7 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。ExcludeManagementEventSourceskms.amazonaws.com を含む場合も、コントロールは失敗します。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.8、CIS AWS Foundations Benchmark v1.4.0/4.8

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、S3 バケットポリシーの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、機密性の高い S3 バケットの過剰な権限のあるポリシーを検出して修正するまでの時間を短縮できます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.8 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.9] AWS Config 設定の変更に対してログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.9、CIS AWS Foundations Benchmark v1.4.0/4.9

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。

CIS では、AWS Config 構成設定の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、アカウント内の設定項目を継続的に可視化できます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.9 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.10、CIS AWS Foundations Benchmark v1.4.0/4.10

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。セキュリティグループは、VPC の入力トラフィックと出力トラフィックを制御するステートフルパケットフィルターです。

CIS では、セキュリティグループの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、リソースやサービスが意図せずに公開されないようにできます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.10 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.11、CIS AWS Foundations Benchmark v1.4.0/4.11

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。NACL は、VPC 内のサブネットの入力トラフィックと出力トラフィックを制御するためのステートレスパケットフィルターとして使用されます。

CIS では、NACL の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、AWS リソースやサービスが意図せずに公開されないようにできます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.11 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.12、CIS AWS Foundations Benchmark v1.4.0/4.12

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。ネットワークゲートウェイは、VPC の外部にある送信先との間でトラフィックを送受信する必要があります。

CIS では、ネットワークゲートウェイの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、すべての入力トラフィックと出力トラフィックが制御されたパスを通じて VPC 境界を通過するようになります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.2 のコントロール 4.12 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.13、CIS AWS Foundations Benchmark v1.4.0/4.13

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行するかどうかを確認します。ルーティングテーブルは、サブネット間およびネットワークゲートウェイへのネットワークトラフィックをルーティングします。

CIS では、ルートテーブルの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、すべての VPC トラフィックが確実に想定どおりのパスを通過するようにできます。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

注記

これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは Amazon Elastic Compute Cloud (EC2) 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.14] VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

関連する要件: CIS AWS Foundations Benchmark v1.2.0/3.14、CIS AWS Foundations Benchmark v1.4.0/4.14

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

CloudTrail ログを CloudWatch Logs に転送し、対応するメトリクスフィルターとアラームを設定することにより、API コールのリアルタイムモニタリングを実行できます。1 つのアカウントに複数の VPC を含めることができるのに加えて、2 つの VPC 間にピア接続を作成し、ネットワークトラフィックを VPC 間でルーティングすることができます。

CIS では、VPC の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.14 に規定された正確な監査ステップを実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、現在のアカウントが使用する CloudTrail 追跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織の証跡はデフォルトではマルチリージョンの追跡であり、AWS Organizations 管理アカウントまたは CloudTrail の委任された管理者アカウントでのみ管理できます。組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. すべての AWS リージョン に適用される CloudTrail 追跡を作成します。手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail 追跡に関連付ける CloudWatch Logs ロググループの名前を書き留めます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターの作成」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、「Amazon CloudWatch Logs ユーザーガイド」の「ロググループのメトリクスフィルターに基づく CloudWatch アラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    your-metric-name が以下の条件の場合...

    以上

    条件は...

    1

[CloudWatch.15] CloudWatch アラームには、指定されたアクションが設定されている必要があります

カテゴリ: 検出 > 検出サービス

関連する要件: NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 IR-4(1)、NIST.800-53.r5 IR-4(5)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)

重要度:

リソースタイプ : AWS::CloudWatch::Alarm

AWS Config ルール: cloudwatch-alarm-action-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

alarmActionRequired

パラメータが true に設定されていて、アラームの状態が ALARM に変わるとアラームがアクションを起こす場合に、コントロールが PASSED 検出結果を生成します。

ブール値

カスタマイズ不可

true

insufficientDataActionRequired

パラメータが true に設定されていて、アラームの状態が INSUFFICIENT_DATA に変わるとアラームがアクションを起こす場合に、コントロールが PASSED 検出結果を生成します。

ブール値

true 、、または false

false

okActionRequired

パラメータが true に設定されていて、アラームの状態が OK に変わるとアラームがアクションを起こす場合に、コントロールが PASSED 検出結果を生成します。

ブール値

true 、、または false

false

このコントロールは、Amazon CloudWatch アラームに ALARM 状態に応じて設定されたアクションが 1 つ以上あるかどうかを確認します。ALARM 状態に対して設定されたアクションがアラームにない場合、コントロールは失敗します。必要に応じて、カスタムパラメータ値を含めて、INSUFFICIENT_DATA 状態または OK 状態のアラームアクションを要求することもできます。

注記

Security Hub は、CloudWatch メトリクスアラームに基づいてこのコントロールを評価します。メトリクスアラームは、指定されたアクションが設定された複合アラームの一部である場合があります。コントロールは、次の場合に FAILED 検出結果を生成します。

  • 指定されたアクションは、メトリクスアラーム用に設定されていません。

  • メトリクスアラームは、指定されたアクションが設定された複合アラームの一部です。

このコントロールは CloudWatch アラームでアラームアクションが設定されているかどうかに重点を置いていますが、CloudWatch.17 は CloudWatch アラームアクションのアクティベーションステータスに重点を置いています。

モニタリング対象のメトリクスが定義されたしきい値を超えると自動的に警告する CloudWatch アラームアクションを使用することをお勧めします。アラームをモニタリングすることで、異常なアクティビティを特定し、アラームが特定の状態になったときのセキュリティや運用上の問題に迅速に対応できます。アラームアクションの最も一般的なタイプは、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを送信して、1 人または複数のユーザーに通知することです。

修正

CloudWatch アラームでサポートされているアクションの詳細については、「Amazon CloudWatch ユーザーガイド」の「アラームアクション」を参照してください。

[CloudWatch.16] CloudWatch ロググループは指定した期間保持する必要があります

カテゴリ: 識別 > ログ記録

関連する要件: NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-11、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-12

重要度:

リソースタイプ : AWS::Logs::LogGroup

AWS Config ルール: cw-loggroup-retention-period-check

スケジュールタイプ: 定期的

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

minRetentionTime

CloudWatch ロググループの最小保持期間 (日数)

列挙型

365, 400, 545, 731, 1827, 3653

365

このコントロールは、Amazon CloudWatch ロググループの保持期間が少なくとも指定された日数以上あるかどうかをチェックします。保持期間が指定された日数未満の場合、コントロールは失敗します。保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 365 日を使用します。

CloudWatch Logs により、スケーラビリティに優れた 1 つのサービスで、すべてのシステム、アプリケーション、AWS のサービス からのログを一元管理できます。CloudWatch Logs を使用して、Amazon Elastic Compute Cloud (EC2) インスタンス、AWS CloudTrail、Amazon Route 53 およびその他のソースからログファイルをモニタリング、保存、およびアクセスすることができます。ログを少なくとも 1 年間保存することで、ログ保持標準への準拠に役立ちます。

修正

ログ保持の設定については、「Amazon CloudWatch ユーザーガイド」の「CloudWatch Logs でログデータ保管期間を変更する」を参照してください。

[CloudWatch.17] CloudWatch アラームアクションをアクティブにする必要があります

カテゴリ: 検出 > 検出サービス

関連する要件: NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-4(12)

重要度:

リソースタイプ : AWS::CloudWatch::Alarm

AWS Config ルール: cloudwatch-alarm-action-enabled-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、CloudWatch アラームアクションがアクティブになっているかどうかをチェックします (ActionEnabled を true に設定する必要があります)。CloudWatch アラームのアラームアクションが非アクティブ化されていると、コントロールは失敗します。

注記

Security Hub は、CloudWatch メトリクスアラームに基づいてこのコントロールを評価します。メトリクスアラームは、アラームアクションがアクティブ化された複合アラームの一部である場合があります。コントロールは、次の場合に FAILED 検出結果を生成します。

  • 指定されたアクションは、メトリクスアラーム用に設定されていません。

  • メトリクスアラームは、アラームアクションがアクティブ化された複合アラームの一部です。

このコントロールは CloudWatch アラームアクションのアクティベーションステータスに重点を置いていますが、CloudWatch.15 は CloudWatch アラームで ALARM アクションが設定されているかどうかに重点を置いています。

アラームアクションは、モニタリング対象のメトリクスが定義されたしきい値を超えると自動的に警告します。アラームアクションが非アクティブ化されている場合、アラームの状態が変わってもアクションは実行されず、モニタリング対象メトリクスの変更に関する警告は表示されません。セキュリティや運用上の問題に迅速に対応できるように、CloudWatch アラームアクションをアクティブにすることをお勧めします。

修正

CloudWatch アラームアクションを有効にアクティブにするには (コンソール)

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインの [アラーム] で、[すべてのアラーム] を選択します。

  3. アクションをアクティブにするアラームを選択します。

  4. [アクション] で、[アラームアクション — 新規] を選択し、[有効化] を選択します。

CloudWatch アラームアクションのアクティブ化の詳細については、[Amazon CloudWatch ユーザーガイド]の[アラームアクション]を参照してください。