翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
これらの AWS Security Hub コントロールは、 AWS WAF サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
〔WAF.1] AWS WAF Classic グローバルウェブACLログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-4 (26) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7 (8)PCIDSS、v4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::WAF::WebACL
AWS Config ルール : waf-classic-logging-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、 AWS WAF グローバルウェブ でログ記録が有効になっているかどうかを確認しますACL。ウェブ でログ記録が有効になっていない場合、このコントロールは失敗しますACL。
ログ記録は、 の信頼性、可用性、パフォーマンスを AWS WAF グローバルに維持する上で重要な部分です。これは、多くの組織でビジネスおよびコンプライアンス要件であり、アプリケーションの動作をトラブルシューティングできます。また、アタッチされているウェブによって分析ACLされるトラフィックに関する詳細情報も提供します AWS WAF。
修正
AWS WAF ウェブ のログ記録を有効にするにはACL、「 デベロッパーガイド」の「ウェブACLトラフィック情報のログ記録」を参照してください。 AWS WAF
〔WAF.2] AWS WAF Classic リージョンルールには少なくとも 1 つの条件が必要です
関連する要件: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFRegional::Rule
AWS Config ルール : waf-regional-rule-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF リージョンルールに少なくとも 1 つの条件があるかどうかをチェックします。ルールに条件が 1 つもない場合、このコントロールは失敗します。
WAF リージョンルールには、複数の条件を含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件がないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFリージョンルールは、これらのアクションのいずれかが発生しているという誤った仮定につながる可能性があります。
修正
空のルールに条件を追加する方法については、には、「AWS WAF デベロッパーガイド」の「ルールの条件の追加と削除」を参照してください。
〔WAF.3] AWS WAF Classic リージョンルールグループには、少なくとも 1 つのルールが必要です
関連する要件: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFRegional::RuleGroup
AWS Config ルール : waf-regional-rulegroup-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF リージョンルールグループに少なくとも 1 つのルールがあるかどうかをチェックします。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。
WAF リージョンルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールがないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFリージョンルールグループは、これらのアクションの 1 つが発生しているという誤った仮定につながる可能性があります。
修正
空のルールグループにルールとルール条件を追加するには、「 AWS WAF デベロッパーガイド」のAWS WAF 「 Classic ルールグループからのルールの追加と削除」および「ルール内の条件の追加と削除」を参照してください。
〔WAF.4] AWS WAF Classic Regional Web には、少なくとも 1 つのルールまたはルールグループACLsが必要です
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFRegional::WebACL
AWS Config ルール : waf-regional-webacl-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF Classic Regional ウェブにWAFルールまたはWAFルールグループACLが含まれているかどうかを確認します。ウェブにWAFルールまたはルールグループが含まれていない場合、このコントロールACLは失敗します。
WAF リージョンウェブには、ウェブリクエストを検査および制御するルールとルールグループのコレクションを含めるACLことができます。ウェブACLが空の場合、ウェブトラフィックは、デフォルトのアクションWAFに応じて、 によって検出または処理されずに通過できます。
修正
空の AWS WAF Classic Regional Web にルールまたはルールグループを追加するにはACL、「 AWS WAF デベロッパーガイド」の「ウェブの編集ACL」を参照してください。
〔WAF.6] AWS WAF Classic グローバルルールには少なくとも 1 つの条件が必要です
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAF::Rule
AWS Config ルール : waf-global-rule-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF グローバルルールに条件が含まれているかどうかを確認します。ルールに条件が 1 つもない場合、このコントロールは失敗します。
WAF グローバルルールには、複数の条件を含めることができます。ルールの条件によってトラフィックの検査が可能になり、定義されたアクション (許可、ブロック、カウント) を実行できます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件がないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFグローバルルールは、これらのアクションの 1 つが発生しているという誤った仮定につながる可能性があります。
修正
ルールの作成方法および条件の追加方法については、「AWS WAF デベロッパーガイド」の「ルールの作成と条件の追加」を参照してください。
〔WAF.7] AWS WAF Classic グローバルルールグループには、少なくとも 1 つのルールが必要です
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAF::RuleGroup
AWS Config ルール : waf-global-rulegroup-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF グローバルルールグループに少なくとも 1 つのルールがあるかどうかをチェックします。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。
WAF グローバルルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールがないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFグローバルルールグループは、これらのアクションの 1 つが発生しているという誤った仮定につながる可能性があります。
修正
ルールグループにルールを追加する手順については、「 デベロッパーガイド」の AWS WAF 「 Classic ルールグループの作成」を参照してください。 AWS WAF
〔WAF.8] AWS WAF Classic グローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です
関連する要件: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAF::WebACL
AWS Config ルール : waf-global-webacl-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF グローバルウェブに少なくとも 1 つのWAFルールまたはWAFルールグループACLが含まれているかどうかを確認します。ウェブにWAFルールまたはルールグループが含まれていない場合、コントロールACLは失敗します。
WAF グローバルウェブには、ウェブリクエストを検査および制御するルールとルールグループのコレクションを含めるACLことができます。ウェブACLが空の場合、ウェブトラフィックは、デフォルトのアクションWAFに応じて、 によって検出または処理されずに通過できます。
修正
空の AWS WAF グローバルウェブ にルールまたはルールグループを追加するにはACL、「 AWS WAF デベロッパーガイド」の「ウェブの編集ACL」を参照してください。フィルター で、グローバル (CloudFront) を選択します。
〔WAF.10] AWS WAF ウェブには少なくとも 1 つのルールまたはルールグループACLsが必要です
関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::WAFv2::WebACL
AWS Config ルール : wafv2-webacl-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF V2 ウェブアクセスコントロールリスト (ウェブ ACL) に少なくとも 1 つのルールまたはルールグループが含まれているかどうかを確認します。ウェブにルールまたはルールグループが含まれていない場合、コントロールACLは失敗します。
ウェブACLを使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。ウェブには、ウェブリクエストを検査および制御するルールとルールグループのコレクションが含まれているACL必要があります。ウェブACLが空の場合、ウェブトラフィックは、デフォルトのアクション AWS WAF に応じて、 によって検出または処理されずに通過できます。
修正
空のWAFV2ウェブ にルールまたはルールグループを追加するにはACL、「 AWS WAF デベロッパーガイド」の「ウェブの編集ACL」を参照してください。
〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-4 (26) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、、 NIST.800-53.r5 SC-7(10)、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)PCIDSS、v4.0.1/10.4.2
カテゴリ: 識別 > ログ記録
重要度: 低
リソースタイプ : AWS::WAFv2::WebACL
AWS Config ルール: wafv2-logging-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、 AWS WAF V2 ウェブアクセスコントロールリスト (ウェブ ) のログ記録が有効になっているかどうかを確認しますACL。ウェブ のログ記録が非アクティブ化されると、このコントロールは失敗しますACL。
注記
このコントロールは、Amazon Security Lake を介してアカウントに対して AWS WAF ウェブACLログ記録が有効になっているかどうかをチェックしません。
ログ記録は、 の信頼性、可用性、パフォーマンスを維持します AWS WAF。また、多くの組織において、ログ記録はビジネスおよびコンプライアンス要件となっています。ウェブ によって分析されたトラフィックをログに記録することでACL、アプリケーションの動作をトラブルシューティングできます。
修正
AWS WAF ウェブ のログ記録を有効にするにはACL、「 AWS WAF デベロッパーガイド」の「ウェブのログ記録の管理ACL」を参照してください。
〔WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります
関連する要件: NIST.800-53.r5 AC-4 (26) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、、 NIST.800-53.r5 SC-7(10)、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::WAFv2::RuleGroup
AWS Config ルール: wafv2-rulegroup-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 AWS WAF ルールまたは ルールグループで Amazon CloudWatch メトリクスが有効になっているかどうかを確認します。ルールまたはルールグループで CloudWatch メトリクスが有効になっていない場合、コントロールは失敗します。
AWS WAF ルールとルールグループの CloudWatch メトリクスを設定すると、トラフィックフローを可視化できます。どのACLルールがトリガーされ、どのリクエストが受け入れられ、ブロックされるかを確認できます。この可視性は、関連リソースでの悪意のあるアクティビティを特定するのに役立ちます。
修正
AWS WAF ルールグループで CloudWatch メトリクスを有効にするには、 UpdateRuleGroup を呼び出しますAPI。 AWS WAF ルールで CloudWatch メトリクスを有効にするには、 UpdateWebACL を呼び出しますAPI。CloudWatchMetricsEnabled
フィールドは true
に設定されます。 AWS WAF コンソールを使用してルールまたはルールグループを作成すると、 CloudWatch メトリクスは自動的に有効になります。