기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CloudWatch에 대한 Security Hub 제어
이러한 제어는 Amazon CloudWatch 서비스 및 리소스를 평가합니다.
AWS 리전에서는 이러한 제어를 모두 사용하지 못할 수도 있습니다. 자세한 내용은 리전별 제어 기능 사용 가능 여부 섹션을 참조하세요.
[CloudWatch.1] 루트 사용자 사용을 위한 로그 지표 필터 및 경보가 있는지 확인합니다.
관련 요구 사항: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.1,CIS AWS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7,CIS AWS Foundations Benchmark v1.4.0/4.3
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
루트 사용자에게는 AWS 계정의 모든 서비스 및 리소스에 제한 없이 액세스할 수 있습니다. 일상적인 작업에는 루트 사용자를 사용하지 않는 것이 좋습니다. 루트 사용자의 사용을 최소화하고 액세스 관리를 위해 최소 권한 원칙을 채택하면 권한이 높은 보안 인증 정보의 의도하지 않은 변경 및 노출 위험이 줄어듭니다.
계정 및 서비스 관리 작업 수행에 필요한 경우에만 루트 사용자 보안 인증 정보를 사용하는 것이 가장 좋습니다. AWS Identity and Access Management (IAM) 정책을 사용자가 아닌 그룹 및 역할에 직접 적용하세요. 일상적 사용을 위해 관리자를 설정하는 방법에 대한 자습서는 IAM 사용 설명서의 첫 IAM 관리자 및 그룹 생성을 참조하세요.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.2] 무단 API 호출에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.1
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다.
CIS에서는 지표 필터를 생성하고 승인되지 않은 API 호출에 경보를 생성할 것을 권장합니다. 무단 API 호출을 모니터링하면 애플리케이션 오류를 표시하는 데 도움이 되고 악의적인 활동을 탐지하는 시간을 단축할 수 있습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.2
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.2
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다.
CIS에서는 MFA로 보호되지 않는 지표 필터 및 경보 콘솔 로그인을 생성할 것을 권장합니다. 단일 팩터 콘솔 로그인을 모니터링하면 MFA로 보호되지 않는 계정에 대한 가시성이 높아집니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.2
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.4, CIS AWS Foundations Benchmark v1.4.0/4.4
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
이 제어는 CloudTrail 로그를 CloudWatch Logs로 보내고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링하는지 여부를 확인합니다.
CIS에서는 IAM 정책의 변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 인증 및 권한 부여 제어가 영향을 받지 않게 하는 데 도움이 됩니다.
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
참고
이러한 수정 단계에서 권장하는 필터 패턴은 CIS 지침의 필터 패턴과 다릅니다. 권장 필터는 IAM API 호출에서 발생하는 이벤트만 대상으로 합니다.
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.5] AWS Config CloudTrail 기간 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.5, CIS AWS Foundations Benchmark v1.4.0/4.5
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다.
CIS에서는 CloudTrail 구성 설정 변경에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 계정 내 활동에 대해 지속적인 가시성을 확보하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.6, CIS AWS Foundations Benchmark v1.4.0/4.6
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다.
CIS에서는 실패한 콘솔 인증 시도에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 실패한 콘솔 로그인을 모니터링하면 자격 증명에 대한 Brute-Force 공격 시도를 감지하는 데 걸리는 리드 타임이 줄어 다른 이벤트 상관관계에서 사용할 수 있는 지표(예: 소스 IP)를 얻을 수 있습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.7, CIS AWS Foundations Benchmark v1.4.0/4.7
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다.
CIS에서는 상태가 비활성화됨 또는 예약된 삭제로 변경된 고객 관리형 키에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 비활성화되거나 삭제된 키로 암호화된 데이터는 더 이상 액세스할 수 없습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0ExcludeManagementEventSources에 kms.amazonaws.com이 포함된 경우에도 제어가 실패합니다.
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.8, CIS AWS Foundations Benchmark v1.4.0/4.8
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다.
CIS에서는 S3 버킷 정책 변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 민감한 S3 버킷에 관한 허용적인 정책을 감지하고 교정하는 데 걸리는 시간을 줄일 수 있습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.9, CIS AWS Foundations Benchmark v1.4.0/4.9
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다.
CIS에서는 AWS Config 구성 설정 변경에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 계정 내 구성 항목에 대해 지속적인 가시성을 확보하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.10, CIS AWS Foundations Benchmark v1.4.0/4.10
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다. 보안 그룹은 VPC에서 수신 및 발신 트래픽을 제어하는 상태 저장 패킷 필터입니다.
CIS에서는 보안 그룹 변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 리소스 및 서비스가 의도치 않게 노출되는 일을 방지하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.11, CIS AWS Foundations Benchmark v1.4.0/4.11
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다. NACL은 VPC에서 서브넷에 대한 수신 및 발신 트래픽을 제어하기 위한 상태 비저장 패킷 필터로 사용됩니다.
CIS에서는 NACL 변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 AWS 리소스 및 서비스가 의도치 않게 노출되는 일을 방지하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.12, CIS AWS Foundations Benchmark v1.4.0/4.12
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다. 네트워크 게이트웨이는 VPC 밖에 있는 대상에(서) 트래픽을 송수신하는 데 필요합니다.
CIS에서는 네트워크 게이트웨이 변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 모든 수신 및 발신 트래픽이 제어된 경로를 통해 VPC 경계를 통과하게 하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.2
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.13, CIS AWS Foundations Benchmark v1.4.0/4.13
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
이 제어는 CloudTrail 로그를 CloudWatch Logs로 보내고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링하는지 여부를 확인합니다. 라우팅 테이블을 통해 네트워크 트래픽이 서브넷 간에, 그리고 네트워크 게이트웨이로 라우팅됩니다.
CIS에서는 라우팅 테이블 변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 모든 VPC 트래픽이 예상 경로를 따라 흐르게 하는 데 도움이 됩니다.
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
참고
이러한 수정 단계에서 권장하는 필터 패턴은 CIS 지침의 필터 패턴과 다릅니다. 권장 필터는 Amazon Elastic Compute Cloud(EC2) API 호출에서 발생하는 이벤트만 대상으로 합니다.
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.14] VPC 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/3.14, CIS AWS Foundations Benchmark v1.4.0/4.14
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 CloudWatch Logs로 전달하고 해당 지표 필터 및 경보를 설정하여 API 호출을 실시간으로 모니터링할 수 있습니다. 계정에 VPC가 한 개 이상 있을 수 있으므로 VPC 두 개 사이에 피어 연결을 생성하여 네트워크 트래픽이 VPC 간에 라우팅되게 할 수 있습니다.
CIS에서는 VPC 변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 인증 및 권한 부여 제어가 영향을 받지 않게 하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 논리를 사용하여 CIS AWS Foundations Benchmark v1.4.0
참고
Security Hub에서 이 제어에 대한 검사를 수행하면 현재 계정에서 사용하는 CloudTrail 추적을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 조사 결과 다음과 같은 경우, FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우, NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 추적은 기본적으로 다중 리전 추적이며 AWS Organizations 관리 계정 또는 CloudTrail의 위임 관리자 계정으로만 관리할 수 있습니다. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 교차 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보를 받으려면 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 ListSubscriptionsByTopic를 호출하여 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제, AWS CloudTrail 추적, 지표 필터 및 지표 필터에 대한 경보를 생성합니다.
Amazon SNS 주제를 생성합니다. 이에 관한 지침은 Amazon Simple Notification Service 개발자 안내서의 Amazon SNS 시작하기를 참조하세요. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하세요.
모든 AWS 리전에 적용되는 CloudTrail 추적을 생성하세요. 이에 관한 지침은 AWS CloudTrail 사용자 설명서의 추적 생성을 참조하세요.
CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록해 둡니다. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon CloudWatch 사용 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하세요. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
your-metric-name이 다음과 같을 때마다…크거나 같음
…보다
1
[CloudWatch.15] CloudWatch 경보에는 지정된 구성되어 있어야 합니다.
범주: 감지 > 감지 서비스
관련 요구 사항: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4(1), NIST.800-53.r5 IR-4(5), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-4(12), NIST.800-53.r5 SI-4(5)
심각도: 높음
리소스 유형: AWS::CloudWatch::Alarm
AWS Config 규칙: cloudwatch-alarm-action-check
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
파라미터가 |
불 |
사용자 지정할 수 없음 |
|
|
|
파라미터가 |
불 |
|
|
|
|
파라미터가 |
불 |
|
|
이 제어는 Amazon CloudWatch 경보에 ALARM 상태에 대해 구성된 작업이 하나 이상 있는지 확인합니다. ALARM 상태에 대해 활성화된 작업이 경보에 없으면 제어가 실패합니다. 필요에 따라 사용자 지정 파라미터 값을 포함시켜 INSUFFICIENT_DATA 또는 OK 상태에 대한 경보 작업도 요구할 수 있습니다.
참고
Security Hub는 CloudWatch 지표 경보를 기반으로 이 제어를 평가합니다. 메트릭 경보는 지정된 작업이 구성된 복합 경보의 일부일 수 있습니다. 제어는 다음과 같은 경우, FAILED 조사 결과를 생성합니다.
지정된 작업은 메트릭 경보에 대해 구성되지 않습니다.
메트릭 경보는 지정된 작업이 구성된 복합 경보의 일부입니다.
이 제어는 CloudWatch 경보에 경보 작업이 구성되어 있는지 여부에 중점을 두는 반면, CloudWatch.17은 CloudWatch 경보 작업의 활성화 상태에 중점을 둡니다.
모니터링된 지표가 정의된 임계값을 벗어날 때 자동으로 경고하도록 CloudWatch 경보 작업을 권장합니다. 모니터링 경보를 통해 비정상적인 활동을 식별하고 경보가 특정 상태로 전환될 때 보안 및 운영 문제에 신속하게 대응할 수 있습니다. 가장 일반적인 유형의 경보 작업은 Amazon Simple Notification Service(SNS) 주제에 메시지를 전송하여 한 명 이상의 사용자에게 알리는 것입니다.
이제 Security Hub가 와 통합되었습니다
CloudWatch 경보가 지원하는 작업에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서의 경보 작업을 참조하세요.
[CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.
범주: 식별 > 로깅
관련 요구 사항: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-12
심각도: 중간
리소스 유형: AWS::Logs::LogGroup
AWS Config 규칙: cw-loggroup-retention-period-check
스케줄 유형: 주기적
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
CloudWatch 로그 그룹의 최소 보존 기간(일수) |
Enum |
|
|
이 제어는 Amazon CloudWatch 로그 그룹의 보존 기간이 지정된 일수 이상인지 확인합니다. 보존 기간이 지정된 수 미만인 경우, 제어가 실패합니다. 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 365일을 사용합니다.
CloudWatch Logs는 모든 시스템, 애플리케이션 및 AWS 서비스의 로그를 확장성이 뛰어난 단일 서비스로 중앙 집중화합니다. CloudWatch Logs를 사용하여 Amazon Elastic Compute Cloud(EC2) 인스턴스, AWS CloudTrail, Amazon Route 53 및 다른 원본에서 시스템, 애플리케이션 및 사용자 지정 로그 파일을 모니터링, 저장 및 액세스할 수 있습니다. 로그를 1년 이상 보관하면 로그 보존 표준을 준수하는 데 도움이 될 수 있습니다.
이제 Security Hub가 와 통합되었습니다
로그 보존 설정을 구성하려면 Amazon CloudWatch 사용 설명서의 CloudWatch Logs에서 로그 데이터 보존 변경을 참조하세요.
[CloudWatch.17] CloudWatch 경보 조치를 활성화해야 합니다.
범주: 감지 > 감지 서비스
관련 요구 사항: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-4(12)
심각도: 높음
리소스 유형: AWS::CloudWatch::Alarm
AWS Config 규칙: cloudwatch-alarm-action-enabled-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 CloudWatch 경보 조치가 활성화되었는지 확인합니다(ActionEnabled을 true로 설정해야 함). CloudWatch 경보에 대한 경보 작업이 비활성화되면 제어가 실패합니다.
참고
Security Hub는 CloudWatch 지표 경보를 기반으로 이 제어를 평가합니다. 메트릭 경보는 경보 작업이 활성화된 복합 경보의 일부일 수 있습니다. 제어는 다음과 같은 경우, FAILED 조사 결과를 생성합니다.
지정된 작업은 메트릭 경보에 대해 구성되지 않습니다.
메트릭 경보는 경보 작업이 활성화된 복합 경보의 일부입니다.
이 제어는 CloudWatch 경보 작업의 활성화 상태에 초점을 맞추는 반면 CloudWatch.15는 CloudWatch 경보에 ALARM 작업이 구성되어 있는지 여부에 중점을 둡니다.
경보 작업은 모니터링된 지표가 정의된 임계값을 벗어나면 자동으로 경고합니다. 경보 동작이 비활성화되면 경보 상태가 변경될 때 아무 작업도 실행되지 않으며 모니터링되는 지표의 변경에 대한 알림도 받지 않습니다. 보안 및 운영 문제에 신속하게 대응할 수 있도록 CloudWatch 경보 조치를 활성화하는 것이 좋습니다.
이제 Security Hub가 와 통합되었습니다
CloudWatch 경보 작업을 활성화하려면(콘솔)
https://console.aws.amazon.com/cloudwatch/
에서 CloudWatch 콘솔을 엽니다. 탐색 창에서 경보 아래의 모든 경보를 선택합니다.
동작을 활성화할 경보를 선택합니다.
작업에서 경보 작업-새로운을 선택한 다음 활성화를 선택합니다.
CloudWatch 경보 설정에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서의 경보 조치를 참조하세요.
