Controles do Security Hub para CloudTrail - AWS Security Hub
[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3[CloudTrail.9] CloudTrail trilhas devem ser marcadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para CloudTrail

Esses controles do Security Hub avaliam o AWS CloudTrail serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIST.800-53.r5 AC-4 (22) NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

Categoria: Identificar > Registro em log

Severidade: alta

Tipo de recurso: AWS::::Account

Regra do AWS Config : multi-region-cloudtrail-enabled

Tipo de programação: Periódico

Parâmetros:

  • readWriteType: ALL (não personalizável)

    includeManagementEvents: true (não personalizável)

Esse controle verifica se há pelo menos uma AWS CloudTrail trilha multirregional que captura eventos de gerenciamento de leitura e gravação. O controle falhará se CloudTrail estiver desativado ou se não houver pelo menos uma CloudTrail trilha que capture eventos de gerenciamento de leitura e gravação.

AWS CloudTrail grava AWS API chamadas para sua conta e entrega arquivos de log para você. As informações registradas incluem as seguintes informações:

  • Identidade do API chamador

  • Hora da API chamada

  • Endereço IP de origem do API chamador

  • Parâmetros de solicitação

  • Elementos de resposta retornados pelo Serviço da AWS

CloudTrail fornece um histórico de AWS API chamadas para uma conta, incluindo API chamadas feitas a partir das ferramentas de linha de comando AWS Management Console AWS SDKs,,. O histórico também inclui API chamadas de nível superior Serviços da AWS , como. AWS CloudFormation

O histórico de AWS API chamadas produzido pela CloudTrail permite análise de segurança, rastreamento de alterações de recursos e auditoria de conformidade. As trilhas de várias regiões também oferecem os seguintes benefícios.

  • A trilha de várias regiões ajuda a detectar atividades inesperadas que ocorram em regiões não utilizadas de outra forma.

  • Uma trilha de várias regiões garante que o registro em log de eventos do serviço global esteja habilitado para uma trilha por padrão. O registro global de eventos de serviços registra eventos gerados por serviços AWS globais.

  • Para uma trilha multirregional, os eventos de gerenciamento de todas as operações de leitura e gravação garantem que as operações de gerenciamento de CloudTrail registros em todos os recursos em uma Conta da AWS.

Por padrão, as CloudTrail trilhas criadas usando o AWS Management Console são trilhas multirregionais.

Correção

Para criar uma nova trilha multirregional em CloudTrail, consulte Criação de uma trilha no Guia do AWS CloudTrail usuário. Use os seguintes valores:

Campo Valor

Configurações adicionais, validação do arquivo de log

Habilitado

Escolha eventos de registro, eventos de gerenciamento, API atividade

Ler e Gravar. Desmarque as caixas de seleção para exclusões.

Para atualizar uma trilha existente, consulte Atualizar uma trilha no Guia do usuário do AWS CloudTrail . Em Eventos de gerenciamento, para APIatividade, escolha Ler e Gravar.

[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

Requisitos relacionados: PCI DSS v3.2.1/3.4, CIS AWS Foundations Benchmark v1.2.0/2.7, Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), 3, 8, CIS AWS 8 (1), (10), .800-53.r5 SI-7 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (6) NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::CloudTrail::Trail

Regra do AWS Config : cloud-trail-encryption-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se CloudTrail está configurado para usar a criptografia do lado do servidor ()SSE. AWS KMS key O controle falha se KmsKeyId não estiver definido.

Para uma camada adicional de segurança para seus arquivos de CloudTrail log confidenciais, você deve usar criptografia do lado do servidor com AWS KMS keys (SSE-KMS) para seus arquivos de CloudTrail log para criptografia em repouso. Observe que, por padrão, os arquivos de log entregues CloudTrail aos seus buckets são criptografados pela criptografia do lado do servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (-S3). SSE

Correção

Para ativar SSE a KMS criptografia para arquivos de CloudTrail log, consulte Atualizar uma trilha para usar uma KMS chave no Guia do AWS CloudTrail usuário.

[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada

Requisitos relacionados: PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, v3.2.1/10.2.2, v3.2.1/10.2.3, v3.2.1/10.2.4, v3.2.1/10.2.5, v3.2.1/10.2.6, v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.5,, PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv3.2.1/10.3.6

Categoria: Identificar > Registro em log

Severidade: alta

Tipo de recurso: AWS::::Account

Regra do AWS Config : cloudtrail-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se uma AWS CloudTrail trilha está habilitada no seu Conta da AWS. O controle falhará se sua conta não tiver pelo menos uma CloudTrail trilha ativada.

No entanto, alguns AWS serviços não permitem o registro de todos APIs os eventos. Você deve implementar quaisquer trilhas de auditoria adicionais além de CloudTrail revisar a documentação de cada serviço em Serviços e Integrações CloudTrail Suportados.

Correção

Para começar CloudTrail e criar uma trilha, consulte o AWS CloudTrail tutorial Introdução no Guia do AWS CloudTrail usuário.

[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada

Requisitos relacionados: PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, Foundations Benchmark v1.2.0/2.2, Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, .800-53.r5 AU-9, .800-53.r5 SI-4, CIS AWS .800-53.r5 SI-7 (1), .800-53.r5 SI-7 (3), CIS AWS .800-53.r5 r5 SI-7 (7) NIST NIST NIST NIST NIST

Categoria: Proteção de dados > Integridade dos dados

Severidade: baixa

Tipo de recurso: AWS::CloudTrail::Trail

Regra do AWS Config : cloud-trail-log-file-validation-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a validação da integridade do arquivo de log está habilitada em uma CloudTrail trilha.

CloudTrail a validação do arquivo de log cria um arquivo de resumo assinado digitalmente que contém um hash de cada log CloudTrail gravado no Amazon S3. Você pode usar esses arquivos de resumo para determinar se um arquivo de log foi alterado, excluído ou inalterado após a CloudTrail entrega do log.

O Security Hub recomenda que você ative a validação de arquivos em todas as trilhas. A validação do arquivo de log fornece verificações adicionais de integridade dos CloudTrail registros.

Correção

Para ativar a validação do arquivo de CloudTrail log, consulte Habilitando a validação da integridade do arquivo de log CloudTrail no Guia AWS CloudTrail do usuário.

[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs

Requisitos relacionados: PCI DSS v3.2.1/10.5.3, Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2 (4), CIS AWS (26), (9),, (9), .800-53.r5 SI-20, .800-53.r5 SI-3 NIST.800-53.r5 AC-4 (8), NIST.800-53.r5 AC-6 .800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-4 (5), .800-53.5r SI-7 (8) NIST NIST NIST NIST

Categoria: Identificar > Registro em log

Severidade: baixa

Tipo de recurso: AWS::CloudTrail::Trail

Regra do AWS Config : cloud-trail-cloud-watch-logs-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se as CloudTrail trilhas estão configuradas para enviar registros para o CloudWatch Logs. O controle falhará se a propriedade CloudWatchLogsLogGroupArn da trilha estiver vazia.

CloudTrail grava AWS API chamadas feitas em uma determinada conta. As informações gravadas incluem o seguinte:

  • A identidade do API chamador

  • A hora da API chamada

  • O endereço IP de origem do API chamador

  • Parâmetros de solicitação

  • Os elementos de resposta retornados pelo Serviço da AWS

CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de log. Você pode capturar CloudTrail registros em um bucket S3 especificado para análise de longo prazo. Para realizar análises em tempo real, você pode configurar o CloudTrail envio de registros para o CloudWatch Logs.

Para uma trilha ativada em todas as regiões de uma conta, CloudTrail envia arquivos de registro de todas essas regiões para um grupo de CloudWatch registros de registros.

O Security Hub recomenda que você envie CloudTrail registros para o CloudWatch Logs. Observe que essa recomendação tem como objetivo garantir que a atividade da conta seja capturada, monitorada e devidamente alertada. Você pode usar o CloudWatch Logs para configurar isso com seu Serviços da AWS. Essa recomendação não impede o uso de uma solução diferente.

O envio de CloudTrail CloudWatch registros para o Logs facilita o registro histórico e em tempo real de atividades com base no usuárioAPI, no recurso e no endereço IP. Você pode usar essa abordagem para estabelecer alertas e notificações de atividades anormais ou confidenciais da conta.

Correção

Para fazer a integração CloudTrail com o CloudWatch Logs, consulte Enviar eventos para o CloudWatch Logs no Guia AWS CloudTrail do usuário.

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.3, Foundations Benchmark v1.4.0/3.3 CIS AWS

Categoria: Identificar > Registro em log

Severidade: crítica

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: periódico e acionado por alterações

Parâmetros: nenhum

CloudTrail registra um registro de todas as API chamadas feitas em sua conta. Esses arquivos de log são armazenados em um bucket do S3. CISrecomenda que a política de bucket do S3, ou lista de controle de acesso (ACL), seja aplicada ao bucket do S3 que CloudTrail registra para impedir o CloudTrail acesso público aos registros. Permitir o acesso público ao conteúdo do CloudTrail registro pode ajudar um adversário a identificar pontos fracos no uso ou na configuração da conta afetada.

Para executar essa verificação, o Security Hub primeiro usa a lógica personalizada para procurar o bucket do S3 em que seus CloudTrail registros estão armazenados. Em seguida, ele usa as regras AWS Config gerenciadas para verificar se o bucket está acessível ao público.

Se você agregar seus registros em um único bucket do S3 centralizado, o Security Hub executará a verificação somente na conta e na região em que o bucket do S3 centralizado está localizado. Para outras contas e regiões, o status do controle é Sem dados.

Se o bucket for acessível ao público, a verificação gerará uma descoberta com falha.

Correção

Para bloquear o acesso público ao seu bucket do CloudTrail S3, consulte Como definir configurações de bloqueio de acesso público para seus buckets do S3 no Guia do usuário do Amazon Simple Storage Service. Selecione todas as quatro configurações de bloqueio de acesso público do Amazon S3.

[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.6, Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4 CIS AWS

Categoria: Identificar > Registro em log

Severidade: baixa

Tipo de recurso: AWS::S3::Bucket

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

O registro de acesso ao bucket do S3 gera um log que contém os registros de acesso para cada solicitação feita no bucket do S3. Um registro contém detalhes sobre a solicitação, tais como o tipo da solicitação, os recursos especificados na solicitação e a data e hora em que a solicitação foi processada.

CISrecomenda que você habilite o registro de acesso ao bucket no bucket do CloudTrail S3.

Ao habilitar o registro em log do bucket do S3 em buckets do S3 de destino, é possível capturar todos os eventos que podem afetar objetos em um bucket de destino. Configurar os logs para serem colocados em um bucket separado permite o acesso às informações de log, o que pode ser útil em fluxos de resposta a incidentes e segurança.

Para executar essa verificação, o Security Hub primeiro usa a lógica personalizada para procurar o bucket em que seus CloudTrail registros estão armazenados e, em seguida, usa a regra AWS Config gerenciada para verificar se o registro está ativado.

Se CloudTrail entregar arquivos de log de vários Contas da AWS em um único bucket Amazon S3 de destino, o Security Hub avalia esse controle somente em relação ao bucket de destino na região em que ele está localizado. Isso simplifica suas descobertas. No entanto, você deve ativar CloudTrail todas as contas que entregam registros ao bucket de destino. Para todas as contas, exceto aquela que contém o bucket de destino, o status do controle é Sem dados.

Se o bucket for acessível ao público, a verificação gerará uma descoberta com falha.

Correção

Para habilitar o registro de acesso ao servidor para seu bucket do CloudTrail S3, consulte Habilitar o registro de acesso ao servidor Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

[CloudTrail.9] CloudTrail trilhas devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::CloudTrail::Trail

Regra AWS Config : tagged-cloudtrail-trail (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub
requiredTagKeys Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. StringList Lista de tags que atendem aos AWS requisitos No default value

Esse controle verifica se uma AWS CloudTrail trilha tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a trilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a trilha não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a uma CloudTrail trilha, consulte AddTagsna AWS CloudTrail APIReferência.