Controles do Security Hub para CloudWatch

Modo de foco

Controles do Security Hub para CloudWatch - AWS Security Hub

Esses controles avaliam o CloudWatch serviço e os recursos da Amazon.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS AWS Foundations Benchmark v1.4.0/4.3 AWS AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

O usuário raiz tem acesso irrestrito a todos os serviços e recursos da Conta da AWS. É altamente recomendável que você evite usar o usuário raiz para tarefas diárias. Minimizar o uso do usuário raiz e adotar o princípio do menor privilégio para o gerenciamento de acesso reduz o risco de alterações acidentais e divulgação não intencional de credenciais altamente privilegiadas.

Como uma melhor prática, use as credenciais raiz somente quando necessário para realizar tarefas de gerenciamento de serviços e da conta. Aplique políticas AWS Identity and Access Management (IAM) diretamente a grupos e funções, mas não a usuários. Para obter um tutorial sobre como configurar um administrador para uso diário, consulte Criar seu primeiro usuário administrador de IAM e grupo do no Guia do usuário do IAM

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 1.7 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

Quando o Security Hub executa a verificação desse controle, ele procura as CloudTrail trilhas que a conta atual usa. Essas trilhas podem ser trilhas da organização que pertencem a outra conta. As trilhas multirregionais também podem ser baseadas em uma região diferente.

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Para o alarme, a conta atual deve ser proprietária do tópico do Amazon SNS referenciado ou deve ter acesso ao tópico do Amazon SNS chamando ListSubscriptionsByTopic. Caso contrário, o Security Hub gera descobertas de WARNING para o controle.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Criar um alarme com base no filtro Para obter instruções, consulte Criação de um CloudWatch alarme com base em um filtro métrico de grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.1

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro métrico e um alarme para chamadas de API não autorizadas. O monitoramento de chamadas de API não autorizadas ajuda a revelar erros de aplicativo e pode reduzir o tempo para detectar atividades mal-intencionadas.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 3.1 no CIS AWS Foundations Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.errorCode="UnauthorizedOperation") \|\| ($.errorCode="AccessDenied")}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.2

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro e um alarme de métrica para logins de console que não são protegidos por MFA. O monitoramento de logins de console com fator único aumenta a visibilidade em contas que não são protegidas por MFA.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 3.2 no CIS AWS Foundations Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se você monitora as chamadas de API em tempo real direcionando CloudTrail os CloudWatch registros para o Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em políticas do IAM. Monitorar essas alterações ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

nota

Nosso padrão de filtro recomendado nessas etapas de correção difere do padrão de filtro na orientação do CIS. Nossos filtros recomendados têm como alvo somente eventos provenientes de chamadas de API do IAM.

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) \|\| ($.eventName=DeleteRolePolicy) \|\| ($.eventName=DeleteUserPolicy) \|\| ($.eventName=PutGroupPolicy) \|\| ($.eventName=PutRolePolicy) \|\| ($.eventName=PutUserPolicy) \|\| ($.eventName=CreatePolicy) \|\| ($.eventName=DeletePolicy) \|\| ($.eventName=CreatePolicyVersion) \|\| ($.eventName=DeletePolicyVersion) \|\| ($.eventName=AttachRolePolicy) \|\| ($.eventName=DetachRolePolicy) \|\| ($.eventName=AttachUserPolicy) \|\| ($.eventName=DetachUserPolicy) \|\| ($.eventName=AttachGroupPolicy) \|\| ($.eventName=DetachGroupPolicy))}
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.5] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de CloudTrail AWS Config duração

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em opções de configuração do CloudTrail. Monitorar essas alterações ajuda a garantir visibilidade sustentada para atividades na conta.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 4.5 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventName=CreateTrail) \|\| ($.eventName=UpdateTrail) \|\| ($.eventName=DeleteTrail) \|\| ($.eventName=StartLogging) \|\| ($.eventName=StopLogging)}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de AWS Management Console autenticação

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro e um alarme de métrica para tentativas com falha de autenticação no console. O monitoramento de logins de console com falha pode diminuir o tempo necessário para detectar uma tentativa de inserção forçada de uma credencial, o que pode fornecer um indicador, como o IP de origem, que pode ser usado em outras correlações do evento.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 4.6 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O O CIS recomenda que você crie um filtro e um alarme de métrica para CMKs criadas pelo cliente cujo estado foi alterado para desativado ou exclusão programada. Os dados criptografados com chaves desativadas ou excluídas não podem mais ser acessados.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 4.7 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica. O controle também falhará se ExcludeManagementEventSources contiver kms.amazonaws.com.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) \|\| ($.eventName=ScheduleKeyDeletion))}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em políticas de bucket do S3. Monitorar essas alterações pode reduzir o tempo para detectar e corrigir políticas permissivas em buckets do S3 confidenciais.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.8 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) \|\| ($.eventName=PutBucketPolicy) \|\| ($.eventName=PutBucketCors) \|\| ($.eventName=PutBucketLifecycle) \|\| ($.eventName=PutBucketReplication) \|\| ($.eventName=DeleteBucketPolicy) \|\| ($.eventName=DeleteBucketCors) \|\| ($.eventName=DeleteBucketLifecycle) \|\| ($.eventName=DeleteBucketReplication))}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em opções de configuração do AWS Config . Monitorar essas alterações ajuda a garantir a visibilidade sustentada de itens de configuração na conta.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas de auditoria exatas prescritas para o controle 4.9 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) \|\| ($.eventName=DeleteDeliveryChannel) \|\| ($.eventName=PutDeliveryChannel) \|\| ($.eventName=PutConfigurationRecorder))}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os grupos de segurança são um filtro de pacote com estado que controla o tráfego de entrada e saída em uma VPC.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em grupos de segurança. Monitorar essas alterações ajuda a garantir que os recursos e serviços da não sejam expostos involuntariamente.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 4.10 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventName=AuthorizeSecurityGroupIngress) \|\| ($.eventName=AuthorizeSecurityGroupEgress) \|\| ($.eventName=RevokeSecurityGroupIngress) \|\| ($.eventName=RevokeSecurityGroupEgress) \|\| ($.eventName=CreateSecurityGroup) \|\| ($.eventName=DeleteSecurityGroup)}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. NACLs são usados como um filtro de pacotes sem estado para controlar o tráfego de entrada e saída de sub-redes em uma VPC.

O CIS recomenda que você crie um filtro métrico e um alarme para alterações em NACLs. O monitoramento dessas mudanças ajuda a garantir que AWS os recursos e serviços não sejam expostos acidentalmente.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 4.11 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventName=CreateNetworkAcl) \|\| ($.eventName=CreateNetworkAclEntry) \|\| ($.eventName=DeleteNetworkAcl) \|\| ($.eventName=DeleteNetworkAclEntry) \|\| ($.eventName=ReplaceNetworkAclEntry) \|\| ($.eventName=ReplaceNetworkAclAssociation)}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Os gateways de rede são necessários para enviar e receber tráfego para um destino fora de uma VPC.

O CIS recomenda que você crie um filtro de métrica e um alarme para fazer alterações em gateways de rede. Monitorar essas alterações ajuda a garantir que todo o tráfego de entrada e saída passará pela borda da VPC por um caminho controlado.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 4.12 no CIS AWS Foundations Benchmark v1.2. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventName=CreateCustomerGateway) \|\| ($.eventName=DeleteCustomerGateway) \|\| ($.eventName=AttachInternetGateway) \|\| ($.eventName=CreateInternetGateway) \|\| ($.eventName=DeleteInternetGateway) \|\| ($.eventName=DetachInternetGateway)}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se você monitora as chamadas de API em tempo real direcionando CloudTrail os CloudWatch registros para o Logs e estabelecendo filtros métricos e alarmes correspondentes. As tabelas de rotas encaminham o tráfego de rede entre sub-redes e gateways de rede.

O CIS recomenda você crie um filtro de métrica e um alarme para fazer alterações em tabelas de rotas. Monitorar essas alterações ajuda a garantir que todo o tráfego da VPC passe por um caminho esperado.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

nota

Nosso padrão de filtro recomendado nessas etapas de correção difere do padrão de filtro na orientação do CIS. Nossos filtros recomendados visam somente eventos provenientes de chamadas de API do Amazon Elastic Compute Cloud (EC2).

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) \|\| ($.eventName=CreateRouteTable) \|\| ($.eventName=ReplaceRoute) \|\| ($.eventName=ReplaceRouteTableAssociation) \|\| ($.eventName=DeleteRouteTable) \|\| ($.eventName=DeleteRoute) \|\| ($.eventName=DisassociateRouteTable))}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14 AWS

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Você pode monitorar em tempo real as chamadas de API direcionando CloudTrail os registros para o CloudWatch Logs e estabelecendo filtros métricos e alarmes correspondentes. Você pode ter mais de uma VPC em uma conta e criar uma conexão ponto a ponto entre duas VPCs, permitindo que o tráfego de rede seja roteado entre elas. VPCs

O CIS recomenda que você crie um filtro métrico e um alarme para alterações em VPCs. Monitorar essas alterações ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.

Para executar essa verificação, o Security Hub usa lógica personalizada para executar as etapas exatas de auditoria prescritas para o controle 4.14 no CIS AWS Foundations Benchmark v1.4.0. Haverá falha nesse controle se os filtros de métrica exatos prescritos pelo CIS não forem usados. Não é possível adicionar campos ou termos adicionais aos filtros de métrica.

nota

A verificação resulta em descobertas FAILED nos seguintes casos:

Nenhuma trilha está configurada.
As trilhas disponíveis que estão na região atual e que são de propriedade da conta atual não atendem aos requisitos de controle.

A verificação resulta em um status de controle de NO_DATA nos seguintes casos:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Recomendamos trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Correção

Para passar por esse controle, siga estas etapas para criar um tópico do Amazon SNS, uma trilha de AWS CloudTrail , um filtro métrico e um alarme para o filtro métrico.

Criar um tópico do Amazon SNS. Para instruções, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service. Crie um tópico que receba todos os alarmes do CIS e crie pelo menos uma assinatura para o tópico.
Crie uma CloudTrail trilha que se aplique a todos Regiões da AWS. Para instruções, consulte Criação de uma trilha no Guia do usuário do AWS CloudTrail .

Anote o nome do grupo de CloudWatch registros de registros que você associa à CloudTrail trilha. Você cria o filtro métrico para esse grupo de logs na próxima etapa.

Crie um filtro de métrica. Para obter instruções, consulte Criar um filtro métrico para um grupo de registros no Guia CloudWatch do usuário da Amazon. Use os seguintes valores:

Campo	Valor
Definir padrão, padrão de filtro	`{($.eventName=CreateVpc) \|\| ($.eventName=DeleteVpc) \|\| ($.eventName=ModifyVpcAttribute) \|\| ($.eventName=AcceptVpcPeeringConnection) \|\| ($.eventName=CreateVpcPeeringConnection) \|\| ($.eventName=DeleteVpcPeeringConnection) \|\| ($.eventName=RejectVpcPeeringConnection) \|\| ($.eventName=AttachClassicLinkVpc) \|\| ($.eventName=DetachClassicLinkVpc) \|\| ($.eventName=DisableVpcClassicLink) \|\| ($.eventName=EnableVpcClassicLink)}`
namespace de métrica	`LogMetrics`
Valor da métrica	`1`
Valor padrão	`0`

Campo	Valor
Condições, tipo de limite	Estático
Sempre que `your-metric-name` for...	Maior/Igual
que…	`1`

[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas

Categoria: Detectar > Serviços de detecção

Requisitos relacionados: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4 (1), NIST.800-53.r5 IR-4 (5), NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-20, Nist.800-53.r5 SI-4 (12), Nist.800-53.r5 SI-4 (5)

Severidade: alta

Tipo de recurso: AWS::CloudWatch::Alarm

AWS Config regra: cloudwatch-alarm-action-check

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`alarmActionRequired`	O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `ALARM`.	Booliano	Não personalizável	`true`
`insufficientDataActionRequired`	O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `INSUFFICIENT_DATA`.	Booliano	`true` ou `false`	`false`
`okActionRequired`	O controle produzirá uma descoberta `PASSED` se o parâmetro estiver definido como `true` e o alarme tiver uma ação quando o estado do alarme mudar para `OK`.	Booliano	`true` ou `false`	`false`

Esse controle verifica se um CloudWatch alarme da Amazon tem pelo menos uma ação configurada para o ALARM estado. O controle falhará se o alarme não tiver uma ação configurada para o estado ALARM. Opcionalmente, é possível incluir valores de parâmetros personalizados para também exigir ações de alarme para os estados INSUFFICIENT_DATA ou OK.

nota

O Security Hub avalia esse controle com base em alarmes CloudWatch métricos. Os alarmes de métrica podem fazer parte de alarmes compostos que têm as ações especificadas configuradas. O controle gera descobertas FAILED nos seguintes casos:

As ações especificadas não estão configuradas para um alarme de métrica.
O alarme de métrica faz parte de um alarme composto que têm as ações especificadas configuradas.

Esse controle se concentra em saber se um CloudWatch alarme tem uma ação de alarme configurada, enquanto CloudWatch.17 se concentra no status de ativação de uma ação de CloudWatch alarme.

Recomendamos ações de CloudWatch alarme para alertá-lo automaticamente quando uma métrica monitorada estiver fora do limite definido. Os alarmes de monitoramento ajudam você a identificar atividades incomuns e a responder rapidamente a problemas operacionais e de segurança quando um alarme entra em um estado específico. O tipo de ação de alarme mais comum é notificar uma ou mais pessoas enviando uma mensagem a um tópico do Amazon Simple Notification Service (Amazon SNS).

Correção

Para obter informações sobre ações suportadas por CloudWatch alarmes, consulte Ações de alarme no Guia do CloudWatch usuário da Amazon.

[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

Categoria: Identificar > Registro em log

Requisitos relacionados: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-12

Severidade: média

Tipo de recurso: AWS::Logs::LogGroup

AWS Config regra: cw-loggroup-retention-period-check

Tipo de programação: Periódico

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`minRetentionTime`	Período mínimo de retenção em dias para grupos de CloudWatch registros	Enum	`365, 400, 545, 731, 1827, 3653`	`365`

Esse controle verifica se um grupo de CloudWatch registros da Amazon tem um período de retenção de pelo menos o número especificado de dias. O controle falhará se o período de retenção for inferior ao número especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção, o Security Hub usará um valor padrão de 365 dias.

CloudWatch Os registros centralizam os registros de todos os seus sistemas, aplicativos e Serviços da AWS em um único serviço altamente escalável. Você pode usar o CloudWatch Logs para monitorar, armazenar e acessar seus arquivos de log das instâncias do Amazon Elastic Compute Cloud (EC2) AWS CloudTrail, do Amazon Route 53 e de outras fontes. Manter seus logs por pelo menos 1 ano pode ajudá-lo a cumprir os padrões de retenção de logs.

Correção

Para definir as configurações de retenção de log, consulte Alterar retenção de dados de log em CloudWatch Logs no Guia CloudWatch do usuário da Amazon.

[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas

Categoria: Detectar > Serviços de detecção

Requisitos relacionados: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, Nist.800-53.r5 SI-4 (12)

Severidade: alta

Tipo de recurso: AWS::CloudWatch::Alarm

AWS Config regra: cloudwatch-alarm-action-enabled-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se as ações de CloudWatch alarme estão ativadas (ActionEnableddevem ser definidas como verdadeiras). O controle falhará se a ação de alarme de um CloudWatch alarme for desativada.

nota

O Security Hub avalia esse controle com base em alarmes CloudWatch métricos. Os alarmes de métrica podem fazer parte de alarmes compostos que têm ações de alarme ativadas. O controle gera descobertas FAILED nos seguintes casos:

As ações especificadas não estão configuradas para um alarme de métrica.
O alarme de métrica faz parte de um alarme composto que tem ações de alarme ativadas.

Esse controle se concentra no status de ativação de uma ação de CloudWatch alarme, enquanto CloudWatch.15 se concentra em saber se alguma ALARM ação está configurada em um CloudWatch alarme.

As ações de alarme alertam automaticamente quando uma métrica monitorada estiver fora do limite definido. Se a ação de alarme for desativada, nenhuma ação será executada quando o alarme mudar de estado, e você não será alertado sobre alterações nas métricas monitoradas. Recomendamos ativar as ações de CloudWatch alarme para ajudá-lo a responder rapidamente aos problemas operacionais e de segurança.

Correção

Para ativar uma ação CloudWatch de alarme (console)

Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, em Alarmes, escolha Todos os alarmes.
Selecione o alarme para o qual você deseja ativar as ações.
Em Ações, escolha Ações de alarme — novas e, em seguida, escolha Ativar.

Para obter mais informações sobre a ativação de ações de CloudWatch alarme, consulte Ações de alarme no Guia do CloudWatch usuário da Amazon.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS CloudTrail controles

AWS CodeArtifact controles

Nesta página

Selecione suas preferências de cookies

Controles do Security Hub para CloudWatch

[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”

nota

Correção

[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas

nota

Correção

[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA

nota

Correção

[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM

nota

Correção

nota

[CloudWatch.5] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de CloudTrail AWS Config duração

nota

Correção

[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de AWS Management Console autenticação

nota

Correção

[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente

nota

Correção

[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3

nota

Correção

[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração

nota

Correção

[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança

nota

Correção

[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)

nota

Correção

[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede

nota

Correção

[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas

nota

Correção

nota

[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC

nota

Correção

[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas

nota

Correção

[CloudWatch.16] os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado

Correção

[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas

nota

Correção

Para ativar uma ação CloudWatch de alarme (console)

Nesta página

Esta página foi útil?

Próximo tópico:

Tópico anterior:

Precisa de ajuda?