As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para AWS WAF
Esses AWS Security Hub controles avaliam o AWS WAF serviços e recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[WAF.1] AWS WAF O ACL registro clássico da Web global deve estar ativado
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::WAF::WebACL
AWS Config regra: waf-classic-logging-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o registro está habilitado para um AWS WAF web globalACL. Esse controle falhará se o registro não estiver habilitado para a webACL.
O registro em log é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho do AWS WAF globalmente. É um requisito comercial e de conformidade em muitas organizações e permite solucionar problemas de comportamento de aplicativos. Ele também fornece informações detalhadas sobre o tráfego que é analisado pela web ACL que está conectada ao AWS WAF.
Correção
Para habilitar o registro em um AWS WAF webACL, consulte Registro de informações ACL de tráfego da web no AWS WAF Guia do desenvolvedor.
[WAF.2] AWS WAF As regras regionais clássicas devem ter pelo menos uma condição
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFRegional::Rule
AWS Config regra: waf-regional-rule-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF A regra regional tem pelo menos uma condição. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra WAF regional pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra WAF regional sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para adicionar uma condição a uma regra vazia, consulte Adicionar e remover condições em uma regra no AWS WAF Guia do desenvolvedor.
[WAF.3] AWS WAF Os grupos de regras regionais clássicos devem ter pelo menos uma regra
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFRegional::RuleGroup
AWS Config regra: waf-regional-rulegroup-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF O grupo de regras regionais tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF regionais pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras WAF regionais sem regras, mas com um nome ou tag sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para adicionar regras e condições de regras a um grupo de regras vazio, consulte Adicionar e excluir regras de um AWS WAF Grupo de regras clássico e Adicionar e remover condições em uma regra no AWS WAF Guia do desenvolvedor.
[WAF.4] AWS WAF A web regional clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFRegional::WebACL
AWS Config regra: waf-regional-webacl-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF Classic regional A web ACL contém quaisquer WAF regras ou grupos de WAF regras. Esse controle falhará se uma web ACL não contiver WAF regras ou grupos de regras.
Uma web WAF regional ACL pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma web ACL estiver vazia, o tráfego da web pode passar sem ser detectado ou manipulado, WAF dependendo da ação padrão.
Correção
Para adicionar regras ou grupos de regras a um espaço vazio AWS WAF Web regional clássicaACL, consulte Editando uma Web ACL no AWS WAF Guia do desenvolvedor.
[WAF.6] AWS WAF As regras globais clássicas devem ter pelo menos uma condição
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAF::Rule
AWS Config regra: waf-global-rule-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF a regra global contém todas as condições. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra WAF global pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra WAF global sem condições, mas com um nome ou tag sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para obter instruções sobre como criar uma regra e adicionar condições, consulte Criação de uma regra e adição de condições no AWS WAF Guia do desenvolvedor.
[WAF.7] AWS WAF Os grupos de regras globais clássicos devem ter pelo menos uma regra
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAF::RuleGroup
AWS Config regra: waf-global-rulegroup-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF um grupo de regras global tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF global pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras WAF global sem regras, mas com um nome ou tag sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para obter instruções sobre como adicionar uma regra a um grupo de regras, consulte Criando um AWS WAF Grupo de regras clássico no AWS WAF Guia do desenvolvedor.
[WAF.8] AWS WAF A web global clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAF::WebACL
AWS Config regra: waf-global-webacl-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF a web global ACL contém pelo menos uma WAF WAF regra ou grupo de regras. O controle falhará se uma web ACL não contiver WAF regras ou grupos de regras.
Uma web WAF global ACL pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma web ACL estiver vazia, o tráfego da web pode passar sem ser detectado ou manipulado, WAF dependendo da ação padrão.
Correção
Para adicionar regras ou grupos de regras a um espaço vazio AWS WAF web globalACL, consulte Edição de uma web ACL no AWS WAF Guia do desenvolvedor. Em Filtro, escolha Global (CloudFront).
[WAF.10] AWS WAF a web ACLs deve ter pelo menos uma regra ou grupo de regras
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFv2::WebACL
AWS Config regra: wafv2-webacl-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF A lista de controle de acesso à web (webACL) V2 contém pelo menos uma regra ou grupo de regras. O controle falhará se uma web ACL não contiver regras ou grupos de regras.
Uma web ACL oferece um controle refinado sobre todas as HTTP (S) solicitações da web às quais seu recurso protegido responde. Uma web ACL deve conter uma coleção de regras e grupos de regras que inspecionam e controlam as solicitações da web. Se uma web ACL estiver vazia, o tráfego da web pode passar sem ser detectado ou acionado por AWS WAF dependendo da ação padrão.
Correção
Para adicionar regras ou grupos de regras a uma WAFV2 web vaziaACL, consulte Editando uma Web ACL no AWS WAF Guia do desenvolvedor.
[WAF.11] AWS WAF o ACL registro na web deve estar ativado
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Categoria: Identificar > Registro em log
Severidade: baixa
Tipo de recurso: AWS::WAFv2::WebACL
AWS Config regra: wafv2-logging-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o registro está ativado para um AWS WAF Lista de controle de acesso à web V2 (webACL). Esse controle falhará se o registro for desativado para a webACL.
nota
Esse controle não verifica se AWS WAF o ACL registro na web está habilitado para uma conta por meio do Amazon Security Lake.
O registro mantém a confiabilidade, a disponibilidade e o desempenho do AWS WAF. Além disso, o registro em log é um requisito comercial e de conformidade em muitas organizações. Ao registrar o tráfego que é analisado pela sua webACL, você pode solucionar problemas de comportamento do aplicativo.
Correção
Para ativar o registro em um AWS WAF webACL, consulte Gerenciando o registro de uma web ACL no AWS WAF Guia do desenvolvedor.
[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::WAFv2::RuleGroup
AWS Config regra: wafv2-rulegroup-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS WAF a regra ou grupo de regras tem CloudWatch as métricas da Amazon ativadas. O controle falhará se a regra ou o grupo de regras não tiver CloudWatch métricas ativadas.
Configurando CloudWatch métricas em AWS WAF regras e grupos de regras fornecem visibilidade do fluxo de tráfego. Você pode ver quais ACL regras são acionadas e quais solicitações são aceitas e bloqueadas. Essa visibilidade pode ajudar você a identificar atividades maliciosas nos recursos associados.
Correção
Para habilitar CloudWatch métricas em um AWS WAF grupo de regras, invoque o. UpdateRuleGroupAPI Para habilitar CloudWatch métricas em um AWS WAF regra, invoque o. UpdateWebACLAPI Defina o campo CloudWatchMetricsEnabled como true. Quando você usa o AWS WAF console para criar regras ou grupos de regras, CloudWatch as métricas são ativadas automaticamente.
