

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于亚马逊的 Security Hub CSPM 控件 CloudWatch
<a name="cloudwatch-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon CloudWatch 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [CloudWatch.1] “root” 用户应有日志指标筛选器和警报
<a name="cloudwatch-1"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/1.1、独联体基金会基准 v1.2.0/3.3、独联体基金会基准 v1.4.0/1.7、独联体 AWS 基金会基准 v1.4.0/4.3、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7、PCI AWS DSS v3.2.1/7.2.1 AWS 

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

根用户可以不受限制地访问 AWS 账户中的所有服务和资源。我们强烈建议您避免使用根用户执行日常任务。最大限度地减少根用户的使用并采用最低权限原则进行访问管理，可以降低意外更改和意外泄露高权限凭证的风险。

作为最佳实践，仅在需要[执行账户和服务管理任务](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)时才使用根用户凭证。将 AWS Identity and Access Management (IAM) 策略直接应用于群组和角色，但不适用于用户。有关如何设置管理员以供日常使用的教程，请参阅 *IAM 用户指南*中的[创建第一个 IAM 管理员用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制1.7规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-1-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报
<a name="cloudwatch-2"></a>

**相关要求：**CIS AWS 基金会基准 v1.2.0/3.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您创建指标筛选条件并对未经授权的 API 调用发出警报。监控未经授权的 API 调用有助于发现应用程序错误，并可能减少检测恶意活动所花费的时间。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2中为控制3.1规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-2-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报
<a name="cloudwatch-3"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.2

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您创建不受 MFA 保护的指标筛选条件和警报控制台登录。监控单因素控制台登录可提高不受 MFA 保护的账户的可见性。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) v1.2中为控制3.2规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-3-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
<a name="cloudwatch-4"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.4、CIS 基金会基准 v1.4.0/4.4、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14. AWS 6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

此控件通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来检查您是否实时监控 API 调用。

CIS 建议您为 IAM policy 的更改创建指标筛选条件和警报。监控此类更改有助于确保身份验证和授权控制保持不变。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-4-remediation"></a>

**注意**  
我们在这些补救步骤中推荐的筛选条件模式与 CIS 指南中的筛选条件模式不同。我们推荐的筛选条件仅针对来自 IAM API 调用的事件。

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报
<a name="cloudwatch-5"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.5、CIS 基金会基准 v1.4.0/4.5、nist.800-171.r2 3.8、nist.800-171.r2 3. AWS 8、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为对 CloudTrail 配置设置的更改创建指标筛选条件和警告。监控此类更改有助于确保账户中活动的持续可见性。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.5规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-5-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报
<a name="cloudwatch-6"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.6、CIS 基金会基准 v1.4.0/4.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7 AWS 

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为失败的控制台身份验证尝试创建指标筛选条件和警报。监控失败的控制台登录可能会缩短检测暴力破解凭证尝试的准备时间，这可能会提供可供您在其他事件相关性分析中使用的指标，例如源 IP。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.6规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-6-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
<a name="cloudwatch-7"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.7、CIS 基金会基准 v1.4.0/4.7、nist.800-171.r2 3.13.10、nist.800-171.r2 3.13. AWS 16、nist.800-171.r2 3.13.16、nist.800-171.r2 3.14.7、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为已将状态更改为禁用或计划删除的客户管理密钥创建指标筛选条件和警报。您无法再访问使用已禁用或已删除的密钥加密的数据。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.7规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。如果 `ExcludeManagementEventSources` 包含 `kms.amazonaws.com`，则控制也会失败。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-7-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
<a name="cloudwatch-8"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.8、CIS 基金会基准 v1.4.0/4.8、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14. AWS 6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为 S3 存储桶策略更改创建指标筛选条件和警告。监控此类更改可能会缩短检测和纠正敏感 S3 存储桶的宽松策略的时间。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.8规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-8-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报
<a name="cloudwatch-9"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.9、CIS 基金会基准 v1.4.0/4.9、nist.800-171.r2 3.8、nist.800-171.r2 3. AWS 8、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。

CIS 建议您为对 AWS Config 配置设置的更改创建指标筛选条件和警告。监控此类更改有助于确保账户中配置项的持续可见性。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基准测试](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) v1.4.0中为控制4.9规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-9-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
<a name="cloudwatch-10"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.10、CIS 基金会基准 v1.4.0/4.10、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、 AWS nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。安全组是有状态的数据包筛选器，可用于控制 VPC 的传入和传出流量。

CIS 建议您为安全组更改创建指标筛选条件和警告。监控此类更改有助于确保不会意外公开 资源和服务。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.4.0中为控制4.10规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-10-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
<a name="cloudwatch-11"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.11、独联体基金会基准 v1.4.0/4.11、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、 AWS nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。 NACLs 用作无状态数据包过滤器，用于控制 VPC 中子网的入口和出口流量。

CIS 建议您创建指标筛选器并发出警报，以应对所做的更改 NACLs。监控这些更改有助于确保 AWS 资源和服务不会被无意中暴露。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.4.0中为控制4.11规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-11-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
<a name="cloudwatch-12"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.12、CIS 基金会基准 v1.4.0/4.12、nist.800-171.r2 3.3.1、nist.800-171.r2 3.1、 AWS nist.800-171.r2 3.13.1

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。需要网络网关才能向位于 VPC 以外的目标发送流量或从其接收流量。

CIS 建议您为网络网关更改创建指标筛选条件和警告。监控此类更改有助于确保所有传入和传出流量都通过受控路径穿过 VPC 边界。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.2中为控制4.12规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-12-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
<a name="cloudwatch-13"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.13、CIS 基金会基准 v1.4.0/4.13、nist.800-171.r2 3.1、nist.800-171.r2 3.13.1、nist.8 AWS 00-171.r2 3.13.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

此控件通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来检查您是否实时监控 API 调用。路由表在子网和网络网关之间路由网络流量。

CIS 建议您为路由表更改创建指标筛选条件和警告。监控此类更改有助于确保所有 VPC 流量都流经预期路径。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-13-remediation"></a>

**注意**  
我们在这些补救步骤中推荐的筛选条件模式与 CIS 指南中的筛选条件模式不同。我们推荐的筛选条件仅针对来自 Amazon Elastic Compute Cloud（EC2）API 调用的事件。

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
<a name="cloudwatch-14"></a>

**相关要求：**独联体 AWS 基金会基准 v1.2.0/3.14、CIS 基金会基准 v1.4.0/4.14、nist.800-171.r2 3.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.1、ni AWS st.800-171.r2 3.13.1、nist.800-171.r2 3.13.1、nist.800-171.r2 3.14.7

**类别：**检测 > 检测服务

**严重性：**低

**资源类型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、`AWS::SNS::Topic`

**AWS Config 规则：**无（自定义 Security Hub CSPM 规则）

**计划类型：**定期

**参数：**无

您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报，对 API 调用进行实时监控。一个账户中可以有多个 VPC，并且可以在两个 VPC 之间创建对等连接 VPCs，从而使网络流量能够在两个 VPC 之间进行路由 VPCs。

CIS 建议您创建指标筛选器并发出警报，以应对所做的更改 VPCs。监控此类更改有助于确保身份验证和授权控制保持不变。

为了运行此检查，Security Hub CSPM使用自定义逻辑来执行C [IS AWS 基金会基](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)准测试v1.4.0中为控制4.14规定的确切审计步骤。如果不使用 CIS 规定的确切度量筛选条件，则此控制将会失败。不能向指标筛选条件中添加附加其他字段或搜索词。

**注意**  
当 Security Hub CSPM 对该控件执行检查时，它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。  
在以下情况下，检查会导致 `FAILED` 调查发现：  
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下，检查会导致 `NO_DATA` 控件状态：  
多区域跟踪基于不同区域。Security Hub CSPM 只能在跟踪所在的区域生成调查结果。
多区域跟踪属于不同的账户。Security Hub CSPM 只能为拥有跟踪的账户生成调查结果。  
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下，组织跟踪是多区域跟踪，只能由 AWS Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为 `NO_DATA`。在成员账户中，Security Hub CSPM 仅针对成员拥有的资源生成调查结果。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在您的 Security Hub CSPM 委托管理员账户中查看这些发现。
对于警报，当前账户必须拥有引用的 Amazon SNS 主题，或者必须通过调用 `ListSubscriptionsByTopic` 访问 Amazon SNS 主题。否则，Security Hub CSPM 会生成`WARNING`控件的调查结果。

### 修复
<a name="cloudwatch-14-remediation"></a>

要通过此控制，请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 AWS CloudTrail 跟踪、指标筛选条件和警报。

1. 创建 Amazon SNS 主题。有关说明，请参阅 *Amazon Simple Notification Service 开发人员指南*中的 [Amazon SNS 入门](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。创建一个接收所有 CIS 警报的主题，并至少创建一个该主题的订阅。

1. 创建一条适用于所有人的 CloudTrail 跟踪 AWS 区域。有关说明，请参阅 *AWS CloudTrail 用户指南中的[创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)*。

   记下与 CloudTrail 跟踪关联的 CloudWatch 日志日志组的名称。您将在下一步中为该日志组创建指标筛选条件。

1. 创建指标筛选条件。有关说明，请参阅 *Amazon CloudWatch 用户指南*中的[为日志组创建指标筛选条件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

1. 基于筛选条件创建警报 有关说明，请参阅 A *mazon CloudWatch 用户*指南中的[基于日志组指标筛选条件创建 CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。使用以下值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/cloudwatch-controls.html)

## [CloudWatch.15] CloudWatch 警报应配置指定操作
<a name="cloudwatch-15"></a>

**相关要求：** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7，nist.800-53.r5 IR-4 (1)、nist.800-53.r5 IR-4 (5)、nist.800-53.r5 SI-2、nist.800-53.r5 SI-20、nist.800-53.r5 SI-4 (12)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5)、nist.800-53.r5 SI-4 (5) -171.r2 3.3.4，nist.800-171.r2 3.14.6

**类别：**检测 > 检测服务

**严重性：**高

**资源类型：**`AWS::CloudWatch::Alarm`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  如果将参数设置为 `true` 并且警报状态变更为 `ALARM` 时警报会执行操作，则控件会生成`PASSED` 调查发现。  |  布尔值  |  不可自定义  |  `true`  | 
|  `insufficientDataActionRequired`  |  如果将参数设置为 `true` 并且警报状态变更为 `INSUFFICIENT_DATA` 时警报会执行操作，则控件会生成`PASSED` 调查发现。  |  布尔值  |  `true` 或者 `false`  |  `false`  | 
|  `okActionRequired`  |  如果将参数设置为 `true` 并且警报状态变更为 `OK` 时警报会执行操作，则控件会生成`PASSED` 调查发现。  |  布尔值  |  `true` 或者 `false`  |  `false`  | 

此控件检查 Amazon CloudWatch 警报是否为该`ALARM`状态配置了至少一个操作。如果警报没有为 `ALARM` 状态配置操作，则控制失败。或者，您可以包含自定义参数值，以便也要求对 `INSUFFICIENT_DATA` 或 `OK` 状态执行警报操作。

**注意**  
Security Hub CSPM 根据 CloudWatch 指标警报评估此控件。指标警报可能是复合警报的一部分，这些复合警报配置了指定操作。在以下情况下，控件会生成 `FAILED` 调查发现：  
没有为指标警报配置指定操作。
此指标警报是某个复合警报的一部分，该复合警报配置了指定操作。

此控件侧重于 CloudWatch 警报是否配置了警报操作，而 [CloudWatch.17](#cloudwatch-17) 侧重于 CloudWatch 警报操作的激活状态。

我们建议采取 CloudWatch 警报措施，以便在监控的指标超出定义的阈值时自动提醒您。当警报进入特定状态时，监控警报可帮助您识别异常活动并快速响应安全和操作问题。最常见的警报操作类型是通过向 Amazon Simple Notiﬁcation Service（Amazon SNS）主题发送消息来通知一个或多个用户。

### 修复
<a name="cloudwatch-15-remediation"></a>

有关 CloudWatch 警报支持的操作的信息，请参阅 *Amazon CloudWatch 用户指南*中的[警报操作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。

## [CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留
<a name="cloudwatch-16"></a>

**类别：**识别 > 日志记录

**相关要求：** NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7，nist.800-53.r5 SI-12

**严重性：**中

**资源类型：**`AWS::Logs::LogGroup`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``

**计划类型：**定期

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |   CloudWatch 日志组的最小保留期（以天为单位）  |  枚举  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

此控件检查 Amazon CloudWatch 日志组的保留期是否至少为指定的天数。如果保留期少于指定天数，则控制失败。除非您为保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 365 天。

CloudWatch 日志将来自所有系统、应用程序的日志集中到一个高度可扩展的服务 AWS 服务 中。您可以使用 CloudWatch 日志来监控、存储和访问来自亚马逊弹性计算云 (EC2) 实例 AWS CloudTrail、Amazon Route 53 和其他来源的日志文件。将日志保留至少 1 年可以帮助您遵守日志保留标准。

### 修复
<a name="cloudwatch-16-remediation"></a>

要配置日志保留设置，请参阅《*Amazon CloudWatch 用户指南》*[中的 “ CloudWatch 日志” 中的 “更改日志数据保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)”。

## [CloudWatch.17] 应激 CloudWatch 活警报动作
<a name="cloudwatch-17"></a>

**类别：**检测 > 检测服务

**相关要求：** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7，nist.800-53.r5 SI-2、nist.800-53.r5 SI-4 (12)

**严重性：**高

**资源类型：**`AWS::CloudWatch::Alarm`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查 CloudWatch 警报操作是否已激活（`ActionEnabled`应设置为 true）。如果警报的警报动作被停用， CloudWatch 则控制失败。

**注意**  
Security Hub CSPM 根据 CloudWatch 指标警报评估此控件。指标警报可能是复合警报的一部分，这些复合警报已激活警报操作。在以下情况下，控件会生成 `FAILED` 调查发现：  
没有为指标警报配置指定操作。
此指标警报是某个复合警报的一部分，该复合警报已激活警报操作。

此控件侧重于 CloudWatch 警报操作的激活状态，而 [CloudWatch.15](#cloudwatch-15) 侧重于 CloudWatch 警报中是否配置了任何`ALARM`操作。

当监控的指标超出定义的阈值时，警报操作会自动向您发出警报。如果警报操作被停用，则警报状态变更时不会运行任何操作，也不会提醒您注意监控指标的变化。我们建议您激活 CloudWatch 警报操作，以帮助您快速应对安全和操作问题。

### 修复
<a name="cloudwatch-17-remediation"></a>

**激活 CloudWatch 警报操作（控制台）**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中的**警报**下，选择**所有警报**。

1. 选择要激活操作的警报。

1. 在**操作**中，选择**警报操作-新建**，然后选择**启用**。

有关激活 CloudWatch 警报操作的更多信息，请参阅 *Amazon CloudWatch 用户指南*中的[警报操作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。