本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub 控制項 CloudTrail
這些 Security Hub 控制項會評估 AWS CloudTrail 服務和資源。
這些控制項可能無法在所有 中使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【CloudTrail.1】 CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤
相關要求:CIS AWS 基礎基準 1.2.0/2.1 版、CIS AWS 基礎基準 1.4.0/3.1 版、CIS AWS 基礎基準 3.0.0/3.1 版、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8(22) 版
類別:識別 > 記錄日誌
嚴重性:高
資源類型: AWS::::Account
AWS Config 規則:multi-region-cloudtrail-enabled
排程類型:定期
參數:
-
readWriteType:ALL(不可自訂)includeManagementEvents:true(不可自訂)
此控制項會檢查是否有至少一個擷取讀取和寫入管理事件的多區域 AWS CloudTrail 追蹤。如果 CloudTrail 停用控制項,或者如果沒有至少一個擷取讀取和寫入管理事件的 CloudTrail 線索,則控制項會失敗。
AWS CloudTrail 會記錄 AWS API您帳戶的呼叫,並將日誌檔案交付給您。記錄的資訊包括下列資訊:
-
API 呼叫者身分
-
API 呼叫時間
-
API 呼叫者的來源 IP 地址
-
請求參數
-
傳回的回應元素 AWS 服務
CloudTrail 提供 帳戶的呼叫歷史記錄 AWS API,包括從 AWS Management Console、 AWS SDKs命令列工具發出的API呼叫。歷史記錄也包含來自更高層級的API呼叫, AWS 服務 例如 AWS CloudFormation。
產生的 AWS API呼叫歷史記錄 CloudTrail 可啟用安全分析、資源變更追蹤和合規稽核。多區域線索也提供了下列優勢。
-
多區域線索可協助偵測在未使用區域中發生的未預期活動。
-
多區域線索可確保根據預設,為線索啟用全域服務記錄日誌。全域服務事件記錄會記錄 AWS 全域服務所產生的事件。
-
對於多區域追蹤,所有讀取和寫入操作的管理事件可確保 CloudTrail 記錄 中所有資源的管理操作 AWS 帳戶。
根據預設,使用 建立的 CloudTrail 追蹤 AWS Management Console 是多區域追蹤。
修補
若要在 中建立新的多區域追蹤 CloudTrail,請參閱 AWS CloudTrail 使用者指南 中的建立追蹤。使用下列的值:
| 欄位 | Value |
|---|---|
|
其他設定、日誌檔案驗證 |
已啟用 |
|
選擇日誌事件、管理事件、API活動 |
讀取和寫入 。清除排除項目的核取方塊。 |
若要更新現有追蹤,請參閱 AWS CloudTrail 使用者指南 中的更新追蹤。在管理事件 中,針對API活動 ,選擇讀取和寫入 。
【CloudTrail.2】 CloudTrail 應該啟用靜態加密
相關要求:PCIDSSv3.2.1/3.4、CIS AWS Foundations Benchmark v1.2.0/2.7、CIS AWS Founds Benchmark v1.4.0/3.7、CIS AWS Founds Benchmark v3.0.0/3.5、 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型: AWS::CloudTrail::Trail
AWS Config 規則:cloud-trail-encryption-enabled
排程類型:定期
參數:無
此控制項會檢查 CloudTrail 是否設定為使用伺服器端加密 (SSE) AWS KMS key 加密。如果KmsKeyId未定義 ,則控制項會失敗。
為了為您的敏感 CloudTrail 日誌檔案增加一層安全性,您應該使用伺服器端加密搭配 AWS KMS keys (SSE-KMS) 用於 CloudTrail 日誌檔案,以便靜態加密。請注意,依預設, 交付 CloudTrail 至儲存貯體的日誌檔案會使用 Amazon S3-managed加密金鑰 (SSE-S3) 進行 Amazon 伺服器端加密。
修補
若要啟用 CloudTrail 日誌檔案的 SSE- KMS加密,請參閱 AWS CloudTrail 使用者指南 中的更新追蹤以使用KMS金鑰。
【CloudTrail.3】 至少應啟用一個 CloudTrail 追蹤
相關要求:PCIDSSv3.2.1/10.1、PCIDSSv3.2.1/10.2.1、PCIDSSv3.2.1/10.2.2、PCIDSSv3.2.1/10.2.3、PCIDSSv3.2.110.2.4PCIDSS/10.2.5、PCIDSSv3.2.1/10.2.6、PCIDSSv3.2.1/10.2.7、PCIDSSv3.2.1/10.3.1、PCIDSSv3.2.1/10.3.2、PCIDSSv3.2.1/10.3.3、PCIDSSv3.2.1/、v3.2.1/10.3.4、PCIDSSv3.2.1/10.3.5、v3.2.1/、PCIDSSv3.2.1/10.3.6
類別:識別 > 記錄日誌
嚴重性:高
資源類型: AWS::::Account
AWS Config 規則:cloudtrail-enabled
排程類型:定期
參數:無
此控制項會檢查 中是否已啟用 AWS CloudTrail 追蹤 AWS 帳戶。如果您的帳戶未啟用至少一個 CloudTrail 追蹤,則控制項會失敗。
不過,某些 AWS 服務不會啟用所有 APIs和 事件的記錄。您應該實作支援CloudTrail 服務和整合 中每個服務的任何其他稽核追蹤 CloudTrail ,並檢閱其文件。
修補
若要開始使用 CloudTrail 和建立追蹤,請參閱 AWS CloudTrail 使用者指南 中的入門 AWS CloudTrail 教學課程。
【CloudTrail.4】應啟用 CloudTrail 日誌檔案驗證
相關要求:PCIDSSv3.2.1/10.5.2、PCIDSSv3.2.1/10.5.5、CIS AWS Foundations Benchmark v1.2.0/2.2、CIS AWS Founds Benchmark v1.4.0/3.2、CIS AWS Founds Benchmark v3.0.0/3.2、NIST.800-53.r5 AU-9、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-7(1)、NIST.800-53.r5 SI-7(3)、NIST.800-53.r5 SI-7(7)
類別:資料保護 > 資料完整性
嚴重性:低
資源類型: AWS::CloudTrail::Trail
AWS Config 規則:cloud-trail-log-file-validation-enabled
排程類型:定期
參數:無
此控制項會檢查是否在追蹤上 CloudTrail啟用日誌檔案完整性驗證。
CloudTrail 日誌檔案驗證會建立數位簽章摘要檔案,其中包含 CloudTrail 寫入 Amazon S3 的每個日誌雜湊。您可以使用這些摘要檔案來判斷日誌檔案在 CloudTrail 交付日誌後是否變更、刪除或未變更。
Security Hub 建議您在所有追蹤上啟用檔案驗證。日誌檔案驗證提供額外的 CloudTrail 日誌完整性檢查。
修補
若要啟用 CloudTrail 日誌檔案驗證,請參閱 AWS CloudTrail 使用者指南 中的為 啟用日誌檔案完整性驗證 CloudTrail。
【CloudTrail.5】 CloudTrail 線索應與 Amazon CloudWatch Logs 整合
相關要求:PCIDSSv3.2.1/10.5.3、CIS AWS 基礎基準 v1.2.0/2.4、CIS AWS 基礎基準 v1.4.0/3.4、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9)、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-4(5)、NIST.800-53.r5 SI-7(8)
類別:識別 > 記錄日誌
嚴重性:低
資源類型: AWS::CloudTrail::Trail
AWS Config 規則:cloud-trail-cloud-watch-logs-enabled
排程類型:定期
參數:無
此控制項會檢查 CloudTrail 追蹤是否設定為將日誌傳送至 CloudWatch 日誌。如果追蹤的CloudWatchLogsLogGroupArn屬性為空,則控制項會失敗。
CloudTrail 會記錄 AWS API在指定帳戶中進行的呼叫。記錄的資訊包括下列項目:
-
API 來電者的身分
-
API 呼叫的時間
-
API 呼叫者的來源 IP 地址
-
請求參數
-
傳回的回應元素 AWS 服務
CloudTrail 使用 Amazon S3 進行日誌檔案儲存和交付。您可以在指定的 S3 儲存貯體中擷取 CloudTrail 日誌以進行長期分析。若要執行即時分析,您可以設定 CloudTrail 將日誌傳送至 CloudWatch 日誌。
對於在 帳戶的所有區域中啟用的追蹤, 會將所有這些區域的日誌檔案 CloudTrail 傳送至 CloudWatch Logs 日誌群組。
Security Hub 建議您將 CloudTrail 日誌傳送至 CloudWatch Logs。請注意,此建議旨在確保擷取、監控和適當警示帳戶活動。您可以使用 CloudWatch Logs 來設定 AWS 服務。此建議不會排除使用不同的解決方案。
將 CloudTrail 日誌傳送至 CloudWatch Logs 有助於根據使用者、API、資源和 IP 地址進行即時和歷史活動記錄。您可以使用此方法建立異常或敏感帳戶活動的警示和通知。
修補
若要 CloudTrail 與 CloudWatch 日誌整合,請參閱 AWS CloudTrail 使用者指南 中的將事件傳送至 CloudWatch 日誌。
【CloudTrail.6】 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取
相關要求:CIS AWS 基礎基準 1.2.0/2.3 版、CIS AWS 基礎基準 1.4.0/3.3 版
類別:識別 > 記錄日誌
嚴重性:嚴重
資源類型: AWS::S3::Bucket
AWS Config 規則:無 (自訂 Security Hub 規則)
排程類型:定期和觸發變更
參數:無
CloudTrail 會記錄您帳戶中每次API呼叫的記錄。這些日誌檔案會存放在 S3 儲存貯體中。CIS 建議將 S3 儲存貯體政策或存取控制清單 (ACL) 套用至 CloudTrail 記錄的 S3 儲存貯體,以防止公開存取 CloudTrail 日誌。允許公開存取 CloudTrail 日誌內容可能有助於對手識別受影響帳戶的使用或組態中的弱點。
若要執行此檢查,Security Hub 首先會使用自訂邏輯來尋找儲存 CloudTrail 日誌的 S3 儲存貯體。然後,它會使用 AWS Config 受管規則來檢查儲存貯體是否可公開存取。
如果您將日誌彙總到單一集中式 S3 儲存貯體,則 Security Hub 只會針對集中式 S3 儲存貯體所在的帳戶和區域執行檢查。對於其他帳戶和區域,控制狀態為無資料 。
如果儲存貯體可公開存取,則檢查會產生失敗的調查結果。
修補
若要封鎖對 CloudTrail S3 儲存貯體的公開存取,請參閱 Amazon Simple Storage Service 使用者指南 中的設定 S3 儲存貯體的區塊公開存取設定。選取所有四個 Amazon S3 Block Public Access 設定。
【CloudTrail.7】 確保 S3 儲存貯體上已啟用 CloudTrail S3 儲存貯體存取日誌記錄
相關要求:CIS AWS 基礎基準 1.2.0/2.6 版、CIS AWS 基礎基準 1.4.0/3.6 版、CIS AWS 基礎基準 3.0.0/3.4 版
類別:識別 > 記錄日誌
嚴重性:低
資源類型: AWS::S3::Bucket
AWS Config 規則:無 (自訂 Security Hub 規則)
排程類型:定期
參數:無
S3 儲存貯體存取日誌會產生日誌,其中包含對 S3 儲存貯體提出之每個請求的存取記錄。存取日誌記錄包含要求的詳細資訊,例如要求類型、要求工作負載中指定的資源,以及要求的處理時間與日期。
CIS 建議您在 CloudTrail S3 儲存貯體上啟用儲存貯體存取日誌記錄。
透過在目標 S3 儲存貯體上啟用 S3 儲存貯體記錄,您可以擷取可能影響目標儲存貯體中物件的所有事件。設定日誌放在單獨的儲存貯體中,可存取日誌資訊,這對安全性和事件反應工作流程極有幫助。
若要執行此檢查,Security Hub 會先使用自訂邏輯來尋找儲存 CloudTrail 日誌的儲存貯體,然後使用 AWS Config 受管規則來檢查是否已啟用記錄。
如果 將多個日誌檔案 CloudTrail 交付 AWS 帳戶 到單一目的地 Amazon S3 儲存貯體,Security Hub 只會針對其所在區域中的目的地儲存貯體評估此控制項。這可簡化您的調查結果。不過,您應該 CloudTrail 在將日誌交付到目的地儲存貯體的所有帳戶中開啟 。對於持有目的地儲存貯體的所有帳戶,控制狀態為無資料 。
如果儲存貯體可公開存取,則檢查會產生失敗的調查結果。
修補
若要為 CloudTrail S3 儲存貯體啟用伺服器存取日誌,請參閱 Amazon Simple Storage Service 使用者指南 中的啟用 Amazon S3 伺服器存取日誌。
【CloudTrail.9】應標記 CloudTrail 追蹤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::CloudTrail::Trail
AWS Config rule: tagged-cloudtrail-trail (自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤金鑰清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 需求的標籤清單 |
No default value
|
此控制項會檢查 AWS CloudTrail 追蹤是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果追蹤沒有任何標籤索引鍵,或者它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果追蹤未使用任何金鑰標記,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 作為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤與資源標籤相符時允許操作。如需詳細資訊,請參閱 使用者指南 中的什麼ABAC是 AWS?。 IAM
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 CloudTrail 追蹤,請參閱 參考 AddTags中的 。 AWS CloudTrail API
