Security Hub 控制 CloudWatch - AWS Security Hub
[CloudWatch.1] 對於「root」用戶的使用,應存在日誌指標過濾器和警報[CloudWatch.2] 確保未經授權的API呼叫存在日誌指標過濾器和警報[CloudWatch.3] 確保管理控制台登錄存在日誌指標過濾器和警報,而無需 MFA[CloudWatch.4] 確定IAM原則變更存在記錄量度篩選器和警示[CloudWatch.5] 確保存在的日誌度量過濾器和警報 CloudTrail AWS Config變化變化[CloudWatch.6] 確保存在的日誌度量過濾器和警報 AWS Management Console 驗證失敗[CloudWatch.7] 確保存在日誌指標過濾器和警報,以停用或排程刪除客戶管理的金鑰[CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選器和警示[CloudWatch.9] 確保存在的日誌度量過濾器和警報 AWS Config 組態變更[CloudWatch.10] 確保安全組更改存在日誌指標過濾器和警報[CloudWatch.11] 確保存在對網絡訪問控制列表的更改的日誌指標過濾器和警報()NACL[CloudWatch.12] 確定網路閘道變更存在記錄指標篩選器和警示[CloudWatch.13] 確保路由表更改存在日誌度量過濾器和警報[CloudWatch.14] 確保存在更VPC改的日誌指標過濾器和警報[CloudWatch.15] CloudWatch 警報應設定指定的動作[CloudWatch.16] CloudWatch 記錄群組應保留一段指定的時間[CloudWatch.17] 應啟動 CloudWatch 警報動作

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 控制 CloudWatch

這些控制項會評估 Amazon CloudWatch 服務和資源。

這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性

[CloudWatch.1] 對於「root」用戶的使用,應存在日誌指標過濾器和警報

相關要求:PCIDSSCIS AWS 基金會基準測試版 1.2.0/1.1 版 CIS AWS 基金會基準測試版 1.2.0/3.3 CIS AWS 基金會基準測試版 1.4.0/1.7 CIS AWS 基金會基準測試版 1.4.0/4.3

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

root 使用者可以不受限制地存取中的所有服務和資源 AWS 帳戶。 我們強烈建議您避免使用 root 使用者執行日常工作。盡量減少 root 使用者的使用,並採用最低權限原則進行存取管理,可降低意外變更和意外洩漏高度權限憑證的風險。

最佳做法是,只有在需要執行帳戶和服務管理工作時才使用 root 使用者認證。套用 AWS Identity and Access Management (IAM) 政策直接指向群組和角色,但不適用於使用者。如需有關如何設定管理員供日常使用的教學課程,請參閱《使用指南》中的「建立您的第一個IAM管理員使用IAM者和群組

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 1.7 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.2] 確保未經授權的API呼叫存在日誌指標過濾器和警報

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.1

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。

CIS建議您建立指標篩選器並警示未經授權的API呼叫。監控未經授權的API呼叫可協助揭露應用程式錯誤,並縮短偵測惡意活動的時間

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 3.1 所指定的確切稽核步驟 CIS AWS 基金會基準 V1.2 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.3] 確保管理控制台登錄存在日誌指標過濾器和警報,而無需 MFA

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.2

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。

CIS建議您建立不受保護的指標篩選器和警示主控台登入。MFA監控單一因素主控台登入可提高對未受保護之帳戶的可見度。MFA

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 3.2 所指定的確切稽核步驟 CIS AWS 基金會基準 V1.2 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    { ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.4] 確定IAM原則變更存在記錄量度篩選器和警示

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.4 CIS AWS 基金會基準測試版 1.4.0/4.4

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

此控制項會將記錄導向至 CloudTrail CloudWatch 記錄檔,並建立對應的指標篩選器和警示,以檢查您是否即時監視API呼叫。

CIS建議您針對IAM原則所做的變更建立量度篩選器和警示。監控這些變更有助於確保身分驗證和授權控制保持不變。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

注意

我們在這些修復步驟中建議的過濾器模式與CIS指南中的過濾器模式不同。我們建議的篩選器僅針對來自IAMAPI通話的事件。

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.5] 確保存在的日誌度量過濾器和警報 CloudTrail AWS Config變化變化

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.5 CIS AWS 基金會基準測試版 1.4.0/4.5

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。

CIS建議您針對 CloudTrail組態設定的變更建立度量篩選器和警示。監控這些變更有助於確保帳戶活動的持續可見性。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.5 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.6] 確保存在的日誌度量過濾器和警報 AWS Management Console 驗證失敗

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.6 CIS AWS 基金會基準指標 v1.4.0/4.6

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。

CIS建議您針對失敗的主控台驗證嘗試建立度量篩選器和警示。監控失敗的主控台登入可能會降低偵測嘗試暴力破解登入資料的前置時間,這可能會提供可用於其他事件相互關聯的指標,例如來源 IP。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.6 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.7] 確保存在日誌指標過濾器和警報,以停用或排程刪除客戶管理的金鑰

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.7 版 CIS AWS 基金會基準指標 v1.4.0/4.7

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。

CIS建議您針對已將狀態變更為停用或排程刪除的客戶管理金鑰建立指標篩選器和警示。無法繼續存取使用已停用或已刪除金鑰加密的資料。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.7 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。如果ExcludeManagementEventSources包含,控制項也會失敗kms.amazonaws.com

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選器和警示

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.8 CIS AWS 基金會基準指標 v1.4.0/4.8

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。

CIS建議您針對 S3 儲存貯體政策的變更建立指標篩選器和警示。監控這些變更可能會降低偵測和更正敏感 S3 儲存貯體寬鬆政策的時間。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.8 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.9] 確保存在的日誌度量過濾器和警報 AWS Config 組態變更

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.9 CIS AWS 基金會基準指標 v1.4.0/4.9

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。

CIS建議您針對變更建立量度篩選器和警示 AWS Config 組態設定。監控這些變更有助於確保帳戶組態項目的持續可見性。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.9 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.10] 確保安全組更改存在日誌指標過濾器和警報

相關要求:CIS AWS 基金會基準測試版 1.2.0/3.10 CIS AWS 基金會基準指標

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。安全群組是可設定狀態的封包篩選器,可控制. VPC

CIS建議您針對安全性群組的變更建立度量篩選器和警示。監控這些變更有助於確保不會意外公開 資源和服務。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.10 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.11] 確保存在對網絡訪問控制列表的更改的日誌指標過濾器和警報()NACL

相關要求:CIS AWS 基金會基準指標 1.2.0/3.11 CIS AWS 基金會基準指標

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。NACLs用作無狀態封包篩選器,以控制. VPC

CIS建議您針對變更建立量度篩選器和警示NACLs。監視這些變更有助於確保 AWS 資源和服務不會無意中暴露。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.11 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.12] 確定網路閘道變更存在記錄指標篩選器和警示

相關要求:CIS AWS 基金會基準指標 1.2.0/3.12 CIS AWS 基金會基準指標

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。需要網路閘道,才能將流量傳送和接收到VPC.

CIS建議您針對網路閘道的變更建立度量篩選器和警示。監控這些變更有助於確保所有入口和出口流量都透過受控路徑遍歷VPC邊界。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.12 所指定的確切稽核步驟 CIS AWS 基金會基準 V1.2 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.13] 確保路由表更改存在日誌度量過濾器和警報

相關要求:CIS AWS 基金會基準指標 CIS AWS 基金會基準指標

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

此控制項會將記錄導向至 CloudTrail CloudWatch 記錄檔,並建立對應的指標篩選器和警示,以檢查您是否即時監視API呼叫。路由表會在子網路間路由網路流量,並路由到網路閘道。

CIS建議您針對路由表的變更建立度量篩選和警示。監視這些變更有助於確保所有VPC流量都經過預期的路徑。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

注意

我們在這些修復步驟中建議的過濾器模式與CIS指南中的過濾器模式不同。我們建議的篩選器僅針對來自 Amazon 彈性運算雲端 (EC2) API 呼叫的事件。

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.14] 確保存在更VPC改的日誌指標過濾器和警報

相關要求:CIS AWS 基金會基準指標 1.2.0/3.14 CIS AWS 基金會基準指標

類別:偵測 > 偵測服務

嚴重性:

資源類型:AWS::Logs::MetricFilter,AWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Config 規則:無 (自訂 Security Hub 規則)

排程類型:定期

參數:

您可以API通過將 CloudTrail 日誌定向到日 CloudWatch 誌並建立相應的指標過濾器和警報來實時監控呼叫。您可以VPC在一個帳戶中擁有多個,並且可以在兩個之間建立對等連線VPCs,讓網路流量在兩者之間進行路由VPCs。

CIS建議您針對變更建立量度篩選器和警示VPCs。監控這些變更有助於確保身分驗證和授權控制保持不變。

若要執行此檢查,Security Hub 會使用自訂邏輯來執行針對控制項 4.14 所指定的確切稽核步驟 CIS AWS 基金會基準測試 v1.4.0 。如果未使用指定的精確度量篩選器,則CIS此控制項會失敗。無法將其他欄位或術語新增至指標篩選條件。

注意

當 Security Hub 執行此控制項的檢查時,會尋找目前帳戶使用的 CloudTrail 追蹤。這些追蹤可能是屬於其他帳戶的組織追蹤。多區域軌跡也可能基於不同的區域。

在下列情況下,檢查會導致FAILED發現結果:

  • 未設定任何追蹤。

  • 目前區域中且目前帳戶擁有的可用追蹤不符合控制需求。

在下列情況下,檢查會導致控制狀態為:NO_DATA

  • 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

  • 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

    我們建議組織追蹤記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,且只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶。使用組織軌跡會導致組織成員帳戶中評估之NO_DATA控制項的控制項狀態。在成員帳戶中,Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總,在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

對於警報,當前帳戶必須擁有引用的 Amazon SNS 主題,或者必須通過調用訪問 Amazon SNS 主題ListSubscriptionsByTopic。否則,Security Hub 會產生控制WARNING項的發現項目。

修補

要通過此控制,請按照以下步驟創建 Amazon SNS 主題 AWS CloudTrail 追蹤、公制篩選器,以及公制篩選器的警示。

  1. 創建一個 Amazon SNS 主題。如需指示,請參閱 Amazon 簡單通知服務開發人員指南SNS中的開始使用 Amazon。建立接收所有CIS警示的主題,並至少建立一個主題訂閱。

  2. 建立套用至所有項目的 CloudTrail 追蹤 AWS 區域。 如需指示,請參閱「」中的「建立追蹤」。AWS CloudTrail 使用者指南

    記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以在下一個步驟中建立該記錄群組的度量篩選器。

  3. 建立指標篩選條件。如需指示,請參閱 Amazon CloudWatch 使用者指南中的為日誌群組建立指標篩選器。使用下列的值:

    欄位 Value

    定義模式,過濾器模式

    {($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}

    度量命名空

    LogMetrics

    指標值

    1

    預設值

    0

  4. 根據篩選器建立警示。如需指示,請參Amazon CloudWatch 使用者指南中的根據日誌群組指標篩選器建立 CloudWatch 警示。使用下列的值:

    欄位 Value

    條件,臨界值類型

    靜態

    每當 your-metric-name 是...

    大於/等於

    比...

    1

[CloudWatch.15] CloudWatch 警報應設定指定的動作

類別:偵測 > 偵測服務

相關要求: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 IR-4 (1), .800-53.r5 IR-4 (5), NIST .800-53.r5 四 (5), .800-53.r5 三四 (12), .800-53.r5 (12), NIST .800-53.r5 SI-4 (5) NIST NIST NIST SI-20

嚴重性:

資源類型:AWS::CloudWatch::Alarm

AWS Config 規則:cloudwatch-alarm-action-check

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

alarmActionRequired

如果參數設定為,true且警示在警示狀態變更為時具有動作,則控制項會產生PASSED尋找結果ALARM

Boolean

不可定制

true

insufficientDataActionRequired

如果參數設定為,true且警示在警示狀態變更為時具有動作,則控制項會產生PASSED尋找結果INSUFFICIENT_DATA

Boolean

truefalse *

false

okActionRequired

如果參數設定為,true且警示在警示狀態變更為時具有動作,則控制項會產生PASSED尋找結果OK

Boolean

truefalse *

false

此控制項會檢查 Amazon CloudWatch 警示是否已為該ALARM州設定至少一個動作。如果警示沒有針對ALARM狀態設定動作,則控制項會失敗。或者,您可以包括自訂參數值,以便也要求INSUFFICIENT_DATAOK狀態的警示動作。

注意

Security Hub 會根據 CloudWatch 度量警示來評估此控制項。度量警示可能是已設定指定動作之複合警示的一部分。控制FAILED項會在下列情況下產生發現項目:

  • 未針對度量警示設定指定的動作。

  • 度量警示是已設定指定動作之複合警示的一部分。

此控制項著重於 CloudWatch 警示是否已設定警示動作,而 CloudWatch.17 則著重於 CloudWatch 警示動作的啟動狀態。

我們建議 CloudWatch 您採取警示動作,以便在受監控的指標超出定義的臨界值時自動警示您。監控警報可協助您識別異常活動,並在警示進入特定狀態時快速回應安全性和操作問題。最常見的警報動作類型是通過向 Amazon 簡單通知服務(AmazonSNS)主題發送消息來通知一個或多個用戶。

修補

如需 CloudWatch 警示支援動作的相關資訊,請參閱 Amazon CloudWatch 使用者指南中的警示動作

[CloudWatch.16] CloudWatch 記錄群組應保留一段指定的時間

類別:識別 > 記錄日誌

相關要求: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7NISTSI-12

嚴重性:

資源類型:AWS::Logs::LogGroup

AWS Config 規則:cw-loggroup-retention-period-check

排程類型:定期

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

minRetentionTime

CloudWatch 記錄群組的最短保留期 (以天為單位)

列舉

365, 400, 545, 731, 1827, 3653

365

此控制項會檢查 Amazon 日 CloudWatch 誌群組的保留期是否至少為指定天數。如果保留期間小於指定的數字,則控制項會失敗。除非您為保留期提供自訂參數值,否則 Security Hub 會使用預設值 365 天。

CloudWatch 記錄集中來自所有系統、應用程式和 AWS 服務 在單一、可高度擴充的服務中。您可以使用 CloudWatch 日誌來監控、存放和存取 Amazon 彈性運算雲端 (EC2) 執行個體的日誌檔。 AWS CloudTrail, Amazon 路線 53, 和其他來源. 保留記錄至少 1 年可協助您符合記錄保留標準。

修補

若要設定日誌保留設定,請參閱 Amazon CloudWatch 使用者指南中的變更 CloudWatch 日誌資料保留

[CloudWatch.17] 應啟動 CloudWatch 警報動作

類別:偵測 > 偵測服務

相關要求: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7、NIST .800-53.R5、.800-53.R5 四四 NIST

嚴重性:

資源類型:AWS::CloudWatch::Alarm

AWS Config 規則:cloudwatch-alarm-action-enabled-check

排程類型:已觸發變更

參數:

此控制項會檢查 CloudWatch 警示動作是否已啟動 (ActionEnabled應設定為 true)。如果停用警示的警示動作,則控制項會失敗。 CloudWatch

注意

Security Hub 會根據 CloudWatch 度量警示來評估此控制項。公制警報可能是已激活警報動作的複合警報的一部分。控制FAILED項會在下列情況下產生發現項目:

  • 未針對度量警示設定指定的動作。

  • 公制警報是已激活警報動作的複合警報的一部分。

此控制項著重於 CloudWatch 警示動作的啟動狀態,而 CloudWatch.15 則著重於警 CloudWatch 示中是否已設定任何ALARM動作。

當受監控的測量結果超出定義的臨界值時,警示動作會自動發出警示。如果停用警示動作,警示變更狀態時不會執行任何動作,而且不會收到監控指標變更的警示。我們建議您啟用 CloudWatch 警示動作,以協助您快速回應安全性和操作問題。

修補

啟動 CloudWatch 警示動作 (主控台)

  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在功能窗格的 [警報] 下,選擇 [所有鬧鐘]。

  3. 選取您要啟動動作的鬧鐘。

  4. 在 [動] 中,選擇 [警示動作 — 新增],然後選擇 [啟用]。

如需啟用 CloudWatch 警示動作的詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的警示動作