本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon CloudWatch 的 Security Hub CSPM 控制項
<a name="cloudwatch-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon CloudWatch 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者
<a name="cloudwatch-1"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/1.1、CIS AWS Foundations Benchmark v1.2.0/3.3、CIS AWS Foundations Benchmark v1.4.0/1.7、CIS AWS Foundations Benchmark v1.4.0/4.3、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7、PCI DSS v3.2.1/7.2.1

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

根使用者可以不受限制地存取 中的所有 服務和資源 AWS 帳戶。強烈建議您避免將根使用者用於日常任務。將根使用者的使用量降至最低，並採用最低權限原則進行存取管理，可降低意外變更和意外公開高權限憑證的風險。

最佳實務是，只有在需要[執行帳戶和服務管理任務](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)時，才使用您的根使用者憑證。Apply AWS Identity and Access Management (IAM) 政策直接套用至群組和角色，但不適用於使用者。如需如何設定管理員以供日常使用的教學課程，請參閱《[IAM 使用者指南》中的建立您的第一個 IAM 管理員使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) **

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 1.7 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-1-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.2] 確保未經授權的 API 呼叫存在日誌指標篩選條件和警示
<a name="cloudwatch-2"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為未經授權的 API 呼叫建立指標篩選條件和警示。監控未經授權的 API 呼叫有助於揭露應用程式錯誤，可能會降低偵測惡意活動的時間。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.2 版中針對控制項 3.1](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-2-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.3] 確保沒有 MFA 的管理主控台登入存在日誌指標篩選條件和警示
<a name="cloudwatch-3"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.2

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您建立不受 MFA 保護的指標篩選條件和警示主控台登入。監控單一因素主控台登入會增加不受 MFA 保護的帳戶可見性。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.2 版中針對控制項 3.2 指定的確切稽核步驟。](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-3-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.4] 確保 IAM 政策變更存在日誌指標篩選條件和警示
<a name="cloudwatch-4"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.4、CIS AWS Foundations Benchmark v1.4.0/4.4、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

此控制項會檢查您是否即時監控 API 呼叫，方法是將 CloudTrail 日誌導向 CloudWatch Logs，並建立對應的指標篩選條件和警示。

CIS 建議您為 IAM 政策所做的變更建立指標篩選條件和警示。監控這些變更有助於確保身分驗證和授權控制保持不變。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-4-remediation"></a>

**注意**  
我們在這些修復步驟中建議的篩選條件模式與 CIS 指引中的篩選條件模式不同。我們建議的篩選條件僅針對來自 IAM API 呼叫的事件。

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.5] 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示
<a name="cloudwatch-5"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.5、CIS AWS Foundations Benchmark v1.4.0/4.5、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為 CloudTrail 組態設定的變更建立指標篩選條件和警示。監控這些變更有助於確保帳戶活動的持續可見性。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.5 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-5-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.6] 確保 AWS 管理主控台 驗證失敗時存在日誌指標篩選條件和警示
<a name="cloudwatch-6"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.6、CIS AWS Foundations Benchmark v1.4.0/4.6、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為失敗的主控台身分驗證嘗試建立指標篩選條件和警示。監控失敗的主控台登入可能會降低偵測嘗試暴力破解登入資料的前置時間，這可能會提供可用於其他事件相互關聯的指標，例如來源 IP。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.6 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-6-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.7] 確保日誌指標篩選條件和警示存在，以停用或排程刪除客戶受管金鑰
<a name="cloudwatch-7"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.7、CIS AWS Foundations Benchmark v1.4.0/4.7、NIST.800-171.r2 3.13.10、NIST.800-171.r2 3.13.16、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為狀態已變更為已停用或排程刪除的客戶受管金鑰建立指標篩選條件和警示。無法繼續存取使用已停用或已刪除金鑰加密的資料。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.7 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。如果 `ExcludeManagementEventSources`包含 ，則控制項也會失敗`kms.amazonaws.com`。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-7-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.8] 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示
<a name="cloudwatch-8"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.8、CIS AWS Foundations Benchmark v1.4.0/4.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為 S3 儲存貯體政策的變更建立指標篩選條件和警示。監控這些變更可能會降低偵測和更正敏感 S3 儲存貯體寬鬆政策的時間。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.8 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-8-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.9] 確保 AWS Config 組態變更存在日誌指標篩選條件和警示
<a name="cloudwatch-9"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.9、CIS AWS Foundations Benchmark v1.4.0/4.9、NIST.800-171.r2 3.3.8、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。

CIS 建議您為組態設定的變更 AWS Config 建立指標篩選條件和警示。監控這些變更有助於確保帳戶組態項目的持續可見性。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 版中針對控制項 4.9 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生問題清單。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-9-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.10] 確保安全群組變更存在日誌指標篩選條件和警示
<a name="cloudwatch-10"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.10、CIS AWS Foundations Benchmark v1.4.0/4.10、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。安全群組是控制 VPC 中輸入和輸出流量的狀態封包篩選條件。

CIS 建議您為安全群組的變更建立指標篩選條件和警示。監控這些變更有助於確保不會意外公開 資源和服務。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0 版中針對控制項 4.10 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-10-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.11] 確定網路存取控制清單 (NACL) 的變更存在日誌指標篩選條件和警示
<a name="cloudwatch-11"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.11、CIS AWS Foundations Benchmark v1.4.0/4.11、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。NACL 做為無狀態封包篩選條件使用，可控制 VPC 中子網路的輸入和輸出流量。

CIS 建議您為 NACLs 的變更建立指標篩選條件和警示。監控這些變更有助於確保 AWS 資源和服務不會意外公開。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0 版中針對控制項 4.11 ](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1)指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-11-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.12] 確保網路閘道變更存在日誌指標篩選條件和警示
<a name="cloudwatch-12"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.12、CIS AWS Foundations Benchmark v1.4.0/4.12、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。需要有網路閘道才能在 VPC 外部的目標傳送和接收流量。

CIS 建議您為網路閘道的變更建立指標篩選條件和警示。監控這些變更有助於確保所有輸入和輸出流量透過控制路徑周遊 VPC 邊界。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.2 版中針對控制項 4.12](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在`NO_DATA`下列情況下，檢查會導致 的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織追蹤會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-12-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.13] 確保路由表變更存在日誌指標篩選條件和警示
<a name="cloudwatch-13"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.13、CIS AWS Foundations Benchmark v1.4.0/4.13、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config 規則：**無 （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

此控制項會檢查您是否即時監控 API 呼叫，方法是將 CloudTrail 日誌導向 CloudWatch Logs，並建立對應的指標篩選條件和警示。路由表會在子網路間路由網路流量，並路由到網路閘道。

CIS 建議您為路由表的變更建立指標篩選條件和警示。監控這些變更有助於確保所有 VPC 流量流經預期的路徑。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-13-remediation"></a>

**注意**  
我們在這些修復步驟中建議的篩選條件模式與 CIS 指引中的篩選條件模式不同。我們建議的篩選條件僅針對來自 Amazon Elastic Compute Cloud (EC2) API 呼叫的事件。

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.14] 確保 VPC 變更存在日誌指標篩選條件和警示
<a name="cloudwatch-14"></a>

**相關要求：**CIS AWS Foundations Benchmark v1.2.0/3.14、CIS AWS Foundations Benchmark v1.4.0/4.14、NIST.800-171.r2 3.3.1、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.14.6、NIST.800-171.r2 3.14.7

**類別：**偵測 > 偵測服務

**嚴重性：**低

**資源類型：**`AWS::Logs::MetricFilter`、`AWS::CloudWatch::Alarm`、`AWS::CloudTrail::Trail`、 `AWS::SNS::Topic`

**AWS Config rule：**None （自訂 Security Hub CSPM 規則）

**排程類型：**定期

**參數：**無

您可以將 CloudTrail 日誌導向 CloudWatch Logs 並建立對應的指標篩選條件和警示，以即時監控 API 呼叫。一個帳戶可有多個 VPC，而您可在兩個 VPC 之間建立對等連線，在 VPC 之間路由網路流量。

CIS 建議您為 VPCs 的變更建立指標篩選條件和警示。監控這些變更有助於確保身分驗證和授權控制保持不變。

若要執行此檢查，Security Hub CSPM 會使用自訂邏輯來執行 [CIS AWS Foundations Benchmark 1.4.0 版中針對控制項 4.14](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) 指定的確切稽核步驟。如果未使用 CIS 所規定的確切指標篩選條件，此控制會失敗。無法將其他欄位或術語新增至指標篩選條件。

**注意**  
當 Security Hub CSPM 執行此控制項的檢查時，它會尋找目前帳戶使用的 CloudTrail 追蹤。這些線索可能是屬於另一個帳戶的組織線索。多區域線索也可能位於不同的區域。  
檢查會在下列情況下產生`FAILED`問題清單：  
未設定線索。
目前區域和目前帳戶擁有的可用線索不符合控制要求。
在下列情況下，檢查會導致 `NO_DATA`的控制狀態：  
多區域追蹤是以不同的區域為基礎。Security Hub CSPM 只能在追蹤所在的區域中產生問題清單。
多區域追蹤屬於不同的 帳戶。Security Hub CSPM 只能為擁有追蹤的帳戶產生調查結果。  
我們建議組織追蹤記錄組織中許多帳戶的事件。根據預設，組織線索是多區域線索，只能由 AWS Organizations 管理帳戶或 CloudTrail 委派管理員帳戶管理。對於組織成員帳戶中評估`NO_DATA`的控制項，使用組織線索會導致 的控制狀態。在成員帳戶中，Security Hub CSPM 只會為成員擁有的資源產生調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總，在 Security Hub CSPM 委派管理員帳戶中查看這些問題清單。
對於警示，目前帳戶必須擁有參考的 Amazon SNS 主題，或必須呼叫 來存取 Amazon SNS 主題`ListSubscriptionsByTopic`。否則 Security Hub CSPM 會產生控制項的問題`WARNING`清單。

### 修補
<a name="cloudwatch-14-remediation"></a>

若要傳遞此控制項，請依照下列步驟建立 Amazon SNS 主題、 AWS CloudTrail 線索、指標篩選條件，以及指標篩選條件的警示。

1. 建立 Amazon SNS 主題。如需說明，請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic)。 **建立接收所有 CIS 警示的主題，並建立至少一個主題訂閱。

1. 建立適用於所有 的 CloudTrail 追蹤 AWS 區域。如需說明，請參閱*AWS CloudTrail 《 使用者指南*》中的[建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。

   請記下您與 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。 CloudTrail 您可以在下一個步驟中為該日誌群組建立指標篩選條件。

1. 建立指標篩選條件。如需說明，請參閱《*Amazon CloudWatch 使用者指南*》中的[為日誌群組建立指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html)。使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

1. 根據篩選條件建立警示。如需說明，請參閱《Amazon [ CloudWatch 使用者指南》中的根據日誌群組指標篩選條件建立 CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html)。 *Amazon CloudWatch * 使用下列的值：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/cloudwatch-controls.html)

## 【CloudWatch.15] CloudWatch 警示應已設定指定的動作
<a name="cloudwatch-15"></a>

**相關要求：**NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 IR-4(1)、NIST.800-53.r5 IR-4(5)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)、NIST.800-171.r2、NIST.40

**類別：**偵測 > 偵測服務

**嚴重性：**高

**資源類型：** `AWS::CloudWatch::Alarm`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) ``

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `alarmActionRequired`  |  如果 參數設定為 ，`true`且警示狀態變更為 時有動作，則控制項會產生`PASSED`調查結果`ALARM`。  |  Boolean  |  無法自訂  |  `true`  | 
|  `insufficientDataActionRequired`  |  如果 參數設定為 ，`true`且警示狀態變更為 時有動作，則控制項會產生`PASSED`問題清單`INSUFFICIENT_DATA`。  |  Boolean  |  `true` 或 `false` \$1  |  `false`  | 
|  `okActionRequired`  |  如果 參數設定為 ，`true`且警示狀態變更為 時有動作，則控制項會產生`PASSED`問題清單`OK`。  |  Boolean  |  `true` 或 `false` \$1  |  `false`  | 

此控制項會檢查 Amazon CloudWatch 警示是否已針對 `ALARM` 狀態設定至少一個動作。如果警示未針對 `ALARM` 狀態設定動作，則控制項會失敗。或者，您可以包含自訂參數值，以同時需要 `INSUFFICIENT_DATA`或 `OK` 狀態的警示動作。

**注意**  
Security Hub CSPM 會根據 CloudWatch 指標警示評估此控制項。指標警示可能是已設定指定動作的複合警示的一部分。控制項會在下列情況下產生`FAILED`問題清單：  
未針對指標警示設定指定的動作。
指標警示是已設定指定動作的複合警示的一部分。

此控制項著重於 CloudWatch 警示是否已設定警示動作，而 [CloudWatch.17](#cloudwatch-17) 則著重於 CloudWatch 警示動作的啟用狀態。

我們建議 CloudWatch 警示動作，以便在監控的指標超出定義的閾值時自動提醒您。監控警示可協助您識別異常活動，並在警示進入特定狀態時快速回應安全性和操作問題。最常見的警示動作類型是透過傳送訊息至 Amazon Simple Notification Service (Amazon SNS) 主題來通知一或多個使用者。

### 修補
<a name="cloudwatch-15-remediation"></a>

如需有關 CloudWatch 警示支援之動作的資訊，請參閱《*Amazon CloudWatch 使用者指南*》中的[警示動作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。

## 【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的時間
<a name="cloudwatch-16"></a>

**類別：**識別 > 記錄日誌

**相關要求：**NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-11、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-12

**嚴重性：**中

**資源類型：** `AWS::Logs::LogGroup`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html) ``

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `minRetentionTime`  |  CloudWatch 日誌群組的最短保留期間，以天為單位  |  列舉  |  `365, 400, 545, 731, 1827, 3653`  |  `365`  | 

此控制項會檢查 Amazon CloudWatch 日誌群組是否具有至少指定天數的保留期間。如果保留期間小於指定的數字，則控制項會失敗。除非您提供保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 365 天。

CloudWatch Logs 會將所有系統、應用程式和 的日誌集中在單一、高度可擴展的服務 AWS 服務 中。您可以使用 CloudWatch Logs 從 Amazon Elastic Compute Cloud (EC2) 執行個體、Amazon Route 53 和其他來源監控 AWS CloudTrail、存放和存取您的日誌檔案。保留日誌至少 1 年可協助您符合日誌保留標準。

### 修補
<a name="cloudwatch-16-remediation"></a>

若要設定日誌保留設定，請參閱《Amazon [ CloudWatch 使用者指南》中的在 CloudWatch Logs 中變更日誌資料保留](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)。 *Amazon CloudWatch *

## 【CloudWatch.17] 應啟用 CloudWatch 警示動作
<a name="cloudwatch-17"></a>

**類別：**偵測 > 偵測服務

**相關需求：**NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-4(12)

**嚴重性：**高

**資源類型：** `AWS::CloudWatch::Alarm`

**AWS Config 規則：** [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html) ``

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 CloudWatch 警示動作是否已啟用 (`ActionEnabled` 應設為 true)。如果 CloudWatch 警示的警示動作已停用，則控制項會失敗。

**注意**  
Security Hub CSPM 會根據 CloudWatch 指標警示評估此控制項。指標警示可能是啟用警示動作的複合警示的一部分。控制項會在下列情況下產生`FAILED`問題清單：  
未針對指標警示設定指定的動作。
指標警示是已啟用警示動作的複合警示的一部分。

此控制項著重於 CloudWatch 警示動作的啟用狀態，而 [CloudWatch.15](#cloudwatch-15) 則著重於 CloudWatch 警示中是否設定任何`ALARM`動作。

當受監控的指標超出定義的閾值時，警示動作會自動提醒您。如果警示動作已停用，則警示變更狀態時不會執行任何動作，而且您不會收到監控指標變更的提醒。我們建議您啟用 CloudWatch 警示動作，以協助您快速回應安全性和操作問題。

### 修補
<a name="cloudwatch-17-remediation"></a>

**啟用 CloudWatch 警示動作 （主控台）**

1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中的**警示**下，選擇**所有警示**。

1. 選取您要為其啟用動作的警示。

1. 針對**動作**，選擇**警示動作-新**，然後選擇**啟用**。

如需啟用 CloudWatch 警示動作的詳細資訊，請參閱《*Amazon CloudWatch 使用者指南*》中的[警示動作](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions)。