Security Hub 控制項 AWS WAF - AWS Security Hub
[WAF1] AWS WAF 應啟用傳統全域網頁ACL記錄[WAF2] AWS WAF 傳統區域規則應具有至少一個條件[WAF3] AWS WAF 傳統區域規則群組至少應該有一個規則[WAF.4] AWS WAF 傳統區域網路至少ACLs應該有一個規則或規則群組[WAF.6] AWS WAF 傳統全域規則應至少有一個條件[WAF.7] AWS WAF 傳統全域規則群組至少應有一個規則[WAF.8] AWS WAF 傳統全域 Web 至少ACLs應該有一個規則或規則群組[WAF.10] AWS WAF web ACLs 應該至少有一個規則或規則群組[WAF.11] AWS WAF 應ACL啟用網頁記錄[WAF.12] AWS WAF 規則應啟用 CloudWatch 量度

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 控制項 AWS WAF

這些 AWS Security Hub 控制項:評估 AWS WAF 服務和資源。

這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性

[WAF1] AWS WAF 應啟用傳統全域網頁ACL記錄

相關要求: NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7(二十六) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、(九)、NIST

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::WAF::WebACL

AWS Config 規則:waf-classic-logging-enabled

排程類型:定期

參數:

此控制項會檢查是否已啟用記錄 AWS WAF 全球網絡ACL。如果未為 Web 啟用記錄,則此控制項會失敗ACL。

記錄是維護可靠性、可用性和效能的重要組成部分 AWS WAF 全球。這是許多組織中的業務和合規性要求,可讓您對應用程式行為進行疑難排解。它還提供了有關由附加到的 Web 分析的流量ACL的詳細信息 AWS WAF.

修補

若要啟用記錄 AWS WAF 網頁ACL,請參閱記錄網路ACL流量資訊 AWS WAF 開發人員指南

[WAF2] AWS WAF 傳統區域規則應具有至少一個條件

相關要求: NIST.800-53.r5 AC-4(二十一) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (十一)、 NIST.800-53.r5 SC-7 (十六)、 NIST.800-53.r5 SC-7 (21)

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::WAFRegional::Rule

AWS Config 規則:waf-regional-rule-not-empty

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF 區域規則至少有一個條件。如果規則中沒有條件,則控制項會失敗。

一個WAF地區規則可以包含多個條件。規則的條件允許流量檢查並採取定義的處理行動 (允許、封鎖或計數)。沒有任何條件,交通通過沒有檢查。沒有條件的WAF地區規則,但名稱或標籤建議允許、封鎖或計數,可能會導致錯誤的假設是發生這些動作之一。

修補

若要將條件新增至空白規則,請參閱新增和移除規則中的條件 AWS WAF 開發人員指南

[WAF3] AWS WAF 傳統區域規則群組至少應該有一個規則

相關要求: NIST.800-53.r5 AC-4(二十一) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (十一)、 NIST.800-53.r5 SC-7 (十六)、 NIST.800-53.r5 SC-7 (21)

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::WAFRegional::RuleGroup

AWS Config 規則:waf-regional-rulegroup-not-empty

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF 地區規則群組至少有一個規則。如果規則群組中沒有規則,控制項就會失敗。

一個WAF地區規則群組可以包含多個規則。規則的條件允許流量檢查並採取定義的處理行動 (允許、封鎖或計數)。沒有任何規則,交通通過沒有檢查。沒有規則,但名稱或標記建議允許、封鎖或計數的WAF地區規則群組可能會導致錯誤的假設,認為其中一個動作正在發生。

修補

若要將規則和規則條件新增至空白規則群組,請參閱新增和刪除規則 AWS WAF 傳統規則群組和新增和移除規則中的條件 AWS WAF 開發人員指南

[WAF.4] AWS WAF 傳統區域網路至少ACLs應該有一個規則或規則群組

相關要求: NIST.800-53.r5 CA-9(一)、五NIST分之二

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::WAFRegional::WebACL

AWS Config 規則:waf-regional-webacl-not-empty

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF Classic 區域性 web ACL 包含任何WAF規則或規WAF則群組。如果 Web ACL 不包含任何WAF規則或規則群組,則此控制項會失敗。

地WAF區網站ACL可以包含檢查和控制 Web 請求的規則和規則群組集合。如果 Web ACL 為空,則根據默認操作,Web 流量可以在不被檢測到或採WAF取行動的情況下通過。

修補

若要將規則或規則群組新增至空白 AWS WAF 傳統區域網路 ACL請參閱ACL在 AWS WAF 開發人員指南

[WAF.6] AWS WAF 傳統全域規則應至少有一個條件

相關要求: NIST.800-53.r5 CA-9(一)、五NIST分之二

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::WAF::Rule

AWS Config 規則:waf-global-rule-not-empty

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF 全域規則包含任何條件。如果規則中沒有條件,則控制項會失敗。

WAF全域規則可以包含多個條件。規則的條件允許流量檢查並採取定義的處理行動 (允許、封鎖或計數)。沒有任何條件,交通通過沒有檢查。沒有條件的WAF全域規則,但具有建議允許、封鎖或計數的名稱或標籤,可能會導致錯誤的假設是其中一個動作正在發生。

修補

如需建立規則和新增條件指示,請參閱在 AWS WAF 開發人員指南

[WAF.7] AWS WAF 傳統全域規則群組至少應有一個規則

相關要求: NIST.800-53.r5 CA-9(一)、五NIST分之二

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::WAF::RuleGroup

AWS Config 規則:waf-global-rulegroup-not-empty

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF 全域規則群組至少有一個規則。如果規則群組中沒有規則,控制項就會失敗。

WAF全域規則群組可以包含多個規則。規則的條件允許流量檢查並採取定義的處理行動 (允許、封鎖或計數)。沒有任何規則,交通通過沒有檢查。沒有規則的WAF全域規則群組,但名稱或標籤建議允許、封鎖或計數,可能會導致錯誤的假設是其中一個動作正在發生。

修補

如需將規則新增至規則群組的指示,請參閱建立規則 AWS WAF 中的傳統規則群組 AWS WAF 開發人員指南

[WAF.8] AWS WAF 傳統全域 Web 至少ACLs應該有一個規則或規則群組

相關要求: NIST.800-53.r5 AC-4(二十一) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (十一)、 NIST.800-53.r5 SC-7 (十六)、 NIST.800-53.r5 SC-7 (21)

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::WAF::WebACL

AWS Config 規則:waf-global-webacl-not-empty

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF 全域網路至少ACL包含一個WAF規則或WAF規則群組。如果 Web 不包含任何WAF規則或規則群組,則控制項ACL會失敗。

WAF全域 Web ACL 可以包含檢查和控制 Web 要求的規則和規則群組集合。如果 Web ACL 為空,則根據默認操作,Web 流量可以在不被檢測到或採WAF取行動的情況下通過。

修補

若要將規則或規則群組新增至空白 AWS WAF 全球網站 ACL,請參閱ACL在 AWS WAF 開發人員指南。針對「選」,選擇「全域」(CloudFront)

[WAF.10] AWS WAF web ACLs 應該至少有一個規則或規則群組

相關要求: NIST.800-53.r5 CA-9(一)、五NIST分之二

類別:保護 > 安全網路組態

嚴重性:

資源類型:AWS::WAFv2::WebACL

AWS Config 規則:wafv2-webacl-not-empty

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF V2 Web 存取控制清單 (WebACL) 至少包含一個規則或規則群組。如果 Web 不包含任何規則或規則群組,則控制項ACL會失敗。

Web ACL 使您可以對受保護的資源響應的所有HTTP(S)Web 請求進行細粒度控制。Web ACL 應該包含檢查和控制 Web 請求的規則和規則群組集合。如果 Web ACL 是空的,則 Web 流量可以通過而不會被檢測到或採取行動 AWS WAF 取決於默認操作。

修補

若要將規則或規則群組新增至空白WAFV2網頁 ACL,請參閱ACL在 AWS WAF 開發人員指南

[WAF.11] AWS WAF 應ACL啟用網頁記錄

相關要求: NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7(二十六) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 (十)、(九)、NIST

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::WAFv2::WebACL

AWS Config 規則:wafv2-logging-enabled

排程類型:定期

參數:

此控制項會檢查是否已啟動記錄 AWS WAF V2 網絡訪問控制列表(網絡ACL)。如果停用 Web ACL 的記錄,則此控制項會失敗。

注意

此控制項不會檢查是否 AWS WAF 透過 Amazon 安全湖為帳戶啟用網頁ACL記錄。

記錄可維護的可靠性、可用性和效能 AWS WAF。 此外,記錄是許多組織中的業務和合規性要求。藉由記錄 Web 分析的流量ACL,您可以疑難排解應用程式行為。

修補

若要啟動記錄 AWS WAF 網頁ACL,請參閱管理網頁ACL的記錄 AWS WAF 開發人員指南

[WAF.12] AWS WAF 規則應啟用 CloudWatch 量度

相關要求: NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7(二十六) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 (十)、(九)、NIST

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::WAFv2::RuleGroup

AWS Config 規則:wafv2-rulegroup-logging-enabled

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS WAF 規則或規則群組已啟用 Amazon CloudWatch 指標。如果規則或規則群組未啟用 CloudWatch 量度,控制項就會失敗。

設定 CloudWatch 測量結果 AWS WAF 規則和規則群組可讓您查看流量流量。您可以查看哪些ACL規則被觸發,以及接受和阻止哪些請求。此可見性可協助您識別相關資源上的惡意活動。

修補

若要啟用 CloudWatch 量度 AWS WAF 規則群組,呼叫 UpdateRuleGroupAPI. 若要啟用 CloudWatch 量度 AWS WAF 規則,呼叫 UpdateWebACLAPI. 將CloudWatchMetricsEnabled欄位設定為true。當您使用 AWS WAF 用於建立規則或規則群組的主控台, CloudWatch 指標會自動啟用。