Security Hub-Steuerungen für CloudTrail

Diese Security Hub-Steuerelemente bewerten die AWS CloudTrail Service und Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/2.1, CIS AWS Benchmark für Stiftungen v1.4.0/3.1, CIS AWS Benchmark für Stiftungen v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (22) NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8

Kategorie: Identifizieren > Protokollierung

Schweregrad: Hoch

Art der Ressource: AWS::::Account

AWS Config Regel: multi-region-cloudtrail-enabled

Art des Zeitplans: Periodisch

Parameter:

• readWriteType: ALL (nicht anpassbar)

  includeManagementEvents: true (nicht anpassbar)

Dieses Steuerelement prüft, ob es mindestens eine Multiregion gibt AWS CloudTrail Trail, der Verwaltungsereignisse für Lese- und Schreibvorgänge aufzeichnet. Das Steuerelement schlägt fehl, wenn es deaktiviert CloudTrail ist oder wenn es nicht mindestens einen CloudTrail Trail gibt, der Verwaltungsereignisse beim Lesen und Schreiben erfasst.

AWS CloudTrail Datensätze AWS APIruft nach Ihrem Konto auf und übermittelt Ihnen Protokolldateien. Die aufgezeichneten Informationen beinhalten die folgenden Informationen:

• Identität des API Anrufers

• Uhrzeit des Anrufs API

• Quell-IP-Adresse des API Anrufers

• Anforderungsparameter

• Antwortelemente, die vom zurückgegeben wurden AWS-Service

CloudTrail bietet eine Historie von AWS APIAnrufe nach einem Konto, einschließlich API Anrufen von AWS Management Console, AWS SDKs, Befehlszeilentools. Die Historie umfasst auch API Anrufe von höherer Ebene AWS-Services wie AWS CloudFormation.

Das Tool AWS APIDer von erstellte Anrufverlauf CloudTrail ermöglicht Sicherheitsanalysen, die Nachverfolgung von Ressourcenänderungen und die Überprüfung der Einhaltung von Vorschriften. Multi-Regions-Trails bieten auch die folgenden Vorteile.

• Ein Multi-Regions-Trail hilft, unerwartete Aktivitäten zu erkennen, die in ansonsten nicht verwendeten Regionen auftreten.

• Ein Multi-Regions-Trail stellt sicher, dass Global Service Event Logging standardmäßig für einen Trail aktiviert ist. Die globale Protokollierung von Serviceereignissen zeichnet Ereignisse auf, die generiert wurden von AWS globale Dienste.

• Bei einem Trail mit mehreren Regionen stellen Verwaltungsereignisse für alle Lese- und Schreibvorgänge sicher, dass die CloudTrail Datensatzverwaltungsvorgänge für alle Ressourcen in einem AWS-Konto.

Standardmäßig sind CloudTrail Pfade, die mit dem erstellt wurden AWS Management Console sind Wanderwege mit mehreren Regionen.

Abhilfe

Informationen zum Erstellen eines neuen Wanderweges mit mehreren Regionen finden Sie unter Erstellen eines Wanderweges in CloudTrail der AWS CloudTrail Benutzerleitfaden. Verwenden Sie die folgenden Werte:

Feld	Value (Wert)
Zusätzliche Einstellungen, Überprüfung der Protokolldatei	Aktiviert
Wählen Sie Protokollereignisse, Verwaltungsereignisse, API Aktivität	Lesen und Schreiben. Deaktivieren Sie die Kontrollkästchen für Ausschlüsse.

Informationen zum Aktualisieren eines vorhandenen Pfads finden Sie unter Aktualisieren eines Pfades in der AWS CloudTrail Benutzerleitfaden. Wählen Sie unter Verwaltungsereignisse für APIAktivität die Option Lesen und Schreiben aus.

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

Verwandte Anforderungen: PCI DSS v3.2.1/3.4, CIS AWS Benchmark für Grundlagen v1.2.0/2.7, CIS AWS Benchmark für Stiftungen v1.4.0/3.7, CIS AWS Grundlagen Benchmark v3.0.0/3.5, NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest

Schweregrad: Mittel

Art der Ressource: AWS::CloudTrail::Trail

AWS Config Regel: cloud-trail-encryption-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob CloudTrail es für die Verwendung der serverseitigen Verschlüsselung () SSE konfiguriert ist AWS KMS key Verschlüsselung. Die Steuerung schlägt fehl, wenn das KmsKeyId nicht definiert ist.

Für eine zusätzliche Sicherheitsebene für Ihre vertraulichen CloudTrail Protokolldateien sollten Sie serverseitige Verschlüsselung mit verwenden AWS KMS keys (SSE-KMS) für Ihre CloudTrail Protokolldateien zur Verschlüsselung im Ruhezustand. Beachten Sie, dass die Protokolldateien, die CloudTrail an Ihre Buckets gesendet werden, standardmäßig durch serverseitige Amazon-Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (-S3) verschlüsselt werden. SSE

Abhilfe

Informationen zur Aktivierung der SSE KMS Verschlüsselung von CloudTrail Protokolldateien finden Sie unter Aktualisieren eines Pfads zur Verwendung eines Schlüssels in KMS AWS CloudTrail Benutzerleitfaden.

[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein

Verwandte Anforderungen: PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, v3.2.1/10.2.5, v3.2.1/10.2.6, v3.2.1/10.2.7, v3.2.1/10.3.1, v3.2.1/10.3.2, v3.2.1/10.3.3, v3.2.1/10.3.3, v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv3.2.1/10.3.6

Kategorie: Identifizieren > Protokollierung

Schweregrad: Hoch

Art der Ressource: AWS::::Account

AWS Config Regel: cloudtrail-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob AWS CloudTrail Trail ist in deinem aktiviert AWS-Konto. Die Kontrolle schlägt fehl, wenn für Ihr Konto nicht mindestens ein CloudTrail Trail aktiviert ist.

Allerdings einige AWS Dienste ermöglichen nicht die Protokollierung aller APIs Ereignisse. Sie sollten alle zusätzlichen Prüfpfade einrichten, mit CloudTrail Ausnahme der Dokumentation der einzelnen Dienste CloudTrail unter Unterstützte Dienste und Integrationen.

Abhilfe

Informationen zu den ersten Schritten CloudTrail und zur Erstellung eines Trails finden Sie unter Erste Schritte mit AWS CloudTrail Tutorial im AWS CloudTrail Benutzerleitfaden.

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

Verwandte Anforderungen: PCI DSS v3.2.1/10.5.2, v3.2.1/10.5.5, PCI DSS CIS AWS Benchmark für Grundlagen v1.2.0/2.2, CIS AWS Benchmark für Stiftungen v1.4.0/3.2, CIS AWS Grundlagen Benchmark v3.0.0/3.2, NIST .800-53.r5 AU-9, .800-53.r5 SI-4, .800-53.r5 SI-7 (1), NIST .800-53.r5 SI-7 (3), .800-53.r5 SI-7 (7) NIST NIST NIST

Kategorie: Datenschutz > Datenintegrität

Schweregrad: Niedrig

Art der Ressource: AWS::CloudTrail::Trail

AWS Config Regel: cloud-trail-log-file-validation-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement überprüft in einem CloudTrail Trail, ob die Integritätsprüfung der Protokolldatei aktiviert ist.

CloudTrail Bei der Überprüfung der Protokolldatei wird eine digital signierte Digest-Datei erstellt, die einen Hash jedes Protokolls enthält, das in Amazon S3 CloudTrail geschrieben wird. Sie können diese Digest-Dateien verwenden, um festzustellen, ob eine Protokolldatei nach CloudTrail der Übermittlung des Protokolls geändert, gelöscht oder unverändert wurde.

Security Hub empfiehlt, dass Sie die Dateiüberprüfung auf allen Wegen aktivieren. Die Protokolldateivalidierung bietet zusätzliche Integritätsprüfungen von CloudTrail Protokollen.

Abhilfe

Informationen zum Aktivieren der Überprüfung von CloudTrail Protokolldateien finden Sie unter Aktivieren der Überprüfung der Integrität von Protokolldateien CloudTrail in der AWS CloudTrail Benutzerhandbuch.

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

Verwandte Anforderungen: PCI DSS v3.2.1/10.5.3, CIS AWS Benchmark für Grundlagen v1.2.0/2.4, CIS AWS Grundlagen Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2 (4), (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), .800-53.r5 SI-20 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-4 (5), .800-53.r5 SI-7 (8) NIST NIST NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Niedrig

Ressourcentyp: AWS::CloudTrail::Trail

AWS Config Regel: cloud-trail-cloud-watch-logs-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob CloudTrail Trails so konfiguriert sind, dass sie Logs an CloudWatch Logs senden. Die Steuerung schlägt fehl, wenn die CloudWatchLogsLogGroupArn Eigenschaft des Trails leer ist.

CloudTrail Aufzeichnungen AWS APIAnrufe, die auf einem bestimmten Konto getätigt werden. Die aufgezeichneten Informationen umfassen Folgendes:

• Die Identität des API Anrufers

• Die Uhrzeit des Anrufs API

• Die Quell-IP-Adresse des API Anrufers

• Die Anforderungsparameter

• Die Antwortelemente, die von der zurückgegeben wurden AWS-Service

CloudTrail verwendet Amazon S3 für die Speicherung und Lieferung von Protokolldateien. Sie können CloudTrail Protokolle für langfristige Analysen in einem bestimmten S3-Bucket erfassen. Um Echtzeitanalysen durchzuführen, können Sie so konfigurieren, dass CloudWatch Protokolle CloudTrail an Logs gesendet werden.

CloudTrail Sendet bei einem Trail, der in allen Regionen eines Kontos aktiviert ist, Protokolldateien aus all diesen Regionen an eine CloudWatch Logs-Protokollgruppe.

Security Hub empfiehlt, dass Sie CloudTrail CloudWatch Protokolle an Logs senden. Beachten Sie, dass diese Empfehlung sicherstellen soll, dass Kontoaktivitäten erfasst, überwacht und entsprechend alarmiert werden. Sie können CloudWatch Logs verwenden, um dies mit Ihrem einzurichten AWS-Services. Diese Empfehlung schließt die Verwendung einer anderen Lösung nicht aus.

Das Senden von CloudTrail CloudWatch Protokollen an Logs ermöglicht die Aufzeichnung von Aktivitäten in Echtzeit und im Verlauf auf der Grundlage von BenutzernAPI, Ressourcen und IP-Adressen. Mit diesem Ansatz können Sie Alarme und Benachrichtigungen für ungewöhnliche oder sensible Kontoaktivitäten einrichten.

Abhilfe

Informationen zur Integration CloudTrail mit CloudWatch Logs finden Sie unter Ereignisse an CloudWatch Logs senden in der AWS CloudTrail Benutzerleitfaden.

[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/2.3, CIS AWS Benchmark für Stiftungen v1.4.0/3.3

Kategorie: Identifizieren > Protokollierung

Schweregrad: Kritisch

Art der Ressource: AWS::S3::Bucket

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Periodisch und durch Änderung ausgelöst

Parameter: Keine

CloudTrail protokolliert jeden API Anruf, der in Ihrem Konto getätigt wurde. Diese Protokolldateien werden in einem S3-Bucket gespeichert. CISempfiehlt, die S3-Bucket-Richtlinie oder Zugriffskontrollliste (ACL) auf den S3-Bucket anzuwenden, der CloudTrail protokolliert, um den öffentlichen Zugriff auf die CloudTrail Protokolle zu verhindern. Wenn der öffentliche Zugriff auf CloudTrail Protokollinhalte gewährt wird, kann dies einem Angreifer dabei helfen, Schwachstellen in der Nutzung oder Konfiguration des betroffenen Kontos zu erkennen.

Um diese Prüfung durchzuführen, verwendet Security Hub zunächst benutzerdefinierte Logik, um nach dem S3-Bucket zu suchen, in dem Ihre CloudTrail Logs gespeichert sind. Anschließend verwendet es den AWS Config verwaltete Regeln, um zu überprüfen, ob der Bucket öffentlich zugänglich ist.

Wenn Sie Ihre Logs in einem einzigen zentralen S3-Bucket zusammenfassen, führt Security Hub die Prüfung nur für das Konto und die Region durch, in der sich der zentrale S3-Bucket befindet. Für andere Konten und Regionen lautet der Kontrollstatus Keine Daten.

Wenn der Bucket öffentlich zugänglich ist, generiert die Prüfung einen Fehler.

Abhilfe

Informationen zum Blockieren des öffentlichen Zugriffs auf Ihren CloudTrail S3-Bucket finden Sie unter Konfiguration der Einstellungen zum Sperren des öffentlichen Zugriffs für Ihre S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch. Wählen Sie alle vier Amazon S3 Block Public Access-Einstellungen aus.

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

Verwandte Anforderungen: CIS AWS Benchmark für Grundlagen v1.2.0/2.6, CIS AWS Benchmark für Stiftungen v1.4.0/3.6, CIS AWS Benchmark für Stiftungen v3.0.0/3.4

Kategorie: Identifizieren > Protokollierung

Schweregrad: Niedrig

Art der Ressource: AWS::S3::Bucket

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Die S3-Bucket-Zugriffsprotokollierung generiert ein Protokoll, das Zugriffsdatensätze für jede Anfrage an Ihren S3-Bucket enthält. Ein Zugriffsprotokoll-Datensatz enthält Details über jede Anfrage, wie beispielsweise den Anforderungstyp, die in der Anfrage angeforderten Ressource sowie Uhrzeit und Datum der Anfrage.

CISempfiehlt, dass Sie die Bucket-Zugriffsprotokollierung für den CloudTrail S3-Bucket aktivieren.

Durch das Aktivieren der S3-Bucket-Protokollierung für Ziel-S3-Buckets können Sie alle Ereignisse erfassen, die Auswirkungen auf Objekte in einem Ziel-Bucket haben können. Wenn Protokolle so konfiguriert sind, dass sie in einem separaten Bucket platziert werden, haben Sie Zugang zu Protokollinformationen, die in Sicherheits- und Vorfallreaktions-Workflows hilfreich sein können.

Um diese Prüfung durchzuführen, verwendet Security Hub zunächst benutzerdefinierte Logik, um nach dem Bucket zu suchen, in dem Ihre CloudTrail Protokolle gespeichert sind, und verwendet dann den AWS Config verwaltete Regel, um zu überprüfen, ob die Protokollierung aktiviert ist.

Es CloudTrail liefert Protokolldateien von mehreren AWS-Konten In einem Amazon S3 S3-Bucket mit einem einzigen Ziel bewertet Security Hub diese Kontrolle nur anhand des Ziel-Buckets in der Region, in der es sich befindet. Dadurch werden Ihre Ergebnisse optimiert. Sie sollten diese Option jedoch CloudTrail in allen Konten aktivieren, die Protokolle an den Ziel-Bucket senden. Für alle Konten außer dem Konto, das den Ziel-Bucket enthält, lautet der Kontrollstatus Keine Daten.

Wenn der Bucket öffentlich zugänglich ist, generiert die Prüfung einen Fehler.

Abhilfe

Informationen zum Aktivieren der Serverzugriffsprotokollierung für Ihren CloudTrail S3-Bucket finden Sie unter Aktivieren der Amazon S3 S3-Serverzugriffsprotokollierung im Amazon Simple Storage Service-Benutzerhandbuch.

[CloudTrail.9] CloudTrail Wege sollten markiert werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::CloudTrail::Trail

AWS Config Regel: tagged-cloudtrail-trail (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
requiredTagKeys	Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.	StringList	Liste der Stichwörter, die übereinstimmen AWS Anforderungen	No default value

Diese Kontrolle prüft, ob ein AWS CloudTrail trail hat Tags mit den spezifischen Schlüsseln, die im Parameter definiert sindrequiredTagKeys. Die Steuerung schlägt fehl, wenn der Trail keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Trail mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.

Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und an AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.

Anmerkung

Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.

Abhilfe

Informationen zum Hinzufügen von Markierungen zu einem CloudTrail Trail finden Sie AddTagsin der AWS CloudTrail APIReferenz.