CloudWatch Amazon-Kontrollen

Diese Kontrollen beziehen sich auf CloudWatch Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[CloudWatch.1] Für den Benutzer „root“ sollten ein Metrik-Logfilter und ein Alarm vorhanden sein

Verwandte Anforderungen: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS Foundations Benchmark v1.4.0/1.7, CIS AWS Foundations Benchmark v1.4.0/4.3 AWS AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailRessourcentyp:,,, AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Der Root-Benutzer hat uneingeschränkten Zugriff auf alle Dienste und Ressourcen in einem AWS-Konto. Wir empfehlen dringend, den Root-Benutzer nicht für tägliche Aufgaben zu verwenden. Durch die Minimierung der Nutzung des Root-Benutzers und die Anwendung des Prinzips der geringsten Rechte für die Zugriffsverwaltung wird das Risiko unbeabsichtigter Änderungen und der unbeabsichtigten Offenlegung hochberechtigter Anmeldeinformationen verringert.

Es hat sich bewährt, Ihre Root-Benutzeranmeldedaten nur dann zu verwenden, wenn sie für die Durchführung von Konto- und Dienstverwaltungsaufgaben erforderlich sind. Wenden Sie AWS Identity and Access Management (IAM-) Richtlinien direkt auf Gruppen und Rollen an, aber nicht auf Benutzer. Ein Tutorial zur Einrichtung eines Administrators für den täglichen Gebrauch finden Sie im IAM-Benutzerhandbuch unter Erstellen Ihres ersten IAM-Admin-Benutzers und Ihrer ersten Gruppe

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 1.7 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.1

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:AWS::Logs::MetricFilter,,, AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch

CIS empfiehlt, einen metrischen Filter zu erstellen und unberechtigte API-Aufrufe zu alarmieren. Die Überwachung nicht autorisierter API-Aufrufe hilft, Anwendungsfehler aufzudecken, und kann die Erkennung böswilliger Aktivitäten beschleunigen.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 3.1 im CIS AWS Foundations Benchmark v1.2 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.2

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:AWS::Logs::MetricFilter,,, AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch

CIS empfiehlt, einen Metrikfilter und Alarm-Konsolen-Logins zu erstellen, die nicht durch MFA geschützt sind. Durch die Überwachung zur Feststellung von Single-Factor-Konsolenanmeldungen wird die Transparenz im Hinblick auf Konten ohne MFA-Schutz gesteigert.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 3.2 im CIS AWS Foundations Benchmark v1.2 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:,,, AWS::Logs::MetricFilter AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob Sie API-Aufrufe in Echtzeit überwachen, indem es CloudTrail CloudWatch Protokolle an Logs weiterleitet und entsprechende Metrikfilter und Alarme einrichtet.

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an den IAM-Richtlinien zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Anmerkung

Unser empfohlenes Filtermuster für diese Behebungsschritte unterscheidet sich von dem Filtermuster in den CIS-Leitlinien. Unsere empfohlenen Filter zielen nur auf Ereignisse ab, die aus IAM-API-Aufrufen stammen.

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch1.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der Dauer CloudTrail AWS Config vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:,,, AWS::Logs::MetricFilter AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an den CloudTrail Konfigurationseinstellungen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass die Transparenz für Aktivitäten in diesem Konto erhalten bleibt.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.5 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Management Console Authentifizierungsfehler vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:,,, AWS::Logs::MetricFilter AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch

CIS empfiehlt, einen Metrikfilter und einen Alarm für fehlgeschlagene Konsolenauthentifizierungsversuche zu erstellen. Durch die Überwachung fehlgeschlagenere Konsolenanmeldungen kann die Vorlaufzeit für die Erkennung von Brute-Force-Angriffsversuchen auf Anmeldeinformationen reduziert werden, durch die ein Indikator geliefert werden kann (wie z. B. eine Quell-IP), den Sie in anderen Ereigniskorrelationen verwenden können.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.6 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:,,, AWS::Logs::MetricFilter AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch

CIS empfiehlt, einen Metrikfilter und einen Alarm für vom Kunden verwaltete Schlüssel zu erstellen, deren Status in „Deaktiviert“ oder „Geplantes Löschen“ geändert wurde. Mit deaktivierten oder gelöschten Schlüsseln verschlüsselte Daten sind nicht mehr zugänglich.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.7 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden. Die Steuerung schlägt auch fehl, wenn sie ExcludeManagementEventSources enthältkms.amazonaws.com.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:,,, AWS::Logs::MetricFilter AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an den S3-Bucket-Richtlinien zu erstellen. Durch das Überwachen dieser Änderungen können Sie die Zeit reduzieren, die zum Erkennen und Korrigieren permissiver Richtlinien für sensible S3-Buckets erforderlich ist.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.8 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für AWS Config Konfigurationsänderungen vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp:,,, AWS::Logs::MetricFilter AWS::CloudWatch::Alarm AWS::CloudTrail::Trail AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an den AWS Config Konfigurationseinstellungen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass die Transparenz im Hinblick auf Konfigurationselemente in diesem Konto erhalten bleibt.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.9 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailRessourcentyp:,, AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch Sicherheitsgruppen sind ein zustandsorientierter Paketfilter zur Steuerung von ein- und ausgehendem Datenverkehr in einer VPC.

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an Sicherheitsgruppen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass -Ressourcen und -Services nicht unbeabsichtigt ungeschützt sind.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Control 4.10 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailRessourcentyp:,, AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch NACLs dienen als zustandslose Paketfilter zur Steuerung von ein- und ausgehendem Datenverkehr für Subnetze in einer VPC.

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an NACLs zu erstellen. Durch die Überwachung dieser Änderungen wird sichergestellt, dass AWS Ressourcen und Dienste nicht unbeabsichtigt offengelegt werden.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.11 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailRessourcentyp:,,, AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch Netzwerk-Gateways sind erforderlich, um Datenverkehr an ein Ziel außerhalb einer VPC zu senden und Datenverkehr von einem solchen Ziel zu empfangen.

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an Netzwerk-Gateways zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass der gesamte eingehende und ausgehende Datenverkehr die VPC-Grenze über einen kontrollierten Pfad durchquert.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.12 im CIS AWS Foundations Benchmark v1.2 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailRessourcentyp:,,, AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob Sie API-Aufrufe in Echtzeit überwachen, indem es CloudTrail CloudWatch Protokolle an Logs weiterleitet und entsprechende Metrikfilter und Alarme einrichtet. Routing-Tabellen leiten Netzwerkdatenverkehr zwischen Subnetzen und Netzwerk-Gateways weiter.

CIS empfiehlt, einen Metrikfilter und einen Alarm für Änderungen an Routing-Tabellen zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass sämtlicher VPC-Datenverkehr durch einen erwarteten Pfad fließt.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Anmerkung

Unser empfohlenes Filtermuster für diese Behebungsschritte unterscheidet sich von dem Filtermuster in den CIS-Leitlinien. Unsere empfohlenen Filter zielen nur auf Ereignisse ab, die aus API-Aufrufen von Amazon Elastic Compute Cloud (EC2) stammen.

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind

Verwandte Anforderungen: CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14 AWS

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailRessourcentyp:,,, AWS::SNS::Topic

AWS Config Regel: Keine (benutzerdefinierte Security Hub Hub-Regel)

Art des Zeitplans: Periodisch

Parameter: Keine

Sie können API-Aufrufe in Echtzeit überwachen, indem Sie CloudTrail Protokolle in Logs umleiten und entsprechende metrische Filter und Alarme einrichten. CloudWatch Sie können mehr als eine VPC in Ihrem Konto haben und eine Peer-Verbindung zwischen zwei VPCs erstellen, sodass Netzwerkdatenverkehr zwischen VPCs weitergeleitet werden kann.

CIS empfiehlt, einen metrischen Filter und einen Alarm für Änderungen an VPCs zu erstellen. Die Überwachung dieser Änderungen hilft sicherzustellen, dass Authentifizierungs- und Autorisierungskontrollen intakt bleiben.

Um diese Prüfung durchzuführen, verwendet Security Hub benutzerdefinierte Logik, um genau die Auditschritte durchzuführen, die für Kontrolle 4.14 im CIS AWS Foundations Benchmark v1.4.0 vorgeschrieben sind. Dieses Steuerelement fällt aus, wenn die von CIS vorgeschriebenen genauen metrischen Filter nicht verwendet werden. Zusätzliche Felder oder Bedingungen können den Metrikfiltern nicht hinzugefügt werden.

Anmerkung

Wenn Security Hub die Prüfung für dieses Steuerelement durchführt, sucht es nach CloudTrail Spuren, die das Girokonto verwendet. Bei diesen Trails kann es sich um Organisations-Trails handeln, die zu einem anderen Konto gehören. Wanderwege mit mehreren Regionen können sich auch in einer anderen Region befinden.

Die Prüfung führt in den folgenden Fällen zu FAILED Ergebnissen:

• Es ist kein Trail konfiguriert.

• Die verfügbaren Wanderwege, die sich in der aktuellen Region befinden und Eigentum von Girokonten sind, entsprechen nicht den Kontrollanforderungen.

Die Prüfung ergibt in den folgenden Fällen einen Kontrollstatus vonNO_DATA:

• Ein Trail mit mehreren Regionen befindet sich in einer anderen Region. Security Hub kann nur Ergebnisse in der Region generieren, in der sich der Trail befindet.

• Ein Trail mit mehreren Regionen gehört zu einem anderen Konto. Security Hub kann nur Ergebnisse für das Konto generieren, dem der Trail gehört.

  Wir empfehlen Organization Trails, um Ereignisse von vielen Konten in einer Organisation zu protokollieren. Organisationspfade sind standardmäßig regionsübergreifend und können nur mit dem AWS Organizations Verwaltungskonto oder dem CloudTrail delegierten Administratorkonto verwaltet werden. Die Verwendung eines Organisationspfads führt zu einem Kontrollstatus von NO_DATA für Kontrollen, die in den Konten von Organisationsmitgliedern bewertet wurden. In Mitgliedskonten generiert Security Hub nur Ergebnisse für Ressourcen, die Mitgliedern gehören. Ergebnisse, die sich auf Organisationspfade beziehen, werden im Konto des Ressourcenbesitzers generiert. Sie können diese Ergebnisse in Ihrem delegierten Security Hub-Administratorkonto einsehen, indem Sie die regionsübergreifende Aggregation verwenden.

Für den Alarm muss das Girokonto entweder das Amazon SNS SNS-Thema besitzen, auf das verwiesen wird, oder es muss telefonisch Zugriff auf das Amazon SNS SNS-Thema erhalten. ListSubscriptionsByTopic Andernfalls generiert Security Hub WARNING Ergebnisse für die Kontrolle.

Abhilfe

Um diese Kontrolle zu bestehen, gehen Sie wie folgt vor, um ein Amazon SNS SNS-Thema, einen AWS CloudTrail Trail, einen metrischen Filter und einen Alarm für den metrischen Filter zu erstellen.

1. Erstellen Sie ein Amazon-SNS-Thema. Anweisungen finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide. Erstellen Sie ein Thema, das alle CIS-Alarme empfängt, und erstellen Sie mindestens ein Abonnement für das Thema.

2. Erstellen Sie einen CloudTrail Pfad, der für alle gilt AWS-Regionen. Anweisungen finden Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Pfads.

   Notieren Sie sich den Namen der CloudWatch Logs-Protokollgruppe, die Sie dem CloudTrail Trail zuordnen. Im nächsten Schritt erstellen Sie den Metrikfilter für diese Protokollgruppe.

3. Erstellen Sie einen Metrikfilter. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Metrikfilter für eine Protokollgruppe erstellen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Muster definieren, Filtermuster	{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}
   Metrischer Namespace	LogMetrics
   Metrikwert	1
   Standardwert	0

4. Erstellen Sie einen Alarm auf der Grundlage des Filters. Anweisungen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. Verwenden Sie die folgenden Werte:

   Feld	Value (Wert)
   Bedingungen, Typ des Schwellenwerts	Statisch
   Wann immer your-metric-nameist...	Größer/Gleich
   als...	1

[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein

Kategorie: Erkennung > Erkennungsservices

Verwandte Anforderungen: NIST.800-53.R5 AU-6 (1), NIST.800-53.R5 AU-6 (5), NIST.800-53.R5 CA-7, NIst.800-53.R5 IR-4 (1), NIST.800-53.R5 IR-4 (5), NIst.800-53.R5 SI-2, NIst.800-53.R5 SI-20, NIst.800-53,R5 SI-4 (12), NIST.800-53,R5 SI-4 (5)

Schweregrad: Hoch

Art der Ressource: AWS::CloudWatch::Alarm

AWS Config Regel: cloudwatch-alarm-action-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
alarmActionRequired	Die Steuerung ermittelt, PASSED ob der Parameter auf eingestellt ist true und ob der Alarm eine Aktion ausführt, wenn der Alarmstatus zu wechseltALARM.	Boolesch	Nicht anpassbar	true
insufficientDataActionRequired	Die Steuerung ermittelt, PASSED ob der Parameter auf eingestellt ist true und ob der Alarm eine Aktion ausführt, wenn der Alarmstatus zu wechseltINSUFFICIENT_DATA.	Boolesch	true oder false	false
okActionRequired	Die Steuerung gibt einen PASSED Befund aus, wenn der Parameter auf eingestellt ist true und der Alarm eine Aktion ausführt, wenn sich der Alarmstatus auf ändertOK.	Boolesch	true oder false	false

Dieses Steuerelement prüft, ob für einen CloudWatch Amazon-Alarm mindestens eine Aktion für den ALARM Status konfiguriert ist. Die Steuerung schlägt fehl, wenn für den Alarm keine Aktion für den ALARM Status konfiguriert ist. Optional können Sie benutzerdefinierte Parameterwerte angeben, sodass auch Alarmaktionen für die OK Zustände INSUFFICIENT_DATA oder erforderlich sind.

Anmerkung

Security Hub bewertet diese Kontrolle auf der Grundlage von CloudWatch metrischen Alarmen. Metrische Alarme können Teil von zusammengesetzten Alarmen sein, für die die angegebenen Aktionen konfiguriert sind. Die Steuerung generiert FAILED Ergebnisse in den folgenden Fällen:

• Die angegebenen Aktionen sind nicht für einen metrischen Alarm konfiguriert.

• Der metrische Alarm ist Teil eines zusammengesetzten Alarms, für den die angegebenen Aktionen konfiguriert sind.

Diese Steuerung konzentriert sich darauf, ob für einen CloudWatch Alarm eine Alarmaktion konfiguriert ist, wohingegen sich CloudWatch.17 auf den Aktivierungsstatus einer CloudWatch Alarmaktion konzentriert.

Wir empfehlen CloudWatch Alarmaktionen, um Sie automatisch zu benachrichtigen, wenn eine überwachte Metrik den definierten Schwellenwert überschreitet. Mithilfe von Überwachungsalarmen können Sie ungewöhnliche Aktivitäten erkennen und schnell auf Sicherheits- und Betriebsprobleme reagieren, wenn ein Alarm in einen bestimmten Zustand übergeht. Die häufigste Art von Alarmaktion besteht darin, einen oder mehrere Benutzer zu benachrichtigen, indem eine Nachricht an ein Amazon Simple Notification Service (Amazon SNS) -Thema gesendet wird.

Abhilfe

Informationen zu Aktionen, die von CloudWatch Alarmen unterstützt werden, finden Sie unter Alarmaktionen im CloudWatch Amazon-Benutzerhandbuch.

[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden

Kategorie: Identifizieren > Protokollierung

Verwandte Anforderungen: NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-11, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.r5 SI-12

Schweregrad: Mittel

Art der Ressource: AWS::Logs::LogGroup

AWS Config Regel: cw-loggroup-retention-period-check

Art des Zeitplans: Periodisch

Parameter:

Parameter	Beschreibung	Typ	Zulässige benutzerdefinierte Werte	Security Hub Hub-Standardwert
minRetentionTime	Mindestaufbewahrungsdauer in Tagen für CloudWatch Protokollgruppen	Enum	365, 400, 545, 731, 1827, 3653	365

Diese Kontrolle prüft, ob eine CloudWatch Amazon-Protokollgruppe eine Aufbewahrungsfrist von mindestens der angegebenen Anzahl von Tagen hat. Die Kontrolle schlägt fehl, wenn die Aufbewahrungsdauer unter der angegebenen Anzahl liegt. Sofern Sie keinen benutzerdefinierten Parameterwert für den Aufbewahrungszeitraum angeben, verwendet Security Hub einen Standardwert von 365 Tagen.

CloudWatch Protokolle zentralisieren die Protokolle all Ihrer Systeme und Anwendungen AWS-Services in einem einzigen, hoch skalierbaren Service. Sie können CloudWatch Logs verwenden, um Ihre Protokolldateien von Amazon Elastic Compute Cloud (EC2) -Instances, Amazon Route 53 und anderen Quellen zu überwachen AWS CloudTrail, zu speichern und darauf zuzugreifen. Wenn Sie Ihre Protokolle mindestens ein Jahr lang aufbewahren, können Sie die Aufbewahrungsstandards für Protokolle einhalten.

Abhilfe

Informationen zur Konfiguration der Protokollaufbewahrungseinstellungen finden Sie unter Ändern der Aufbewahrung von Protokolldaten in CloudWatch Logs im CloudWatch Amazon-Benutzerhandbuch.

[CloudWatch.17] CloudWatch Alarmaktionen sollten aktiviert sein

Kategorie: Erkennung > Erkennungsservices

Verwandte Anforderungen: NIST.800-53.R5 AU-6 (1), NIST.800-53.R5 AU-6 (5), NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2, NIst.800-53.R5 SI-4 (12)

Schweregrad: Hoch

Art der Ressource: AWS::CloudWatch::Alarm

AWS Config Regel: cloudwatch-alarm-action-enabled-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob CloudWatch Alarmaktionen aktiviert sind (ActionEnabledsollte auf true gesetzt sein). Die Steuerung schlägt fehl, wenn die Alarmaktion für einen CloudWatch Alarm deaktiviert ist.

Anmerkung

Security Hub bewertet diese Kontrolle auf der Grundlage von CloudWatch metrischen Alarmen. Metrische Alarme können Teil von zusammengesetzten Alarmen sein, bei denen die Alarmaktionen aktiviert sind. Die Steuerung generiert FAILED Ergebnisse in den folgenden Fällen:

• Die angegebenen Aktionen sind nicht für einen metrischen Alarm konfiguriert.

• Der metrische Alarm ist Teil eines zusammengesetzten Alarms, für den Alarmaktionen aktiviert sind.

Diese Steuerung konzentriert sich auf den Aktivierungsstatus einer CloudWatch Alarmaktion, wohingegen sich CloudWatch.15 darauf konzentriert, ob eine ALARM Aktion in einem CloudWatch Alarm konfiguriert ist.

Alarmaktionen benachrichtigen Sie automatisch, wenn eine überwachte Metrik den definierten Schwellenwert überschreitet. Wenn die Alarmaktion deaktiviert ist, werden keine Aktionen ausgeführt, wenn sich der Status des Alarms ändert, und Sie werden nicht über Änderungen der überwachten Messwerte informiert. Wir empfehlen, CloudWatch Alarmaktionen zu aktivieren, damit Sie schnell auf Sicherheits- und Betriebsprobleme reagieren können.

Abhilfe

Um eine CloudWatch Alarmaktion zu aktivieren (Konsole)

1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Wählen Sie im Navigationsbereich unter Alarme die Option Alle Alarme aus.

3. Wählen Sie den Alarm aus, für den Sie Aktionen aktivieren möchten.

4. Wählen Sie für Aktionen die Option Alarmaktionen — neu und dann Aktivieren aus.

Weitere Informationen zur Aktivierung von CloudWatch Alarmaktionen finden Sie unter Alarmaktionen im CloudWatch Amazon-Benutzerhandbuch.