AWS CloudTrail controles - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS CloudTrail controles

Estos controles están relacionados con los CloudTrail recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.1, CIS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIst.800-53.r5 AC-2 (4), NISt.800-53.r5 AC-4 (26), NISt.800-53.r5 AC-6 (9), NIst.800-53.r5 AU-10, NIst.800-53.r5 AU-12 NiSt.800-53.r5 AU-2, NiSt.800-53.r5 AU-3, NiSt.800-53.r5 AU-6 (3), NiSt.800-53.r5 AU-6 (4), NiSt.800-53.r5 AU-14 (1), NIst.800-53.r5 CA-7 (4), NIst.800-53.r5 SC-7 (9), NIst.800-53.r5 5 SI-3 (8), NiSt.800-53.r5 SI-4 (20), NiSt.800-53.r5 SI-7 (8), NiSt.800-53.r5 SA-8 (22) AWS

Categoría: Identificar - Registro

Gravedad: alta

Tipo de recurso: AWS::::Account

Regla de AWS Config : multi-region-cloudtrail-enabled

Tipo de programa: Periódico

Parámetros:

  • readWriteType: ALL (no personalizable)

    includeManagementEvents: true (no personalizable)

Este control comprueba si hay al menos un registro multirregional que AWS CloudTrail capture los eventos de administración de lectura y escritura. El control falla si CloudTrail está deshabilitado o si no hay al menos un CloudTrail registro que capture los eventos de administración de lectura y escritura.

AWS CloudTrail registra las llamadas a la AWS API de tu cuenta y te entrega los archivos de registro. La información registrada incluye la siguiente información:

  • Identidad del intermediario de la API

  • Hora de la llamada a la API

  • Dirección IP de origen de la persona que llama a la API

  • Parámetros de solicitud

  • Elementos de respuesta devueltos por el Servicio de AWS

CloudTrail proporciona un historial de las llamadas a la AWS API de una cuenta, incluidas las llamadas a la API realizadas desde los AWS Management Console AWS SDK y las herramientas de línea de comandos. El historial también incluye las llamadas a la API de niveles superiores Servicios de AWS , como. AWS CloudFormation

El historial de llamadas a la AWS API generado por CloudTrail permite el análisis de seguridad, el seguimiento de los cambios en los recursos y la auditoría de conformidad. Los registros de seguimiento de varias regiones también ofrecen los siguientes beneficios.

  • Un registro de seguimiento de varias regiones ayuda a detectar la actividad inesperada que ocurre en regiones que no se utilizan.

  • Un registro de seguimiento de eventos de varias regiones garantiza que el registro de servicios globales esté habilitado para un registro de seguimiento de forma predeterminada. El registro de eventos de servicios globales registra los eventos generados por los servicios AWS globales.

  • Si se trata de un registro multirregional, los eventos de administración de todas las operaciones de lectura y escritura garantizan que las operaciones de administración de CloudTrail registros se realicen en todos los recursos de una Cuenta de AWS sola vez.

De forma predeterminada, las CloudTrail rutas que se crean con ellas AWS Management Console son rutas multirregionales.

Corrección

Para crear un nuevo sendero multirregional CloudTrail, consulte Creación de un sendero en la Guía del AWS CloudTrail usuario. Use los siguientes valores:

Campo Valor

Configuración adicional: validación de archivos de registro

Habilitado

Elija los eventos de registro, los eventos de administración y la actividad de la API

Leer y Escribir. Desactive las casillas de verificación de las exclusiones.

Para actualizar una ruta existente, consulte Actualización de una ruta en la Guía del usuario de AWS CloudTrail . En Eventos de administración, para la actividad de la API, seleccione Leer y Escribir.

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

Requisitos relacionados: PCI DSS v3.2.1/3.4, CIS AWS Foundations Benchmark v1.2.0/2.7, CIS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, NISt.800-53.r5 AU-9, NIst.800-53.r5 CA-9 (1), NISt.800-53.r5 CM-3 (6), NISt.800-53.r5 SC-13, NISt.800-53.r5 3.r5 SC-28, NiSt.800-53.r5 SC-28 (1), NiSt.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6) AWS

Categoría: Proteger > Protección de datos > Cifrado de data-at-rest

Gravedad: media

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config : cloud-trail-encryption-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si CloudTrail está configurado para utilizar el cifrado del lado del servidor (SSE). AWS KMS key El control falla si no se ha definido KmsKeyId.

Para añadir un nivel de seguridad adicional a sus archivos de CloudTrail registro confidenciales, debe utilizar el cifrado del lado del servidor con AWS KMS keys (SSE-KMS) para los archivos de CloudTrail registro inactivos. Tenga en cuenta que, de forma predeterminada, los archivos de registro que envían CloudTrail a sus depósitos se cifran mediante el cifrado del lado del servidor de Amazon con claves de cifrado administradas por Amazon S3 (SSE-S3).

Corrección

Para habilitar el cifrado SSE-KMS para los archivos de registro, consulte Actualizar un CloudTrail registro para usar una clave KMS en la Guía del usuario.AWS CloudTrail

[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta

Requisitos relacionados: PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6

Categoría: Identificar - Registro

Gravedad: alta

Tipo de recurso: AWS::::Account

Regla de AWS Config : cloudtrail-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un AWS CloudTrail sendero está habilitado en su Cuenta de AWS. El control falla si tu cuenta no tiene al menos una CloudTrail ruta habilitada.

Sin embargo, algunos AWS servicios no permiten el registro de todas las API y eventos. Debe implementar cualquier registro de auditoría adicional que no sea CloudTrail revisar la documentación de cada servicio en los servicios e integraciones CloudTrail compatibles.

Corrección

Para empezar CloudTrail a crear un registro, consulte el AWS CloudTrail tutorial Cómo empezar a usarlo en la Guía del AWS CloudTrail usuario.

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

Requisitos relacionados: PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, CIS Foundations Benchmark v1.2.0/2.2, CIS Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, NIST.800-53.r5 AU-9, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-7 ( AWS 1), NIST.800-53.r5 5 SI-7 (3), NiST.800-53.r5 SI-7 (7) AWS

Categoría: Protección de datos > Integridad de los datos

Gravedad: baja

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config : cloud-trail-log-file-validation-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la validación de la integridad del archivo de registro está habilitada en un CloudTrail registro.

CloudTrail la validación del archivo de registro crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que se CloudTrail escribe en Amazon S3. Puede utilizar estos archivos de resumen para determinar si un archivo de registro se modificó, se eliminó o no se modificó después de CloudTrail entregar el registro.

Recomendamos que Hub recomienda que habilite la validación de archivos en todos los registros de seguimiento. La validación de los archivos de registro proporciona comprobaciones adicionales de integridad de CloudTrail los registros.

Corrección

Para habilitar la validación de los archivos de CloudTrail registro, consulte Habilitar la validación de la integridad de los archivos de registro CloudTrail en la Guía del AWS CloudTrail usuario.

[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch

Requisitos relacionados: PCI DSS v3.2.1/10.5.3, CIS AWS Foundations Benchmark v1.2.0/2.4, CIS Foundations Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2 (4), NISt.800-53.r5 AC-4 (26), NISt.800-53.r5 AC-6 (9), NISt.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NiSt.800-53.r5 AU-2, NiSt.800-53.r5 AU-3, NiSt.800-53.r5 AU-6 (1), NiSt.800-53.r5 AU-6 (3), NiSt.800-53.r5 AU-6 (4), NISt.800-53.r5 AU-6 (5), NISt.800-53.r5 AU-7 (1), NiSt.800-53.r5 AU-7 (1), NiSt.800-53.r5 AU-7 (1), NISt.800-53.r5 AU-7 (1), NISt.800-53.r5 AU-7 (1), NISt.800-53.r5 AU-7 (1), NISt.800-53.r5 AU-7 (1), NISt.800-53.r5 AU-7 (1), NIst.800-53.r5 CA-7, NIst.800-53.r5 SC-7 (9), niST.800-53.r5 SI-20, NIst.800-53.r5 SI-3 (8), NISt.800-53.r5 SI-4 (20), NISt.800-53.r5 SI-4 ( AWS 5), NIST.800-53.r5 SI-7 (8)

Categoría: Identificar - Registro

Gravedad: baja

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config : cloud-trail-cloud-watch-logs-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si las CloudTrail rutas están configuradas para enviar registros a Logs. CloudWatch El control falla si la propiedad CloudWatchLogsLogGroupArn de la ruta está vacía.

CloudTrail registra las llamadas a la AWS API que se realizan en una cuenta determinada. La información registrada incluye lo siguiente:

  • Identidad de la persona que llama a la API

  • Hora de la llamada a la API

  • Dirección IP de origen de la persona que llama a la API

  • Parámetros de solicitudes

  • Los elementos de respuesta devueltos por el Servicio de AWS

CloudTrail utiliza Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puede capturar CloudTrail los registros en un depósito de S3 específico para analizarlos a largo plazo. Para realizar un análisis en tiempo real, puede configurar CloudTrail el envío de CloudWatch registros a Logs.

En el caso de un registro que esté habilitado en todas las regiones de una cuenta, CloudTrail envía los archivos de registro de todas esas regiones a un grupo de CloudWatch registros.

Security Hub recomienda enviar CloudTrail los CloudWatch registros a Logs. Tenga en cuenta que esta recomendación tiene por objeto garantizar que la actividad de la cuenta se capture, supervise y se genere la alarma adecuada. Puede usar CloudWatch los registros para configurar esto con su Servicios de AWS. Esta recomendación no impide el uso de una solución diferente.

El envío de CloudTrail CloudWatch registros a Logs facilita el registro de actividades históricas y en tiempo real en función del usuario, la API, el recurso y la dirección IP. Puede utilizar este abordaje para establecer alarmas y notificaciones en caso de que se produzcan actividades de la cuenta anómalas o delicadas.

Corrección

Para integrarlo CloudTrail con CloudWatch los registros, consulte Enviar eventos a CloudWatch los registros en la Guía del AWS CloudTrail usuario.

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.3, CIS Foundations Benchmark v1.4.0/3.3 AWS

Categoría: Identificar - Registro

Gravedad: crítica

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: Ninguna (regla personalizada de Security Hub)

Tipo de programa: periódico y activado por cambios

Parámetros: ninguno

CloudTrail registra un registro de todas las llamadas a la API realizadas en su cuenta. Los archivos de registro se almacenan en un bucket de S3. El CIS recomienda aplicar la política de compartimentos de S3, o lista de control de acceso (ACL), al depósito de S3 que CloudTrail registra para impedir el acceso público a los CloudTrail registros. Permitir el acceso público al contenido de los CloudTrail registros podría ayudar a un adversario a identificar puntos débiles en el uso o la configuración de la cuenta afectada.

Para ejecutar esta comprobación, Security Hub utiliza primero una lógica personalizada para buscar el bucket de S3 en el que se almacenan CloudTrail los registros. A continuación, utiliza las reglas AWS Config administradas para comprobar que el depósito es de acceso público.

Si agrega sus registros en un único bucket de S3 centralizado, Security Hub solo realizará la comprobación de la cuenta y la región en las que se encuentra el bucket de S3 centralizado. En el caso de otras cuentas y regiones, el estado de control es Sin datos.

Si el bucket está accesible públicamente, la comprobación genera un resultado de error.

Corrección

Para bloquear el acceso público a su depósito de CloudTrail S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus depósitos de S3 en la Guía del usuario de Amazon Simple Storage Service. Seleccione las cuatro configuraciones de Bloqueo de acceso público de Amazon S3.

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.6, CIS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4 AWS

Categoría: Identificar - Registro

Gravedad: baja

Tipo de recurso: AWS::S3::Bucket

AWS Config regla: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

El registro de acceso al bucket S3 genera un registro que contiene registros de acceso para cada solicitud realizada a su bucket S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud con los que se ha trabajado y la fecha y hora en que se procesó la solicitud.

CIS recomienda habilitar el registro de acceso al bucket en el bucket de CloudTrail S3.

Al habilitar el registro del bucket de S3 en los buckets de S3 de destino, puede capturar todos los eventos que podrían afectar a los objetos en el bucket de destino. Configurar los registros para que se coloquen en un bucket independiente permite el acceso a la información de registro, lo que puede resultar útil en flujos de trabajo de respuesta a incidentes y seguridad.

Para ejecutar esta comprobación, Security Hub utiliza primero una lógica personalizada para buscar el depósito en el que se almacenan CloudTrail los registros y, a continuación, utiliza la regla AWS Config administrada para comprobar si el registro está habilitado.

Si CloudTrail entrega archivos de registro de varios Cuentas de AWS depósitos de Amazon S3 a un único bucket de destino, Security Hub evalúa este control únicamente con respecto al depósito de destino de la región en la que se encuentra. Esto optimiza sus resultados. Sin embargo, debes activar todas CloudTrail las cuentas que envían registros al depósito de destino. Para todas las cuentas, excepto la que contiene el bucket de destino, el estado de control es Sin datos.

Si el bucket está accesible públicamente, la comprobación genera un resultado de error.

Corrección

Para habilitar el registro de acceso al servidor para su bucket de CloudTrail S3, consulte Habilitar el registro de acceso al servidor Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

[CloudTrail.9] las CloudTrail rutas deben estar etiquetadas

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::CloudTrail::Trail

Regla de AWS Config : tagged-cloudtrail-trail (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas no disponibles que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen AWS los requisitos No default value

Este control comprueba si un AWS CloudTrail sendero tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el sendero no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el sendero no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a los recursos. AWS Puede crear una política de ABAC única o un conjunto de políticas independiente para sus directores de IAM. Puede diseñar estas políticas de ABAC para permitir las operaciones cuando la etiqueta del director coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve el ABAC? AWS en la Guía del usuario de IAM.

nota

No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a una CloudTrail ruta, consulta la referencia AddTagsde la AWS CloudTrail API.