Controles de Security Hub para CloudTrail
Estos controles de Security Hub evalúan el servicio y los recursos de AWS CloudTrail.
Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya los eventos de administración de lectura y escritura
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8(22)
Categoría: Identificar - Registro
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config: multi-region-cloudtrail-enabled
Tipo de programa: Periódico
Parámetros:
-
readWriteType
:ALL
(no personalizable)includeManagementEvents
:true
(no personalizable)
Este control comprueba si existe al menos un registro de seguimiento de varias regiones de AWS CloudTrail que capture eventos de administración de lectura y escritura. El control lanza error si CloudTrail está deshabilitado o si no hay al menos un registro de seguimiento de CloudTrail que capture eventos de administración de lectura y escritura.
AWS CloudTrail registra las llamadas a la API de AWS de la cuenta y le entrega archivos de registro. La información registrada incluye lo siguiente:
-
Identidad del intermediario de la API
-
Hora de la llamada a la API
-
Dirección IP de origen de la persona que llama a la API
-
Parámetros de solicitud
-
Elementos de respuesta devueltos por Servicio de AWS.
CloudTrail proporciona un historial de llamadas a la API de AWS para una cuenta, incluidas las llamadas a la API realizadas en la AWS Management Console, los SDK de AWS y las herramientas de línea de comandos. El historial también incluye llamadas de la API desde Servicios de AWS de nivel superior como AWS CloudFormation.
El historial de llamadas a la API de AWS producido por CloudTrail permite realizar análisis de seguridad, seguimientos de cambios en los recursos y auditorías de conformidad. Los registros de seguimiento de varias regiones también ofrecen los siguientes beneficios.
-
Un registro de seguimiento de varias regiones ayuda a detectar la actividad inesperada que ocurre en regiones que no se utilizan.
-
Un registro de seguimiento de eventos de varias regiones garantiza que el registro de servicios globales esté habilitado para un registro de seguimiento de forma predeterminada. El registro de eventos de servicios globales registra los eventos generados por servicios globales de AWS.
-
Para un registro de seguimiento de varias regiones, los eventos de administración para todas las operaciones de lectura y escritura garantizan que CloudTrail registre las operaciones de administración en todos los recursos de una cuenta de Cuenta de AWS.
De forma predeterminada, las rutas de CloudTrail que se crean usando AWS Management Console son rutas de varias regiones.
Corrección
Para crear una nueva ruta multirregional en CloudTrail, consulte Creación de un seguimiento en la Guía del usuario de AWS CloudTrail. Use los siguientes valores:
Campo | Valor |
---|---|
Configuración adicional: validación de archivos de registro |
Habilitado |
Elija los eventos de registro, los eventos de administración y la actividad de la API |
Leer y Escribir. Desactive las casillas de verificación de las exclusiones. |
Para actualizar una ruta existente, consulte Actualización de una ruta en la Guía del usuario de AWS CloudTrail. En Eventos de administración, para la actividad de la API, seleccione Leer y Escribir.
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
Requisitos relacionados: PCI DSS v3.2.1/3.4, CIS AWS Foundations Benchmark v1.2.0/2.7, CIS AWS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::CloudTrail::Trail
Regla de AWS Config: cloud-trail-encryption-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si CloudTrail está configurado para utilizar el cifrado del servidor (SSE) de AWS KMS key. El control falla si no se ha definido KmsKeyId
.
Para obtener una capa adicional de seguridad para los archivos de registro de CloudTrail confidenciales, debe utilizar el cifrado del servidor con AWS KMS keys (SSE-KMS) para los archivos de registro de CloudTrail para el cifrado en reposo. Tenga en cuenta que los archivos de registro que envía CloudTrail a sus buckets se cifran mediante el sistema de Amazon de cifrado del servidor con claves de cifrado administradas mediante Amazon S3 (SSE-S3).
Corrección
Para habilitar el cifrado SSE-KMS para los archivos de registro de CloudTrail, consulte Actualización de un registro para utilizar una clave KMS en la Guía del usuario de AWS CloudTrail.
[CloudTrail.3] Al menos un registro de seguimiento de CloudTrail debe habilitarse
Requisitos relacionados: PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, PCI DSS v3.2.1/10.2.2, PCI DSS v3.2.1/10.2.3, PCI DSS v3.2.1/10.2.4, PCI DSS v3.2.1/10.2.5, PCI DSS v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, PCI DSS v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6
Categoría: Identificar - Registro
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config: cloudtrail-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si un registro de seguimiento de AWS CloudTrail está habilitado en su Cuenta de AWS. El control lanza error si su cuenta no tiene al menos un registro de seguimiento de CloudTrail habilitado.
Algunos servicios de AWS no habilitan el registro de todas las API y eventos. Debe implementar cualquier registro de auditoría adicional que no sea CloudTrail y revisar la documentación de cada servicio en Servicios e integraciones compatibles con CloudTrail.
Corrección
Para empezar a utilizar CloudTrail y crear una ruta, consulte el Introducción con el tutorial de AWS CloudTrail en la Guía del usuario de AWS CloudTrail.
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada
Requisitos relacionados: PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, CIS AWS Foundations Benchmark v1.2.0/2.2, CIS AWS Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, NIST.800-53.r5 AU-9, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-7(1), NIST.800-53.r5 SI-7(3), NIST.800-53.r5 SI-7(7)
Categoría: Protección de datos > Integridad de los datos
Gravedad: baja
Tipo de recurso: AWS::CloudTrail::Trail
Regla de AWS Config: cloud-trail-log-file-validation-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la validación de la integridad del archivo de registro está habilitada en un registro de seguimiento de CloudTrail.
La validación de archivos de registro de CloudTrail crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que CloudTrail escribe en Amazon S3. Puede utilizar estos archivos de resumen para determinar si un archivo de registro se ha modificado, eliminado o sigue igual después de que CloudTrail envía el registro.
Recomendamos que Hub recomienda que habilite la validación de archivos en todos los registros de seguimiento. La validación de archivos de registro proporciona una comprobación de integridad adicional de los registros de CloudTrail.
Corrección
Para habilitar la validación de los archivos de registro de CloudTrail, consulte Habilitar la validación de la integridad de los archivos de registro para CloudTrail en la Guía del usuario de AWS CloudTrail.
[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch
Requisitos relacionados: PCI DSS v3.2.1/10.5.3, CIS AWS Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-4(5), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: baja
Tipo de recurso: AWS::CloudTrail::Trail
Regla de AWS Config: cloud-trail-cloud-watch-logs-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si los registros de seguimiento de CloudTrail están configurados para enviar registros a CloudWatch. El control falla si la propiedad CloudWatchLogsLogGroupArn
de la ruta está vacía.
CloudTrail registra las llamadas a la API de AWS que se realizan en una cuenta determinada. La información registrada incluye lo siguiente:
-
Identidad de la persona que llama a la API
-
Hora de la llamada a la API
-
Dirección IP de origen de la persona que llama a la API
-
Parámetros de solicitudes
-
Elementos de respuesta devueltos por Servicio de AWS
CloudTrail utiliza Amazon S3 para el almacenamiento y la entrega de archivos de registro. Puede capturar los registros de CloudTrail en un bucket de S3 específico para analizarlos a largo plazo. Para realizar análisis en tiempo real, puede configurar CloudTrail para que envíe registros a CloudWatch Logs.
Para un registro de seguimiento que está habilitado en todas las regiones en una cuenta, CloudTrail envía archivos de registro de todas esas regiones a un grupo de registros de CloudWatch.
Security Hub recomienda enviar registros de CloudTrail a CloudWatch Logs. Tenga en cuenta que esta recomendación tiene por objeto garantizar que la actividad de la cuenta se capture, supervise y se genere la alarma adecuada. Puede utilizar CloudWatch Logs para configurar esto con su Servicios de AWS. Esta recomendación no impide el uso de una solución diferente.
Enviar registros de a facilita la creación de registros de actividad históricos y en tiempo real en función del usuario, la API, el recurso y la dirección IP. Puede utilizar este abordaje para establecer alarmas y notificaciones en caso de que se produzcan actividades de la cuenta anómalas o delicadas.
Corrección
Para integrar CloudTrail con CloudWatch Logs, consulte Envío de eventos a CloudWatch Logs en la Guía del usuario de AWS CloudTrail.
[CloudTrail.6] Asegúrese de que el bucket de S3 utilizado para almacenar los registros de CloudTrail no sea de acceso público
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3
Categoría: Identificar - Registro
Gravedad: crítica
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config: Ninguna (regla personalizada de Security Hub)
Tipo de programa: periódico y activado por cambios
Parámetros: ninguno
CloudTrail lleva un registro de cada llamada a la API en su cuenta. Los archivos de registro se almacenan en un bucket de S3. CIS recomienda que la política de bucket o la lista de control de acceso (ACL) que se aplica al bucket de S3 en el que se registra CloudTrail impida el acceso público a los registros de CloudTrail. Permitir el acceso público a un registro de CloudTrail podría ayudar a un adversario a identificar los puntos débiles del uso o de la configuración de la cuenta afectada.
Para ejecutar esta comprobación, Security Hub utiliza primero la lógica personalizada para buscar el bucket S3 donde se almacenan los registros de CloudTrail. A continuación, utiliza las reglas administradas por AWS Config para comprobar que el bucket sea accesible públicamente.
Si agrega sus registros en un único bucket de S3 centralizado, Security Hub solo realizará la comprobación de la cuenta y la región en las que se encuentra el bucket de S3 centralizado. En el caso de otras cuentas y regiones, el estado de control es Sin datos.
Si el bucket está accesible públicamente, la comprobación genera un resultado de error.
Corrección
Para bloquear el acceso público a su bucket de CloudTrail S3, consulte Configuración de los ajustes de bloqueo de acceso público para sus buckets de S3 en la Guía del usuario de Amazon Simple Storage Service. Seleccione las cuatro configuraciones de Bloqueo de acceso público de Amazon S3.
[CloudTrail.7] Asegúrese de que el registro de acceso al bucket S3 esté habilitado en el bucket S3 de CloudTrail
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.6, CIS AWS Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4
Categoría: Identificar - Registro
Gravedad: baja
Tipo de recurso: AWS::S3::Bucket
Regla de AWS Config: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros: ninguno
El registro de acceso al bucket S3 genera un registro que contiene registros de acceso para cada solicitud realizada a su bucket S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud con los que se ha trabajado y la fecha y hora en que se procesó la solicitud.
CIS recomienda que habilite el registro de acceso al bucket en el bucket S3 de CloudTrail.
Al habilitar el registro del bucket de S3 en los buckets de S3 de destino, puede capturar todos los eventos que podrían afectar a los objetos en el bucket de destino. Configurar los registros para que se coloquen en un bucket independiente permite el acceso a la información de registro, lo que puede resultar útil en flujos de trabajo de respuesta a incidentes y seguridad.
Para ejecutar esta comprobación, Security Hub utiliza primero la lógica personalizada para buscar el bucket en el que se almacenan los registros de CloudTrail y, a continuación, utiliza la regla administrada por AWS Config para comprobar si el registro está habilitado.
Si CloudTrail entrega archivos de registro de varias Cuentas de AWS a un único bucket de Amazon S3, Security Hub evalúa este control únicamente en comparación con el bucket de destino de la región en la que se encuentra. Esto optimiza sus resultados. Sin embargo, debe activar CloudTrail en todas las cuentas que entreguen registros al bucket de destino. Para todas las cuentas, excepto la que contiene el bucket de destino, el estado de control es Sin datos.
Corrección
Para habilitar el registro de acceso al servidor para su bucket de CloudTrail S3, consulte Habilitar el registro de acceso al servidor Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.
[CloudTrail.9] Los registros de seguimiento de CloudTrail deben etiquetarse
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::CloudTrail::Trail
Regla de AWS Config: tagged-cloudtrail-trail
(regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un registro de seguimiento de AWS CloudTrail tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys
. El control lanza error si el registro de seguimiento no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys
. Si no se proporciona el parámetro requiredTagKeys
, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el registro de seguimiento no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:
, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un registro de seguimiento de CloudTrail, consulte AddTags en la Referencia de la API de AWS CloudTrail.