Controles de Security Hub para Amazon CloudWatch

Estos controles de AWS Security Hub CSPM evalúan el servicio Amazon CloudWatch y sus recursos. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[CloudWatch.1] Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/1.1; Indicador de referencia de AWS de CIS v1.2.0/3.3; Indicador de referencia de AWS de CIS v1.4.0/1.7; Indicador de referencia de AWS de CIS v1.4.0/4.3; NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/7.2.1

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este usuario raíz tiene acceso a todos los recursos y los servicios no restringidos de Cuenta de AWS. Le recomendamos encarecidamente que evite utilizar el usuario raíz para las tareas diarias. Minimizar el uso del usuario raíz y adoptar el principio de privilegio mínimo para la administración del acceso reduce el riesgo de cambios accidentales y de la divulgación no intencionada de credenciales altamente privilegiadas.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para realizar tareas de administración de cuentas y servicios. Aplique políticas de AWS Identity and Access Management (IAM) directamente a los grupos y roles, pero no a los usuarios. Para ver un tutorial sobre cómo configurar un administrador para el uso diario, consulte Creación del primer grupo y usuario administrador de IAM en la Guía de usuario de IAM.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 1.7 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.2] Asegurar que haya un filtro de métricas de registro y alarma para las llamadas no autorizadas a la API

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.1; NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y una alarma para llamadas a la API no autorizadas. La monitorización de las llamadas no autorizadas a la API ayuda a revelar errores de la aplicación y puede reducir el tiempo que se tarda en detectar actividades malintencionadas.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.1 en CIS AWS Foundations Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.3] Asegurar que haya un filtro de métricas de registro y alarma de registro para el inicio de sesión en la Consola de administración sin MFA

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.2

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los inicios de sesión en la consola que no estén protegidos por MFA. La monitorización de los inicios de sesión de la consola con un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.2 en CIS AWS Foundations Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.4] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.4; Indicador de referencia de AWS de CIS v1.4.0/4.4; NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si monitorizas las llamadas a la API en tiempo real. Para ello, dirige los registros de CloudTrail a CloudWatch Logs y establece los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de IAM. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

nota

El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se dirigen únicamente a los eventos que provienen de las llamadas a la API de IAM.

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.5] Asegúrese de que exista un filtro de métricas de registro y una alarma para los cambios de configuración de CloudTrail

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.5; Indicador de referencia de AWS de CIS v1.4.0/4.5; NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de CloudTrail. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de las actividades de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.5 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.6] Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de Consola de administración de AWS

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.6; Indicador de referencia de AWS de CIS v1.4.0/4.6; NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes.

CIS recomienda que cree un filtro de métrica y alarma para los intentos de autenticación de la consola que producen un error. La monitorización de los inicios de sesión con error en la consola podría disminuir el tiempo que se tarda en detectar un intento introducir credenciales por fuerza bruta, lo que podría proporcionar un indicador, como el IP de origen, que se puede utilizar en otras correlaciones de eventos.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.6 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.7] Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de claves administradas por el cliente

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.7; Indicador de referencia AWS de CIS v1.4.0/4.7; NIST.800-171.r2 3.13.10, NIST.800-171.r2 3.13.16, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para claves administradas por el cliente que hayan cambiado de estado a deshabilitada o eliminación programada. Los datos cifrados con claves deshabilitadas o eliminadas ya no son accesibles.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.7 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas. El control también falla si ExcludeManagementEventSources contiene kms.amazonaws.com.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.8] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de bucket S3

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.8; Indicador de referencia de AWS de CIS v1.4.0/4.8; NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de bucket S3. La monitorización de estos cambios puede reducir el tiempo que se tarda en detectar y corregir políticas permisivas sobre buckets de S3 confidenciales.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.8 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.9] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.9; Indicador de referencia de AWS de CIS v1.4.0/4.9; NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de AWS Config. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de los elementos de configuración de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.9 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.10] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.10; Indicador de referencia de AWS de CIS v1.4.0/4.10; NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controlan el tráfico de entrada y salida en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a los grupos de seguridad. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.10 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.11] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las listas de control de acceso a la red (NACL)

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.11; Indicador de referencia de AWS de CIS v1.4.0/4.11; NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes. Las NACL se utilizan como un filtro de paquetes sin estado para controlar el tráfico de entrada y salida para las subredes en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las NACL. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios de AWS no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.11 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.12] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.12; Indicador de referencia de AWS de CIS v1.4.0/4.12; NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes. Las gateways de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las puertas de enlace de red. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de entrada y salida atraviesa la frontera de la VPC a través de una ruta controlada.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.12 en CIS AWS Foundations Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.13] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios ala tabla de enrutamiento

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.13; Indicador de referencia AWS de CIS v1.4.0/4.13; NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si monitorizas las llamadas a la API en tiempo real. Para ello, dirige los registros de CloudTrail a CloudWatch Logs y establece los filtros de métricas y las alarmas correspondientes. Las tablas de enrutamiento dirigen el tráfico de red entre subredes y a gateways de red.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las tablas de enrutamiento. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de la VPC vaya a través de una ruta esperada.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

nota

El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se centran únicamente en eventos procedentes de llamadas a la API de Amazon Elastic Compute Cloud (EC2).

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.14] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC

Requisitos relacionados: Indicador de referencia de AWS de CIS v1.2.0/3.14; Indicador de referencia AWS de CIS v1.4.0/4.14; NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede monitorizar las llamadas a la API en tiempo real dirigiendo los registros de CloudTrail a los registros de CloudWatch y estableciendo los filtros de métricas y alarmas correspondientes. Puede tener más de un VPC en una cuenta, y puede crear una interconexión entre dos VPC, lo que permite dirigir el tráfico de red entre VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las VPC. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.14 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los rastros de CloudTrail que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

• No hay ningún rastro configurado.

• Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

• Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

  Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. Las rutas de organización son rutas multirregionales de forma predeterminada y solo las puede gestionar la cuenta de administración de AWS Organizations o la cuenta de administrador delegado de CloudTrail. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

1. Crear un tema de Amazon SNS Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Cree una ruta de CloudTrail que se aplique a todas las Regiones de AWS. Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

   Anote el nombre del grupo de registros de CloudWatch Logs que asocie a la ruta de CloudTrail. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

3. Crear un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Defina el patrón, el patrón de filtro	{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}
   Espacio de nombres de métrica	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulte Creación de una alarma de CloudWatch basada en un filtro de métricas de grupos de registro en la Guía del usuario de Amazon CloudWatch. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-name sea…	Mayor/Igual
   que…	1

[CloudWatch.15] Las alarmas de CloudWatch deben tener configuradas acciones específicas

Requisitos relacionados: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4(1), NIST.800-53.r5 IR-4(5), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-4(12), NIST.800-53.r5 SI-4(5), NIST.800-171.r2 3.3.4, NIST.800-171.r2 3.14.6

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::CloudWatch::Alarm

AWS Config Regla de: cloudwatch-alarm-action-check

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
alarmActionRequired	El control genera un resultado PASSED si el parámetro está establecido en true y la alarma tiene una acción cuando el estado de la alarma cambia a ALARM.	Booleano	No personalizable	true
insufficientDataActionRequired	El control genera un resultado PASSED si el parámetro está establecido en true y la alarma tiene una acción cuando el estado de la alarma cambia a INSUFFICIENT_DATA.	Booleano	true o false	false
okActionRequired	El control genera un resultado PASSED si el parámetro está establecido en true y la alarma tiene una acción cuando el estado de la alarma cambia a OK.	Booleano	true o false	false

Este control comprueba si una alarma de Amazon CloudWatch tienen al menos una acción configurada para el estado ALARM. Se produce un error en el control si la alarma no tiene ninguna acción configurada para el estado ALARM. De manera opcional, puede incluir valores personalizados de parámetros para requerir también acciones de alarma para los estados INSUFFICIENT_DATA o OK.

nota

Security Hub evalúa este control en función de las alarmas de métricas de CloudWatch. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen configuradas las acciones especificadas. El control arroja resultados FAILED en los siguientes casos:

• Las acciones especificadas no están configuradas para una alarma de métrica.

• La alarma de métrica forma parte de una alarma compuesta que tiene configuradas las acciones especificadas.

Este control se centra en si una alarma de CloudWatch tiene una acción de alarma configurada, mientras CloudWatch.17 se centra en el estado de activación de una acción de alarma de CloudWatch.

Recomendamos que las acciones de alarma de CloudWatch le avisen automáticamente cuando una métrica supervisada supere el umbral definido. Las alarmas de supervisión ayudan a identificar actividades inusuales y a responder rápidamente a los problemas operativos y de seguridad cuando una alarma pasa a un estado específico. El tipo más común de acción de alarma es notificar a uno o más usuarios mediante el envío de un mensaje a un tema de Amazon Simple Notification Service (Amazon SNS).

Corrección

Para obtener información sobre las acciones compatibles con las alarmas de CloudWatch, consulte Acciones de alarma en la Guía del usuario de Amazon CloudWatch.

[CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico

Categoría: Identificar - Registro

Requisitos relacionados: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-12

Gravedad: media

Tipo de recurso: AWS::Logs::LogGroup

AWS Config Regla de: cw-loggroup-retention-period-check

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
minRetentionTime	Periodo mínimo de retención en días para los grupos de registros de CloudWatch	Enum	365, 400, 545, 731, 1827, 3653	365

Este control comprueba si un grupo de registros de Amazon CloudWatch tiene un periodo de retención de al menos la cantidad de días especificada. Se produce un error en el control si el periodo de retención es inferior a la cantidad especificada. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención, Security Hub utiliza un valor predeterminado de 365 días.

registros de CloudWatch le permite centralizar los registros de todos los sistemas, aplicaciones y servicios de Servicios de AWS que utilice, en un único servicio de gran escalabilidad. Puede utilizar registros de CloudWatch para supervisar y almacenar los archivos de registro y acceder a estos desde instancias de Amazon Elastic Compute Cloud (EC2), AWS CloudTrail, Amazon Route 53 y otros orígenes. Conservar los registros durante al menos un año puede ayudarle a cumplir con los estándares de retención de registros.

Corrección

Para configurar los parámetros de retención de registros, consulte Cambio de la retención de datos de registros en Registros de CloudWatch en la Guía de usuario de Amazon CloudWatch.

[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas

Categoría: Detectar - Servicios de detección

Requisitos relacionados: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-4(12)

Gravedad: alta

Tipo de recurso: AWS::CloudWatch::Alarm

AWS Config Regla de: cloudwatch-alarm-action-enabled-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si están activadas las acciones de alarma de CloudWatch (ActionEnabled debe configurarse en true). El control falla si la acción de alarma de una alarma de CloudWatch está desactivada.

nota

Security Hub evalúa este control en función de las alarmas de métricas de CloudWatch. Las alarmas de métricas pueden formar parte de alarmas compuestas que tienen activadas las acciones de alarma. El control arroja resultados FAILED en los siguientes casos:

• Las acciones especificadas no están configuradas para una alarma de métrica.

• La alarma de métrica forma parte de una alarma compuesta que tiene activadas las acciones de alarma.

Este control se centra en el estado de activación de una acción de alarma de CloudWatch, mientras que CloudWatch.15 se centra en si hay alguna acción ALARM configurada en una alarma de CloudWatch.

Las acciones de alarma le avisan automáticamente cuando una métrica monitorizada está fuera del umbral definido. Si la acción de alarma está desactivada, no se ejecuta ninguna acción cuando la alarma cambia de estado y no se le avisará de los cambios en las métricas monitorizadas. Recomendamos activar las acciones de alarma de CloudWatch para ayudarle a responder rápidamente a los problemas operativos y de seguridad.

Corrección

Cómo activar una acción de alarma de CloudWatch (consola)

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

2. En el panel de navegación, elija Alarmas y, luego, Todas las alarmas.

3. Seleccione la alarma para la que desea activar las acciones.

4. En Acciones, selecciona Acciones de alarma (nuevas) y, a continuación, selecciona Habilitar.

Para obtener más información sobre la activación de las acciones de alarma de CloudWatch, consulte Acciones de alarma en la Guía del usuario de Amazon CloudWatch.