CloudWatchControles de Amazon

Estos controles están relacionados con los CloudWatch recursos.

Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.

[CloudWatch.1] Deben existir un filtro métrico de registro y una alarma para el uso del usuario «raíz»

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS Foundations Benchmark v1.2.0/1.1, CIS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7, CIS AWS Foundations Benchmark v1.4.0/4.3 AWS AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

El usuario raíz tiene acceso sin restricciones a todos los servicios y recursos de unCuenta de AWS. Le recomendamos encarecidamente que evite utilizar el usuario root para las tareas diarias. Al minimizar el uso del usuario raíz y adoptar el principio del mínimo privilegio para la administración del acceso, se reduce el riesgo de cambios accidentales y de la divulgación involuntaria de las credenciales con altos privilegios.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para realizar tareas de administración de cuentas y servicios. Aplique las políticas AWS Identity and Access Management (IAM) directamente a los grupos y roles, pero no a los usuarios. Para ver un tutorial sobre cómo configurar un administrador para el uso diario, consulte Crear su primer usuario y grupo de administrador de IAM en la Guía del usuario de IAM

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 1.7 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.2] Asegúrese de que existan un filtro métrico de registro y una alarma para las llamadas a la API no autorizadas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.1

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y alarmar las llamadas a la API no autorizadas. La monitorización de las llamadas no autorizadas a la API ayuda a revelar errores de la aplicación y puede reducir el tiempo que se tarda en detectar actividades malintencionadas.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.1 en la versión 1.2 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.3] Asegúrese de que existan un filtro métrico de registro y una alarma para iniciar sesión en la consola de administración sin MFA

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.2

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y unos inicios de sesión en la consola de alarmas que no estén protegidos por la MFA. La monitorización de los inicios de sesión de la consola con un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.2 en la versión 1.2 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.4] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios en las políticas de IAM

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Este control comprueba si supervisas las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y una alarma para los cambios realizados en las políticas de IAM. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

nota

Nuestro patrón de filtro recomendado en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se centran únicamente en los eventos que provienen de las llamadas a la API de IAM.

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.5] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios de CloudTrail AWS Config duración

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en los ajustes CloudTrail de configuración. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de las actividades de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.5 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.6] Asegúrese de que existan un filtro métrico de registro y una alarma para los errores de AWS Management Console autenticación.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y una alarma para los intentos fallidos de autenticación de la consola. La monitorización de los inicios de sesión con error en la consola podría disminuir el tiempo que se tarda en detectar un intento introducir credenciales por fuerza bruta, lo que podría proporcionar un indicador, como el IP de origen, que se puede utilizar en otras correlaciones de eventos.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.6 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.7] Asegúrese de que existan un filtro métrico de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y una alarma para las claves gestionadas por el cliente que hayan cambiado de estado a deshabilitadas o eliminadas de forma programada. Los datos cifrados con claves deshabilitadas o eliminadas ya no son accesibles.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.7 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas. El control también falla si ExcludeManagementEventSources contienekms.amazonaws.com.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.8] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios en la política de bucket de S3

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en las políticas de bucket de S3. La monitorización de estos cambios puede reducir el tiempo que se tarda en detectar y corregir políticas permisivas sobre buckets de S3 confidenciales.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.8 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.9] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios AWS Config de configuración.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en los ajustes AWS Config de configuración. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de los elementos de configuración de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.9 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.10] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios en los grupos de seguridad

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controlan el tráfico de entrada y salida en una VPC.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en los grupos de seguridad. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.10 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.11] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL)

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes. Las NACL se utilizan como un filtro de paquetes sin estado para controlar el tráfico de entrada y salida para las subredes en una VPC.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en las NACL. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios de AWS no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.11 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.12] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios en las puertas de enlace de red

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes. Las gateways de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en las puertas de enlace de red. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de entrada y salida atraviesa la frontera de la VPC a través de una ruta controlada.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.12 en la versión 1.2 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.13] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios en la tabla de rutas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Este control comprueba si supervisas las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes. Las tablas de enrutamiento dirigen el tráfico de red entre subredes y a gateways de red.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en las tablas de rutas. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de la VPC vaya a través de una ruta esperada.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

nota

Nuestro patrón de filtro recomendado en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se centran únicamente en los eventos que provienen de las llamadas a la API de Amazon Elastic Compute Cloud (EC2).

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.14] Asegúrese de que existan un filtro métrico de registro y una alarma para los cambios en la VPC

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilterAWS::CloudWatch::Alarm,AWS::CloudTrail::Trail, AWS::SNS::Topic

AWS Configregla: Ninguna (regla personalizada de Security Hub)

Tipo de cronograma: Periódico

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros métricos y las alarmas correspondientes. Puede tener más de un VPC en una cuenta, y puede crear una interconexión entre dos VPC, lo que permite dirigir el tráfico de red entre VPC.

El CIS recomienda crear un filtro métrico y una alarma para los cambios en las VPC. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.14 en la versión 1.4.0 de CIS AWS Foundations Benchmark. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca los CloudTrail rastros que utiliza la cuenta actual. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Los senderos multirregionales también pueden tener su sede en una región diferente.

La comprobación arroja FAILED resultados en los siguientes casos:

• No hay ningún sendero configurado.

• Los senderos disponibles que se encuentran en la región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

• El sendero multirregional se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

• El sendero multirregional pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria de la ruta.

Para la alarma, la cuenta actual debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe tener acceso al tema de Amazon SNS mediante una llamada. ListSubscriptionsByTopic De lo contrario, Security Hub generará WARNING hallazgos para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, un registroAWS CloudTrail, un filtro métrico y una alarma para el filtro métrico.

1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

2. Crea un CloudTrail sendero que se aplique a todosRegiones de AWS. Para obtener instrucciones, consulte Crear una ruta en la Guía del AWS CloudTrail usuario.

   Anote el nombre del grupo de CloudWatch registros de registros que asocie a la CloudTrail ruta. Creará el filtro de métricas para ese grupo de registros en el paso siguiente.

3. Cree un filtro de métricas. Para obtener instrucciones, consulte Crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Definir patrón, patrón de filtro	{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}
   Espacio de nombres métrico	LogMetrics
   Valor de la métrica	1
   Valor predeterminado	0

4. Crea una alarma basada en el filtro. Para obtener instrucciones, consulte Crear una CloudWatch alarma basada en un filtro métrico de grupos de registro en la Guía del CloudWatchusuario de Amazon. Use los siguientes valores:

   Campo	Valor
   Condiciones, tipo de umbral	Estático
   Siempre que your-metric-namesea...	Mayo/Igual
   que...	1

[CloudWatch.15] CloudWatch las alarmas deben tener una acción configurada para el estado ALARMA

Categoría: Detectar - Servicios de detección

Requisitos relacionados: NIST.800-53.R5 AU-6 (1), NIST.800-53.R5 AU-6 (5), NIST.800-53.R5 CA-7, NIST.800-53.R5 IR-4 (12), NIST.800-53.R5 SI-4 (5)

Gravedad: alta

Tipo de recurso: AWS::CloudWatch::Alarm

AWS Configregla: cloudwatch-alarm-action-check

Tipo de cronograma: cambio activado

Parámetros:

• alarmActionRequired: true

• insufficientDataActionRequired: false

• okActionRequired: false

Este control comprueba si CloudWatch las alarmas tienen al menos una acción configurada para el estado ALARM. El control falla si la alarma no tiene ninguna acción activada para el estado ALARMA.

Mientras que este control se centra en si hay alguna ALARM acción configurada en una CloudWatch alarma, CloudWatch.17 se centra en el estado de activación de una acción de CloudWatch alarma.

Recomendamos activar las acciones de alarma para avisarle automáticamente cuando una métrica supervisada supere el umbral definido. Las alarmas de monitoreo le ayudan a identificar actividades inusuales y a responder rápidamente a los problemas operativos y de seguridad. Puede especificar qué acciones debe realizar una alarma cuando pasa a los estados OK, ALARM e INSUFFICIENT_DATA. El tipo más común de acción de alarma consiste en notificar a uno o más usuarios mediante el envío de un mensaje a un tema de Amazon Simple Notification Service (Amazon SNS).

Corrección

Para obtener información sobre las acciones compatibles con las CloudWatch alarmas, consulte Acciones de alarma en la Guía del CloudWatch usuario de Amazon.

[CloudWatch.16] los grupos de CloudWatch registro deben conservarse durante al menos 1 año

Categoría: Identificar - Registro

Requisitos relacionados: NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-11, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-12

Gravedad: media

Tipo de recurso: AWS::Logs::LogGroup

AWS Configregla: cw-loggroup-retention-period-check

Tipo de cronograma: Periódico

Parámetros: ninguno

Este control evalúa si un grupo de CloudWatch registros tiene un período de retención de al menos 1 año. El control falla si el período de retención es inferior a 1 año.

CloudWatchLos registros centralizan los registros de todos sus sistemas y aplicaciones Servicios de AWS en un único servicio altamente escalable. Puede usar Amazon CloudWatch Logs para monitorear, almacenar y acceder a sus archivos de registro desde instancias de Amazon EC2CloudTrail, Route 53 y otras fuentes. Conservar los registros durante al menos 1 año puede ayudarle a cumplir con los estándares de retención de registros.

Corrección

Para configurar los ajustes de retención de registros, consulte Cambiar la retención de datos de registro en Amazon CloudWatch Logs en la Guía del CloudWatch usuario de Amazon.

[CloudWatch.17] las acciones CloudWatch de alarma deben activarse

Categoría: Detectar - Servicios de detección

Requisitos relacionados: NIST.800-53.R5 AU-6 (1), NIST.800-53.R5 AU-6 (5), NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-4 (12)

Gravedad: alta

Tipo de recurso: AWS::CloudWatch::Alarm

AWS Configregla: cloudwatch-alarm-action-enabled-check

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si las acciones de CloudWatch alarma están activadas (ActionEnableddebe configurarse como verdadero). El control falla si la acción de alarma de una CloudWatch alarma está desactivada.

Mientras que este control se centra en el estado de activación de una acción de CloudWatch alarma, CloudWatch.15 se centra en si alguna ALARM acción está configurada en una CloudWatch alarma.

Las acciones de alarma le avisan automáticamente cuando una métrica supervisada supera el umbral definido. Si la acción de alarma está desactivada, no se ejecutará ninguna acción cuando la alarma cambie de estado y no se le avisará de los cambios en las métricas monitoreadas. Recomendamos activar las acciones de CloudWatch alarma para ayudarlo a responder rápidamente a los problemas operativos y de seguridad.

Corrección

Para activar una acción CloudWatch de alarma (consola)

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

2. En el panel de navegación, en Alarmas, elija Todas las alarmas.

3. Seleccione la alarma para la que desee activar las acciones.

4. En Acciones, elija Acciones de alarma: nuevas y, a continuación, seleccione Habilitar.

Para obtener más información sobre la activación de las acciones de CloudWatch alarma, consulte Acciones de alarma en la Guía del CloudWatch usuario de Amazon.