CloudWatch Controles de Amazon - AWS Security Hub
[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CloudWatch Controles de Amazon

Estos controles están relacionados con los CloudWatch recursos.

Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.1,CIS AWS Foundations Benchmark v1.2.0/3.3, CIS AWS Foundations Benchmark v1.4.0/1.7,CIS AWS Foundations Benchmark v1.4.0/4.3

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este usuario raíz tiene acceso a todos los recursos y los servicios no restringidos de Cuenta de AWS. Le recomendamos encarecidamente que evite utilizar el usuario raíz para las tareas diarias. Cuanto menos se use el usuario raíz y cuanto más se adopte el principio de otorgar privilegios mínimos para la administración del acceso, más se reduce el riesgo de que se produzcan cambios accidentales y la divulgación no deseada de credenciales con muchos privilegios.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para realizar tareas de administración de cuentas y servicios. Aplique políticas de AWS Identity and Access Management (IAM) directamente a los grupos y roles, pero no a los usuarios. Para ver un tutorial sobre cómo configurar un administrador para el uso diario, consulte Creación del primer grupo y usuario administrador de IAM en la Guía de usuario de IAM.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 1.7 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.1

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puedes monitorizar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a CloudWatch los registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para llamadas no autorizadas a la API. La monitorización de las llamadas no autorizadas a la API ayuda a revelar errores de la aplicación y puede reducir el tiempo que se tarda en detectar actividades malintencionadas.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.1 en CIS AWS Foundations Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.2

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los inicios de sesión en la consola que no estén protegidos por MFA. La monitorización de los inicios de sesión de la consola con un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.2 en CIS AWS Foundations Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    { ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.4, CIS Foundations Benchmark v1.4.0/4.4 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, se dirigen los CloudTrail registros a los CloudWatch registros y se establecen los filtros de métrica y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de IAM. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

nota

El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se dirigen únicamente a los eventos que provienen de las llamadas a la API de IAM.

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.5, CIS Foundations Benchmark v1.4.0/4.5 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puedes monitorizar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de CloudTrail. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de las actividades de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.5 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.6, CIS Foundations Benchmark v1.4.0/4.6 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métrica y alarma para los intentos de autenticación de la consola que producen un error. La monitorización de los inicios de sesión con error en la consola podría disminuir el tiempo que se tarda en detectar un intento introducir credenciales por fuerza bruta, lo que podría proporcionar un indicador, como el IP de origen, que se puede utilizar en otras correlaciones de eventos.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.6 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.7, CIS Foundations Benchmark v1.4.0/4.7 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puedes monitorizar en tiempo real las llamadas a la API dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para claves administradas por el cliente que hayan cambiado de estado a deshabilitada o eliminación programada. Los datos cifrados con claves deshabilitadas o eliminadas ya no son accesibles.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.7 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas. El control también falla si ExcludeManagementEventSources contiene kms.amazonaws.com.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.8, CIS Foundations Benchmark v1.4.0/4.8 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de bucket S3. La monitorización de estos cambios puede reducir el tiempo que se tarda en detectar y corregir políticas permisivas sobre buckets de S3 confidenciales.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.8 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.9, CIS Foundations Benchmark v1.4.0/4.9 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios a los ajustes de la configuración de AWS Config. La monitorización de estos cambios ayuda a garantizar la visibilidad continua de los elementos de configuración de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.9 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.10, CIS Foundations Benchmark v1.4.0/4.10 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controlan el tráfico de entrada y salida en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a los grupos de seguridad. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.10 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.11, CIS Foundations Benchmark v1.4.0/4.11 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede supervisar en tiempo real las llamadas a la API dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Las NACL se utilizan como un filtro de paquetes sin estado para controlar el tráfico de entrada y salida para las subredes en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las NACL. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios de AWS no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.11 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.12, CIS Foundations Benchmark v1.4.0/4.12 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puede supervisar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Las gateways de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las gateways de red. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de entrada y salida atraviesa la frontera de la VPC a través de una ruta controlada.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.12 en CIS AWS Foundations Benchmark v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.13, CIS Foundations Benchmark v1.4.0/4.13 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si se supervisan las llamadas a la API en tiempo real. Para ello, dirige CloudTrail los registros a CloudWatch los registros y establece los filtros de métrica y las alarmas correspondientes. Las tablas de enrutamiento dirigen el tráfico de red entre subredes y a gateways de red.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las tablas de enrutamiento. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de la VPC vaya a través de una ruta esperada.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

nota

El patrón de filtro que recomendamos en estos pasos de corrección difiere del patrón de filtro de la guía del CIS. Nuestros filtros recomendados se centran únicamente en eventos procedentes de llamadas a la API de Amazon Elastic Compute Cloud (EC2).

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/3.14, CIS Foundations Benchmark v1.4.0/4.14 AWS

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic

Regla de AWS Config: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Puedes monitorizar las llamadas a la API en tiempo real dirigiendo CloudTrail los registros a los CloudWatch registros y estableciendo los filtros de métricas y las alarmas correspondientes. Puede tener más de un VPC en una cuenta, y puede crear una interconexión entre dos VPC, lo que permite dirigir el tráfico de red entre VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las VPC. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Para ejecutar esta comprobación, Security Hub utiliza la lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 4.14 en CIS AWS Foundations Benchmark v1.4.0. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub comprueba este control, busca los CloudTrail rastros que utiliza la cuenta corriente. Estas rutas pueden ser rutas de organización que pertenezcan a otra cuenta. Las rutas multirregionales también pueden estar basadas en una Región diferente.

La comprobación arroja resultados de FAILED en los siguientes casos:

  • No hay ningún rastro configurado.

  • Las rutas disponibles que se encuentran en la Región actual y que son propiedad de una cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control de NO_DATA en los siguientes casos:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

    Recomendamos los registros de la organización para registrar los eventos de muchas cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de administrador CloudTrail delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA de los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre Regiones.

Para la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando a ListSubscriptionsByTopic. De lo contrario, Security Hub generará resultados de WARNING para el control.

Corrección

Para pasar este control, siga estos pasos para crear un tema de Amazon SNS, una ruta de AWS CloudTrail, un filtro de métricas y una alarma para el filtro de métricas.

  1. Cree un tema de Amazon SNS. Para obtener instrucciones, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service. Cree un tema que reciba todas las alarmas del CIS y cree al menos una suscripción al tema.

  2. Cree una CloudTrail ruta que se aplique a todos. Regiones de AWS Para obtener instrucciones, consulte Crear un registro de seguimiento en la Guía del usuario de AWS CloudTrail.

    Anote el nombre del grupo de CloudWatch registros que asocie al CloudTrail sendero. En el siguiente paso, debe crear el filtro de métricas para ese grupo de registros.

  3. Crear un filtro de métricas. Para obtener instrucciones, consulta Cómo crear un filtro de métricas para un grupo de registros en la Guía del CloudWatch usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Defina el patrón, el patrón de filtro

    {($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}

    Espacio de nombres de métrica

    LogMetrics

    Valor de la métrica

    1

    Valor predeterminado

    0

  4. Crear una alarma basada en el filtro. Para obtener instrucciones, consulta Cómo crear una CloudWatch alarma basada en un filtro métrico de grupo de registros en la Guía CloudWatch del usuario de Amazon. Use los siguientes valores:

    Campo Valor

    Condiciones, tipo de umbral

    Estático

    Siempre que sea... your-metric-name

    Mayor/Igual

    que…

    1

[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas

importante

En noviembre de 2023, el título de este control cambió por el que se muestra aquí. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Detectar - Servicios de detección

Requisitos relacionados: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4(1), NIST.800-53.r5 IR-4(5), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-4(12), NIST.800-53.r5 SI-4(5)

Gravedad: alta

Tipo de recurso: AWS::CloudWatch::Alarm

Regla de AWS Config: cloudwatch-alarm-action-check

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

alarmActionRequired

El control genera un resultado PASSED si el parámetro está establecido en true y la alarma tiene una acción cuando el estado de la alarma cambia a ALARM.

Booleano

No personalizable

true

insufficientDataActionRequired

El control genera un resultado PASSED si el parámetro está establecido en true y la alarma tiene una acción cuando el estado de la alarma cambia a INSUFFICIENT_DATA.

Booleano

true o false

false

okActionRequired

El control genera un resultado PASSED si el parámetro está establecido en true y la alarma tiene una acción cuando el estado de la alarma cambia a OK.

Booleano

true o false

false

Este control comprueba si una CloudWatch alarma de Amazon tiene al menos una acción configurada para el ALARM estado. Se produce un error en el control si la alarma no tiene ninguna acción configurada para el estado ALARM. De manera opcional, puede incluir valores personalizados de parámetros para requerir también acciones de alarma para los estados INSUFFICIENT_DATA o OK.

Recomendamos tomar medidas de CloudWatch alarma para avisarle automáticamente cuando una métrica monitorizada supere el umbral definido. Las alarmas de supervisión ayudan a identificar actividades inusuales y a responder rápidamente a los problemas operativos y de seguridad cuando una alarma pasa a un estado específico. El tipo más común de acción de alarma es notificar a uno o más usuarios mediante el envío de un mensaje a un tema de Amazon Simple Notification Service (Amazon SNS).

nota

Mientras que este control se centra en si una CloudWatch alarma tiene configurada una acción de alarma, CloudWatch.17 se centra en el estado de activación de una acción de CloudWatch alarma.

Corrección

Para obtener información sobre las acciones que admiten las CloudWatch alarmas, consulta Acciones de alarma en la Guía del CloudWatch usuario de Amazon.

[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico

importante

En noviembre de 2023, el título de este control cambió por el que se muestra aquí. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Categoría: Identificar - Registro

Requisitos relacionados: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-12

Gravedad: media

Tipo de recurso: AWS::Logs::LogGroup

Regla de AWS Config: cw-loggroup-retention-period-check

Tipo de programa: Periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

minRetentionTime

Período mínimo de retención en días para los grupos de CloudWatch registros

Enum

365, 400, 545, 731, 1827, 3653

365

Este control comprueba si un grupo de CloudWatch registros de Amazon tiene un período de retención de al menos el número de días especificado. Se produce un error en el control si el periodo de retención es inferior a la cantidad especificada. A menos que se proporcione un valor personalizado de parámetro para el periodo de retención, Security Hub utiliza un valor predeterminado de 365 días.

CloudWatch Los registros centralizan los registros de todos sus sistemas y aplicaciones Servicios de AWS en un único servicio altamente escalable. Puede usar CloudWatch Logs para monitorear, almacenar y acceder a sus archivos de registro desde instancias de Amazon Elastic Compute Cloud (EC2), AWS CloudTrail Amazon Route 53 y otras fuentes. Conservar los registros durante al menos un año puede ayudarle a cumplir con los estándares de retención de registros.

Corrección

Para configurar los ajustes de retención de registros, consulta Cambiar la retención de datos de registro en CloudWatch los registros en la Guía del CloudWatch usuario de Amazon.

[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas

Categoría: Detectar - Servicios de detección

Requisitos relacionados: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-4(12)

Gravedad: alta

Tipo de recurso: AWS::CloudWatch::Alarm

Regla de AWS Config: cloudwatch-alarm-action-enabled-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si las acciones de CloudWatch alarma están activadas (ActionEnableddebe configurarse en true). El control falla si la acción de alarma de una CloudWatch alarma está desactivada.

Mientras que este control se centra en el estado de activación de una acción de CloudWatch alarma, CloudWatchel.15 se centra en si alguna ALARM acción está configurada en una CloudWatch alarma.

Las acciones de alarma le avisan automáticamente cuando una métrica monitorizada está fuera del umbral definido. Si la acción de alarma está desactivada, no se ejecuta ninguna acción cuando la alarma cambia de estado y no se le avisará de los cambios en las métricas monitorizadas. Recomendamos activar las acciones de CloudWatch alarma para ayudarle a responder rápidamente a los problemas operativos y de seguridad.

Corrección

Para activar una acción CloudWatch de alarma (consola)
  1. Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Alarms (Alarmas) y, luego, All Alarms (Todas las alarmas).

  3. Seleccione la alarma para la que desea activar las acciones.

  4. En Acciones, selecciona Acciones de alarma (nuevas) y, a continuación, selecciona Habilitar.

Para obtener más información sobre la activación de las acciones de CloudWatch alarma, consulta Acciones de alarma en la Guía del CloudWatch usuario de Amazon.