CISAWSControles de de de referencia - AWS Security Hub
1.1 — Evitar el uso del usuario raíz1.2 — Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola 1.3 — Asegurar que se deshabilitan las credenciales no usadas durante 90 días o más1.4 — Asegurar que las claves de acceso se rotan cada 90 días o menos 1.5 Asegurar que la política de contraseñas de IAM de requiere al menos una letra mayúscula1.6 Asegurar que la política de contraseñas de IAM de requiere al menos una letra minúscula1.7 — Asegurar que la política de contraseñas de IAM de requiere al menos un símbolo1.8 — Asegurar que la política de contraseñas de IAM de requiere al menos un número1.9 Asegurar que la política de contraseñas de IAM de requiere una longitud mínima de 14 o más1.10 — Asegurar que la política de contraseñas de IAM impide la reutilización1.11 — Asegurar que la política de contraseñas de IAM haga caducar las contraseñas en 90 días o menos1.12 — Asegurar que no existe una clave de acceso del usuario raíz1.13 — Asegurar que la MFA está activada para el usuario raíz 1.14 — Asegurar que la MFA basada en hardware está activada para el usuario raíz 1.16 — Asegurar que las políticas de IAM solo están asociadas a grupos o roles1.20 - Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support 1.22 — Asegurar que no se crean políticas de IAM que permiten privilegios administrativos completos «*: *» 2.1: Asegurar CloudTrail está habilitado en todas las regiones2.2. — Asegurar CloudTrail la validación de archivos de registro está habilit 2.3 — Asegurar que el bucket de S3 CloudTrail los registros en no son de acceso público2.4: Asegurar CloudTrail los registros de seguimiento se integran con Amazon CloudWatch Registros2.5: AsegurarAWS Configestá habilitado2.6 — Asegurar que el registro de acceso al bucket de S3 está habilitado en el CloudTrail S3 bucket 2.7: Asegurar CloudTrail se cifran en reposo conAWS KMS keys2.8 — Asegurarse de que la rotación de las claves de KMS creadas por el cliente2.9 — Asegurar que el registro de flujo de VPC está habilitado en todas las VPC 3.1 — Asegurar que haya un filtro de métricas de registro y alarma de registro para las llamadas no autorizadas 3.2 — Asegurar que haya un filtro de métricas de registro y alarma de registro paraAWS Management Consoleinicio de sesión sin MFA 3.3 — Asegurar que haya un filtro de métricas de registro y alarma de registro para el uso del usuario raíz 3.4 — Asegurar que haya un filtro de métricas de registro y alarma para los cambios de política de IAM 3.5 — Asegurar que haya un filtro de métricas de registro y alarma de registro para CloudTrail cambios de configuración 3.6 — Asegurar que haya un filtro de métricas de registro y alarma de registro paraAWS Management Consoleerrores de autenticación 3.7 — Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de claves administradas por el cliente 3.8 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de3.9 — Asegurar que haya un filtro de métricas de registro y alarma de registro paraAWS Configcambios de configuración 3.10 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos 3.11 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios realizados a las listas de control de acceso a la red3.12 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios realizados a las gateways 3.13 — Asegurar que haya un filtro de métricas de registro y alarma para los cambios de tabla de enrutamiento 3.14 — Asegurar que haya un filtro de métricas de registro y alarma para los cambios de VPC de 4.1 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 22 4.2 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 3389 4.3 Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CISAWSControles de de de referencia

Para la CEIAWSSecurity Hub, estándar de Foundations, admite los siguientes controles. Para cada control, la información incluye la regla de AWS Config requerida y los pasos de corrección.

1.1 — Evitar el uso del usuario raíz

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

El usuario raíz ofrece acceso ilimitado a todos los servicios y los recursos deAWSaccount. Se recomienda encarecidamente que evite el uso del usuario raíz para las tareas diarias. Cuanto menos se use el usuario raíz y cuanto más se adopte el principio de otorgar privilegios mínimos para la administración del acceso, más se reduce el riesgo de que se produzcan cambios accidentales y la divulgación no deseada de credenciales con muchos privilegios.

Como práctica recomendada, utilice las credenciales de usuario raíz solo cuando sea necesariorealizar tareas de administración de cuentas y servicios. Aplique políticas de IAM de directamente a grupos y roles, pero no a los usuarios. Para consultar un tutorial sobre cómo configurar un administrador para su uso diario, consulteCreación del primer grupo y usuario administrador de IAMen laIAM User Guide

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.3 enCISAWSFundamentos de referencia. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de enhttps://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. En el panel de navegación, elijaAlarmasy luegoTodas las alarmas.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. Elija Select Metric (Seleccionar métrica).

    2. En la páginaSeleccionar métricapanel, desplázate hacia abajo hastaMétricas. Elija el iconoLogMetricsespacio de nombres. También puede utilizar la barra de búsqueda para buscarlo.

    3. Elija Metrics with no dimensions (Métricas sin dimensiones).

    4. Seleccione la casilla de verificación para la métrica que ha creado. A continuación, elija Select metric (Seleccionar métrica).

    5. UNDERMétrica, deje los valores predeterminados.

    6. UNDERCondiciones, paraUmbral, eligeEstático.

    7. ParaDefina la condición de la alarma, eligeMayor o igual.

    8. ParaDefina el valor del umbralEscriba1.

    9. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma, comoCIS-1.1-RootAccountUsage. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

1.2 — Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola

Gravedad: Media

Regla de AWS Config: mfa-enabled-for-iam-console-access

Type: Schedule Periódico

La autenticación multifactor (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Si la MFA está habilitada, cuando un usuario inicia sesión en un sitio web de AWS, se le pide que indique su nombre de usuario y contraseña así como un código de autenticación de su dispositivo de MFA de AWS.

CIS recomienda que habilite la MFA para todas las cuentas que tienen una contraseña de consola. MFA proporciona una mayor seguridad para acceder a la consola. Requiere que la entidad principal tenga un dispositivo que emita una clave sujeta a limitación temporal y conozca una credencial.

importante

La regla de AWS Config que se utiliza para esta comprobación puede tardar hasta 4 horas en comunicar de forma precisa los resultados de la MFA. Los hallazgos que se generan durante de las primeras 4 horas después de habilitar las comprobaciones de seguridad de CIS podrían no ser precisos. También pueden pasar hasta 4 horas después de solucionar este problema hasta superar la comprobación.

Corrección

Para añadir MFA para los usuarios de IAM, consulteUso de autenticación multifactor (MFA) enAWSen laIAM User Guide.

1.3 — Asegurar que se deshabilitan las credenciales no usadas durante 90 días o más

Gravedad: Media

Regla de AWS Config: iam-user-unused-credentials-check

Type: Schedule Periódico

Los usuarios de IAM pueden accederAWSrecursos que utilizan diferentes tipos de credenciales, como, por ejemplo, contraseñas o claves de acceso.

CIS recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 90 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

La regla AWS Config de este control utiliza las operaciones de la API GetCredentialReport y GenerateCredentialReport, que solo se actualizan cada cuatro horas. Los cambios realizados a los usuarios de IAM de pueden tardar hasta cuatro horas en ser visibles para este control.

Corrección

Para obtener parte de la información que necesita para monitorizar si las credenciales de las cuentas no se han usado en mucho tiempo, utilice la consola de IAM. Por ejemplo, cuando ve los usuarios de su cuenta, hay columnas para Access key age (Antigüedad de la clave de acceso), Password age (Antigüedad de la contraseña) y Last activity (Última actividad). Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar las cuentas de los usuarios e identificar la que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en formato .csv desde la consola de IAM. Para obtener más información sobre los informes de credenciales, consulte Obtención de informes de credenciales para la cuenta de AWS.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, realice los siguientes pasos para deshabilitarlas.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Users (Usuarios).

  3. Elija el nombre del usuario con credenciales de más de 90 días de antigüedad.

  4. Elija las Security credentials (Credenciales de seguridad) y, a continuación, elija Make inactive (Desactivar) para todas las credenciales y claves de acceso de inicio de sesión que no se hayan utilizado en 90 días o más.

1.4 — Asegurar que las claves de acceso se rotan cada 90 días o menos

Gravedad: Media

Regla de AWS Config: access-keys-rotated

Type: Schedule Periódico

Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta, que se utilizan para firmar las solicitudes de programación que se realizan aAWS.AWSlos usuarios necesitan sus propias claves de acceso para poder realizar llamadas mediante programación aAWSdesde lasAWS Command Line Interface(AWS CLI), Tools para Windows PowerShell, elAWSSDK o llamadas HTTP directas mediante las API paraAWSServicios de .

Cuando se rotan las claves de acceso de forma periódica, se reduce la posibilidad de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. Rote las claves de acceso para garantizar que no se puede acceder a los datos con una clave antigua que podría haberse perdido o haber sido descifrada o robada.

nota

Este control no está soportado en África (Ciudad del Cabo) ni Europa (Milán).

Corrección

Para asegurarse de que las claves de acceso no tengan más de 90 días

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Users (Usuarios).

  3. Para cada usuario que muestra una Access key age (Antigüedad de clave de acceso) superior a 90 días, elija el User name (Nombre de usuario) para abrir la configuración de ese usuario.

  4. Elija Security Credentials (Credenciales de seguridad).

  5. Para crear una nueva clave para el usuario:

    1. Elija Create access key (Crear clave de acceso).

    2. Para guardar el contenido clave, descargue la clave de acceso secreta o elija Show (Mostrar) y, a continuación, cópiela de la página.

    3. Almacene la clave en una ubicación segura para proporcionarla al usuario.

    4. Elija Close (Cerrar).

  6. Actualice todas las aplicaciones que utilizaban la clave anterior para que utilicen la nueva clave.

  7. Para la clave anterior, seleccione Make inactive (Desactivar) para desactivar la clave de acceso. Ahora el usuario no puede realizar solicitudes mediante dicha clave.

  8. Confirme que todas las aplicaciones funcionan según lo previsto con la nueva clave.

  9. Después de confirmar que todas las aplicaciones funcionan con la nueva clave, elimine la clave anterior. Después de eliminar la clave de acceso, no podrá recuperarla.

    Para eliminar la clave anterior, elija la X al final de la fila y, a continuación, elija Delete (Eliminar).

1.5 Asegurar que la política de contraseñas de IAM de requiere al menos una letra mayúscula

Gravedad: Media

Regla de AWS Config: iam-password-policy

Type: Schedule Periódico

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilizan diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos una letra mayúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para modificar la política de contraseñas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Account settings (Configuración de la cuenta).

  3. Seleccione Requires at least one uppercase letter (Requiere al menos una letra mayúscula) y, a continuación, elija Apply password policy (Aplicar política de contraseñas).

1.6 Asegurar que la política de contraseñas de IAM de requiere al menos una letra minúscula

Gravedad: Media

Regla de AWS Config: iam-password-policy

Type: Schedule Periódico

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilizan diferentes conjuntos de caracteres. CIS recomienda que la política de contraseñas exija al menos una letra minúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para modificar la política de contraseñas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Account settings (Configuración de la cuenta).

  3. Seleccione Requires at least one lowercase letter (Requiere al menos una letra minúscula) y, a continuación, elija Apply password policy (Aplicar política de contraseñas).

1.7 — Asegurar que la política de contraseñas de IAM de requiere al menos un símbolo

Gravedad: Media

Regla de AWS Config: iam-password-policy

Tipo de programación: Periódico

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilizan diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un símbolo La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para modificar la política de contraseñas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Account settings (Configuración de la cuenta).

  3. Seleccione Require at least one non-alphanumeric character (Requiere al menos un carácter no alfanumérico) y, a continuación, elija Apply password policy (Aplicar política de contraseñas).

1.8 — Asegurar que la política de contraseñas de IAM de requiere al menos un número

Gravedad: Media

Regla de AWS Config: iam-password-policy

Type: Schedule Periódico

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilizan diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un número La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para modificar la política de contraseñas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Account settings (Configuración de la cuenta).

  3. Seleccione Requires at least one number (Requiere al menos un número) y, a continuación, elija Apply password policy (Aplicar política de contraseñas).

1.9 Asegurar que la política de contraseñas de IAM de requiere una longitud mínima de 14 o más

Gravedad: Media

Regla de AWS Config: iam-password-policy

Type: Schedule Periódico

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas tienen como mínimo una determinada longitud.

CIS recomienda que la política de contraseñas exija al menos una longitud de contraseña de 14 caracteres. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para modificar la política de contraseñas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Account settings (Configuración de la cuenta).

  3. En el campo Minimum password length (Longitud mínima de contraseña), escriba 14 y, a continuación, elija Apply password policy (Aplicar política de contraseñas).

1.10 — Asegurar que la política de contraseñas de IAM impide la reutilización

Gravedad: Baja

Regla de AWS Config: iam-password-policy

Type: Schedule Periódico

Este control comprueba si el número de contraseñas que se deben recordar está establecido en 24. El control falla si el valor no es 24.

Las políticas de contraseñas de IAM pueden evitar la reutilización de una contraseña determinada por el mismo usuario.

CIS recomienda que la política de contraseñas evite la reutilización de contraseñas. Evitar la reutilización de contraseñas de aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta.

Corrección

Para modificar la política de contraseñas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Account settings (Configuración de la cuenta).

  3. Seleccione Prevent password reuse (Evitar reutilización de contraseñas) y, a continuación, escriba 24 para Number of passwords to remember (Número de contraseñas a recordar).

  4. Seleccione Apply Password Policy (Aplicar política de contraseñas).

1.11 — Asegurar que la política de contraseñas de IAM haga caducar las contraseñas en 90 días o menos

Gravedad: Baja

Regla de AWS Config: iam-password-policy

Type: Schedule Periódico

Las políticas de contraseñas de IAM pueden requerir que las contraseñas se roten o que caduquen al cabo de un determinado número de días.

CIS recomienda que la política de contraseñas haga caducar las contraseñas después de 90 días o menos. La reducción de la vida útil de la contraseña aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta. Exigir cambios regulares de contraseña también es útil en los siguientes casos:

  • Las contraseñas pueden ser robadas o estar en peligro sin que usted lo sepa. Esto puede ocurrir debido a un sistema amenazado, una vulnerabilidad de software o una amenaza interna.

  • Algunos filtros web corporativas y gubernamentales o servidores proxy puede interceptar y registrar el tráfico incluso si está cifrado.

  • Muchas personas utilizan la misma contraseña para muchos sistemas como, por ejemplo, trabajo, correo electrónico y personal.

  • Algunas estaciones de trabajo de usuarios finales en peligro podrían tener un registrador de combinación de teclas.

Corrección

Para modificar la política de contraseñas

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Account settings (Configuración de la cuenta).

  3. Seleccione Enable password expiration (Habilitar caducidad de la contraseña) y, a continuación, escriba 90 para Password expiration period (in days) (Período de caducidad de la contraseña [en días]).

  4. Seleccione Apply Password Policy (Aplicar política de contraseñas).

1.12 — Asegurar que no existe una clave de acceso del usuario raíz

Gravedad: Critical

Regla de AWS Config: iam-root-access-key-check

Type: Schedule Periódico

El usuario raíz ofrece acceso completo a todos los servicios y los recursos deAWSaccount.AWS Las claves de acceso de ofrecen acceso mediante programación a una cuenta determinada.

CIS recomienda eliminar todas las claves de acceso asociadas al usuario raíz. La eliminación de las claves de acceso asociadas al usuario raíz limita vectores que podrían poner la cuenta en peligro. La eliminación de las claves de acceso del usuario raíz fomenta además la creación y el uso de cuentas basadas en roles, que tienen menos privilegios.

nota

Este control no es compatible con Asia-Pacífico (Osaka).

Corrección

Para eliminar la clave de acceso del usuario raíz, consulteEliminación de claves de acceso para el usuario raízen laIAM User Guide.

1.13 — Asegurar que la MFA está activada para el usuario raíz

Gravedad: Critical

Regla de AWS Config: root-account-mfa-enabled

Type: Schedule Periódico

El usuario raíz ofrece acceso completo a todos los servicios y los recursos deAWSaccount. La MFA aporta una capa adicional de protección además de un nombre de usuario y una contraseña. Si la MFA está habilitada, cuando un usuario inicia sesión en un sitio web de AWS, se le pide que indique su nombre de usuario y contraseña y un código de autenticación de su dispositivo de MFA de AWS.

Si utiliza la MFA virtual para el usuario raíz, CIS recomienda que el dispositivo utilizado seanoun dispositivo personal. Utilice, en cambio, un dispositivo móvil (tableta o teléfono) que usted mismo administre de modo que se mantenga cargado y protegido independientemente de los dispositivos personales individuales. Esto disminuye el riesgo de perder acceso al dispositivo de MFA debido a pérdida o cambio de dispositivo o a que el propietario del dispositivo ya no esté empleado en la empresa.

nota

Este control no se admite en las siguientes regiones.

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste).

Corrección

Para añadir la MFA al usuario root, consulteUso de autenticación multifactor (MFA) enAWSen laIAM User Guide.

1.14 — Asegurar que la MFA basada en hardware está activada para el usuario raíz

Gravedad: Critical

Regla de AWS Config: root-account-hardware-mfa-enabled

Type: Schedule Periódico

El usuario raíz ofrece acceso completo a todos los servicios y los recursos deAWSaccount. La MFA aporta una capa adicional de protección además de un nombre de usuario y una contraseña. Si la MFA está habilitada, cuando un usuario inicia sesión en un sitio web de AWS, se le pide que indique su nombre de usuario y contraseña y un código de autenticación de su dispositivo de MFA de AWS.

Para el nivel 2, CIS recomienda proteger las credenciales del usuario raíz con una MFA basada en hardware. Una MFA basada en hardware tiene una superficie de ataque más pequeña que una MFA virtual. Por ejemplo, una MFA basada en hardware no tiene la superficie expuesta a ataques introducida por el smartphone móvil en el que reside una MFA virtual.

El uso de MFA basada en hardware para muchas cuentas puede crear un problema logístico de administración de dispositivos. Si esto ocurre, considere implementar esta recomendación de nivel 2 selectivamente en las cuentas de seguridad más alta. A continuación, puede aplicar la recomendación de nivel 1 a las cuentas restantes.

Tanto la contraseña de un solo uso basada en el tiempo (TOTP) como los tokens de segundo factor universal (U2F) son viables como opciones de MFA de hardware.

nota

Este control no se admite en las siguientes regiones.

  • China (Pekín)

  • China (Ningxia)

  • AWS GovCloud (EE. UU. Este)

  • AWS GovCloud (EE.UU. Oeste).

Corrección

Para añadir un dispositivo MFA físico al usuario raíz, consulteHabilitar un dispositivo MFA físico para elAWSusuario raíz de la cuenta de (consola)en laIAM User Guide.

1.16 — Asegurar que las políticas de IAM solo están asociadas a grupos o roles

Gravedad: Baja

Regla de AWS Config: iam-user-no-policies-check

Type: Schedule Cambio desencadenado

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen acceso aAWSde AWS. Las políticas de IAM son cómo se conceden los privilegios a usuarios, grupos o roles.

CIS recomienda aplicar políticas de IAM de directamente a grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración del acceso a medida que crece el número de usuarios. A su vez, la reducción de la complejidad de la administración del acceso podría reducir la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios.

nota

Los usuarios de IAM creados por Amazon Simple Email Service se crean automáticamente mediante políticas en línea. Security Hub exime automáticamente a estos usuarios de este control.

Corrección

Para solucionar este problema,crear un grupo de IAMy asocie la política al grupo. Luego,añadir los usuarios al grupo. La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulteAdición y eliminación de permisos de identidad de IAMen laIAM User Guide.

1.20 - Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

Gravedad: Baja

Regla de AWS Config: iam-policy-in-use

Type: Schedule Periódico

AWS proporciona un centro de soporte que se puede utilizar para la notificación y respuesta de incidentes, así como para el soporte técnico y el servicio de atención al cliente.

Cree un rol de IAM para permitir que los usuarios autorizados administren incidentes conAWSSupport. Al implementar privilegios mínimos para el control de acceso, un rol de IAM requerirá una política de IAM adecuada para permitir el acceso al centro de soporte técnico a fin de administrar incidentes conAWSSupport.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Corrección

Para solucionar este problema, cree un rol que permita a los usuarios autorizados administrar incidentes de AWS Support.

Para crear el rol que se utilizará para el acceso de AWS Support

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de IAM, seleccioneRoles dey, después,.Creación de.

  3. ParaTipo de rol, elige laOtroAWScuenta.

  4. En Account ID (ID de cuenta), escriba el ID de cuenta de AWS de la cuenta de AWS a la que desea conceder acceso a los recursos.

    Si los usuarios o grupos que asumirán este rol están en la misma cuenta, introduzca el número de cuenta local.

    nota

    El administrador de la cuenta especificada puede conceder permiso para asumir este rol a cualquier usuario de IAM en esa cuenta. Para ello, el administrador asocia una política al usuario o grupo que concede permiso para la acción sts:AssumeRole. En esa política, el recurso debe ser el ARN del rol.

  5. Seleccione Next (Siguiente): Permisos.

  6. Busque la política administrada AWSSupportAccess.

  7. Seleccione la casilla de verificación de la política administrada AWSSupportAccess.

  8. Seleccione Next (Siguiente): Tags (Etiquetas).

  9. (Opcional) Para agregar metadatos al rol, asocie etiquetas como pares clave-valor.

    Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de usuarios y roles de IAM en la Guía del usuario de IAM.

  10. Seleccione Next (Siguiente): Consulte.

  11. Escriba un nombre para el rol en Role name (Nombre de rol).

    Los nombres de rol deben ser únicos en su cuenta de AWS. No distinguen entre mayúsculas y minúsculas.

  12. (Opcional) En Role description (Descripción del rol), escriba una descripción para el nuevo rol.

  13. Revise el rol y, a continuación, elija Create role (Crear rol).

1.22 — Asegurar que no se crean políticas de IAM que permiten privilegios administrativos completos «*: *»

Gravedad: Alta

Regla de AWS Config: iam-policy-no-statements-with-admin-access

Type: Schedule Cambio desencadenado

Las políticas de IAM de definen un conjunto de privilegios concedidos a usuarios, grupos o roles. Se recomienda, y se considera un consejos de seguridad estándar, conceder privilegios mínimos, es decir, solo los permisos necesarios para realizar una tarea. Determine las tareas que tienen que realizar los usuarios y elabore políticas al respecto para permitir a los usuarios realizar solo esas tareas, en lugar de concederles privilegios administrativos completos.

Es más seguro comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario, en lugar de partir de permisos demasiado indulgentes y, después, intentar limitarlos. Proporcionar privilegios administrativos completos en lugar de restringir el conjunto mínimo de permisos que el usuario necesita, expone los recursos a posibles acciones no deseadas.

Debe quitar las políticas de IAM que tienen una instrucción con"Effect": "Allow"con"Action": "*" sobre"Resource": "*".

Corrección

Para modificar las políticas de IAM de modo que no permitan privilegios administrativos completos"*», consulteEdición de políticas de IAMen laIAM User Guide.

2.1: Asegurar CloudTrail está habilitado en todas las regiones

Gravedad: Alta

Regla de AWS Config: multi-region-cloudtrail-enabled

Type: Schedule Periódico

Este control comprueba que haya al menos una de varias regiones CloudTrail registro de seguimiento. También comprueba que elExcludeManagementEventSourcesestá vacío para al menos uno de esos senderos.

CloudTrail es un servicio que grabaAWSLa API llama a la cuenta y le entrega archivos de registro. La información registrada incluye la identidad del intermediario de la API, la hora a la que se produce la llamada a la API, la dirección IP de origen del intermediario de la API, los parámetros de la solicitud y los elementos de respuesta devueltos porAWSservicio de. CloudTrail proporciona un historial deAWSllamadas a la API de para una cuenta, incluidas las llamadas a la API realizadas en laAWS Management Console,AWSSDK, herramientas de línea de comandos y de nivel superiorAWSservicios (comoAWS CloudFormation).

LaAWSHistorial de llamadas a la API producido por CloudTrail permite realizar análisis de seguridad, seguimientos de cambios en los recursos y auditorías de conformidad. Además:

  • Garantizar que haya un registro de seguimiento en varias regiones garantiza que se detecten actividades inesperadas que tienen lugar en las regiones

  • Garantizar que haya un registro de seguimiento de varias regiones asegura que el Registro de servicio global esté habilitado para realizar un registro de seguimiento de forma predeterminada que capture el registro de los eventos generados en los servicios globales de AWS

  • Para un registro de seguimiento en varias regiones, garantizar el registro de los eventos de administración configurados para todo tipo de operaciones de lectura/escritura asegura el registro de las operaciones de administración que se realizan en todos los recursos en una cuenta de AWS

Por defecto, CloudTrail senderos que se crean con elAWS Management Consoleson senderos multirregionales.

Corrección

Para crear un nuevo registro de seguimiento en CloudTrail

  1. Inicie sesión enAWS Management Consoley abra CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  2. Si no ha utilizado CloudTrail antes, eligeComenzar ahora.

  3. Elija Trails (Registros de seguimiento) y, a continuación, elija Create trail (Crear registro de seguimiento).

  4. Escriba un nombre para el registro de seguimiento.

  5. En Storage location (Ubicación de almacenamiento), haga una de estas operaciones:

    • Para un nuevo bucket de S3 para CloudTrail registros, elijaCrear un bucket de S3y, a continuación, escriba un nombre para el bucket.

    • ElegirUsar bucket de S3 existentey a continuación, seleccione el bucket que va a usar.

  6. ElegirAjustes adicionalesy, paraLa validación de los archivos, eligeEnabled (Habilitado)para pasar2.2. — Asegurar CloudTrail la validación de archivos de registro está habilit .

  7. Pasar2.4: Asegurar CloudTrail los registros de seguimiento se integran con Amazon CloudWatch Registros, debe habilitar CloudWatch Troncos.

    1. UNDER CloudWatch Registros, seleccione laEnabled (Habilitado).

    2. ParaGrupo de registros, lleve a cabo una de las siguientes operaciones:

      • Para usar un grupo de registros existente, elijaExistentey, a continuación, especifique el nombre del grupo de registros que se va a utilizar.

      • Para crear un nuevo grupo de registros, elijaNuevoy, a continuación, especifique un nombre para el grupo de registros que desea crear.

    3. En IAM role (Rol de IAM), realice una de las operaciones siguientes:

      • Para usar un rol de existente, elijaExistentey, a continuación, elija el rol en la lista desplegable.

      • Para crear un nuevo rol, elijaNuevoy, a continuación, especifique un nombre para el rol que desea crear. El nuevo rol se asigna a una política que concede los permisos necesarios.

        Para ver los permisos concedidos a la función, expanda laDocumento de política.

  8. Seleccione Create (Crear).

Para actualizar un registro de seguimiento existente en CloudTrail

  1. Inicie sesión enAWS Management Consoley abra CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija el nombre del registro de seguimiento en la columna Name (Nombre).

  4. Actualice la configuración de la ruta según sea necesario.

    Para actualizar la configuración de una sección específica, haga lo siguiente:

    1. ElegirEditarpara esa sección.

    2. Realice las actualizaciones necesarias en la configuración.

    3. Elija Save changes (Guardar cambios).

2.2. — Asegurar CloudTrail la validación de archivos de registro está habilit

Gravedad: Media

Regla de AWS Config: cloud-trail-log-file-validation-enabled

Type: Schedule Periódico

CloudTrail La validación de archivos de registro de crea un archivo de resumen firmado digitalmente que contiene un hash de cada registro que CloudTrail escribe en S3. Puede utilizar estos archivos de resumen para determinar si un archivo de registro se ha modificado, eliminado o sigue igual después de CloudTrail entregó el registro.

CIS recomienda que habilite la validación de archivos en todos los registros de seguimiento. La habilitación de la validación de archivos de registro proporciona una comprobación de integridad CloudTrail troncos.

Corrección

Para habilitar CloudTrail validación de archivos de registro

  1. Abra el icono CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija el nombre de un registro de seguimiento que se va a editar en la columna Name (Nombre).

  4. UNDERDetalles generales, eligeEditar.

  5. UNDERAjustes adicionales, paraLa validación de los archivos, seleccionarEnabled (Habilitado).

  6. Seleccione Save (Guardar).

2.3 — Asegurar que el bucket de S3 CloudTrail los registros en no son de acceso público

Gravedad: Critical

Reglas de AWS Config: s3-bucket-public-read-prohibited, s3-bucket-public-write-prohibited

Type: Schedule Periódico y desencadenado por cambios

CloudTrail registra un registro de cada llamada realizada a la API en su cuenta. Los archivos de registro se almacenan en un bucket de S3. CIS recomienda que la política de bucket de S3 o la lista de control de acceso (ACL) que se aplica al bucket de S3 que CloudTrail registros para impedir el acceso público al CloudTrail troncos. Permitir el acceso público CloudTrail El contenido de registro podría ayudar a un adversario a identificar los puntos débiles del uso o de la configuración de la cuenta afectada.

Para ejecutar esta comprobación, Security Hub utiliza primero la lógica personalizada para buscar el bucket de S3 donde CloudTrail se almacenan los registros. A continuación, utiliza las reglas administradas por AWS Config para comprobar que el bucket sea accesible públicamente.

Si agrega los registros de en un único bucket de S3 centralizado, Security Hub solo ejecuta la comprobación en la cuenta y región donde se encuentra el bucket de S3 centralizado. Para otras cuentas y regiones, el estado de control esSin datos.

Si el bucket está accesible públicamente, la comprobación genera un resultado de error.

Corrección

Para eliminar el acceso público a un bucket de Amazon S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija el nombre del bucket en el que se CloudTrail se almacenan.

  3. Elija Permissions (Permisos) y, a continuación, seleccione Public access settings (Configuración de acceso público).

  4. Elija Edit (Editar), seleccione las cuatro opciones y elija Save (Guardar).

  5. Si se le solicite, introduzca confirm y luego seleccione Confirm (Confirmar).

2.4: Asegurar CloudTrail los registros de seguimiento se integran con Amazon CloudWatch Registros

Gravedad: Baja

Regla de AWS Config: cloud-trail-cloud-watch-logs-enabled

Type: Schedule Periódico

CloudTrail es un servicio web que registraAWSLlamadas a la API realizadas en una determinada cuenta. La información registrada incluye la identidad del intermediario de la API, la hora a la que se produce la llamada a la API, la dirección IP de origen del intermediario, los parámetros de la solicitud y los elementos de respuesta devueltos por el servicio de AWS.

CloudTrail utiliza Amazon S3 para el almacenamiento y la entrega de archivos de registro, por lo que los archivos de registro se almacenan de forma duradera. Además de capturar CloudTrail inicia sesión en un bucket de Amazon S3 especificado para análisis a largo plazo, puede realizar análisis en tiempo real configurando CloudTrail enviar los registros a CloudWatch Troncos.

Para un registro de seguimiento que está habilitado en todas las regiones de una cuenta, CloudTrail envía los archivos de registro de todas esas regiones a un CloudWatch Grupo de registros de registros.

CIS recomienda enviar CloudTrail Los registros de en CloudWatch Troncos.

nota

La finalidad de esta recomendación es garantizar que la actividad de la cuenta está siendo capturada y monitorizada y que se crean alarmas según corresponda. CloudWatch Logs es una forma nativa de lograr esto medianteAWSpero no excluye el uso de una solución alternativa.

Send CloudTrail Los registros de en CloudWatch Los registros de facilitan el registro de actividad histórico y en tiempo real en función del usuario, la API, el recurso y la dirección IP. Proporciona la oportunidad de establecer alarmas y notificaciones en caso de que se produzcan actividades de la cuenta anómalas o delicadas.

Corrección

Para garantizar que CloudTrail los registros de están integrados con CloudWatch Registros

  1. Abra el icono CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija un registro de seguimiento para el que no haya ningún valor en elCloudWatchGrupo de registroscolumn.

  4. Desplácese hasta la.CloudWatch Registrossección y, a continuación, elijaEditar.

  5. Seleccione la casilla Enabled (Habilitado).

  6. ParaGrupo de registros, lleve a cabo una de las siguientes operaciones:

    • Para usar un grupo de registros existente, elijaExistentey, a continuación, especifique el nombre del grupo de registros que se va a utilizar.

    • Para crear un nuevo grupo de registros, elijaNuevoy, a continuación, especifique un nombre para el grupo de registros que desea crear.

  7. En IAM role (Rol de IAM), realice una de las operaciones siguientes:

    • Para usar un rol de existente, elijaExistentey, a continuación, elija el rol en la lista desplegable.

    • Para crear un nuevo rol, elijaNuevoy, a continuación, especifique un nombre para el rol que desea crear. El nuevo rol se asigna a una política que concede los permisos necesarios.

      Para ver los permisos concedidos a la función, expanda laDocumento de política.

  8. Elija Save changes (Guardar cambios).

Para obtener más información, consulteConfiguración CloudWatch Monitorización de registros con la consolaen laAWS CloudTrailGuía del usuario de.

2.5: AsegurarAWS Configestá habilitado

Gravedad: Media

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

AWS Config es un servicio web que se encarga de administrar la configuración de los recursos de AWS admitidos en la cuenta y le proporciona archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre elementos de configuración (recursos de AWS) y cualquier cambio de configuración entre recursos.

CIS recomienda que habiliteAWS Configen todas las regiones. El historial del elemento de configuración de AWS que AWS Config captura, permite realizar análisis de seguridad, seguimientos de cambios en los recursos y auditorías de conformidad.

nota

CIS 2.5 requiere queAWS Configestá habilitado en todas las regiones en las que usa Security Novedolo.

Como Security Hub es un servicio regional, la comprobación que se realiza con este control solo se aplica a la región actual de la cuenta. La comprobación no se realiza en todas las regiones.

También debe registrar recursos globales para que las comprobaciones de seguridad que se realizan en este tipo de recursos se apliquen en cada una de las regiones. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Para ejecutar esta comprobación, Security Hub aplica una lógica personalizada que sigue los pasos de auditoría prescritos enCISAWSFundamentos de referencia. Security Hub también necesita que se registren recursos globales en cada región, ya que Security Hub es un servicio regional y realiza sus comprobaciones de seguridad región por región.

Corrección

Para configurar los ajustes de AWS Config

  1. Abra la consola de AWS Config en https://console.aws.amazon.com/config/.

  2. Seleccione la región en la que va a configurar AWS Config.

  3. Si no ha utilizadoAWS Configantes, consulteIntroducciónen laAWS ConfigGuía para desarrolladores.

  4. Vaya a la página Configuración del menú y haga lo siguiente:

    • Elija Edit (Editar).

    • UNDERTipos de recursos para registrar, seleccionarRegistrar todos los recursos apoyados en esta regiónyIncluir recursos globales (por ejemplo,AWSRecursos de IAM.

    • UNDERperiodo de retención de datos, seleccione el período de retención predeterminado paraAWS Configdatos o especificar un período de retención personalizado.

    • UNDERAWS Configrol de, o bien eligeCrearAWS ConfigRol vinculado al servicio deo eligeElija un rol de su cuentay seleccione el rol que desea usar.

    • En Amazon S3 bucket (Bucket de Amazon S3), especifique el bucket a usar o cree un bucket y, de forma opcional, incluya un prefijo.

    • UNDERTema de Amazon SNS, seleccione un tema de Amazon SNS de en su cuenta o cree uno. Para obtener más información acerca de Amazon SNS, consulte laAmazon Simple NoSimple NoSimple NoNo.

  5. Seleccione Save (Guardar).

Para obtener más información acerca del uso deAWS Configdesde lasAWS Command Line Interface, consulteActivación deAWS Configen laAWS ConfigGuía para desarrolladores.

También puede utilizar una plantilla de AWS CloudFormation para automatizar este proceso. Para obtener más información, consulte laAWS CloudFormation StackSets Plantilla de ejemploen laAWS CloudFormationGuía del usuario de.

2.6 — Asegurar que el registro de acceso al bucket de S3 está habilitado en el CloudTrail S3 bucket

Gravedad: Baja

Regla de AWS Config: s3-bucket-logging-enabled

Type: Schedule Periódico

El registro de acceso a bucket de Amazon S3 genera un registro que contiene registros de acceso para cada solicitud realizada a su bucket de S3. Un registro de acceso contiene detalles sobre la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud con los que se ha trabajado y la fecha y hora en que se procesó la solicitud.

CIS recomienda que habilite el registro de acceso a bucket en la CloudTrail S3 bucket.

Al habilitar el registro del bucket de S3 en los buckets de S3 de destino, puede capturar todos los eventos que podrían afectar a los objetos en el bucket de destino. Configurar los registros para que se coloquen en un bucket independiente permite el acceso a la información de registro, lo que puede resultar útil en flujos de trabajo de respuesta a incidentes y seguridad.

Para ejecutar esta comprobación, Security Hub utiliza primero la lógica personalizada para buscar el bucket donde CloudTrail se almacenan los registros y, a continuación, se utilizaAWS Configregla administrada para comprobar si el registro está habilitado.

Si agrega los registros de en un único bucket de S3 centralizado, Security Hub solo ejecuta la comprobación en la cuenta y región donde se encuentra el bucket de S3 centralizado. Para otras cuentas y regiones, el estado de control esSin datos.

Si el bucket está accesible públicamente, la comprobación genera un resultado de error.

Corrección

Para habilitar el registro de acceso al bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija el bucket utilizado CloudTrail.

  3. Seleccione Properties (Propiedades).

  4. Elija Server access logging (Registro de acceso del servidor) y elija Enable logging (Habilitar registro).

  5. Seleccione un bucket de la lista Target bucket (Bucket de destino) y, de manera opcional, introduzca un prefijo.

  6. Seleccione Save (Guardar).

2.7: Asegurar CloudTrail se cifran en reposo conAWS KMS keys

Gravedad: Media

Regla de AWS Config: cloud-trail-encryption-enabled

Type: Schedule Periódico

CloudTrail es un servicio web que registraAWSLa API solicita una cuenta y pone esos registros a disposición de los usuarios y los recursos de acuerdo con las políticas de IAM.AWS Key Management Service(AWS KMS) es un servicio administrado que le ayuda a crear y controlar las claves de cifrado usadas para cifrar los datos de la cuenta y utiliza módulos de seguridad de hardware (HSM) para proteger la seguridad de las claves de cifrado.

Puede configurar CloudTrail registros de para aprovechar el cifrado del lado del servidor (SSE) y claves de KMS para proteger aún más CloudTrail troncos.

CIS recomienda configurar CloudTrail para que utilice SSE-KMS.

Configuración CloudTrail para utilizar SSE-KMS proporciona controles de confidencialidad adicionales en los datos de registro ya que un usuario determinado debe tener permiso de lectura de S3 en el bucket de registro correspondiente y permiso de descifrado otorgado por la política de claves de KMS.

Corrección

Para habilitar el cifrado CloudTrail Registros de

  1. Abra el icono CloudTrail Consola de enhttps://console.aws.amazon.com/cloudtrail/.

  2. Elija Trails (Registros de seguimiento).

  3. Elija el registro de seguimiento que se va a actualizar.

  4. En Storage location (Ubicación de almacenamiento), seleccione el icono de lápiz para editar la configuración.

  5. En Encrypt log files with SSE-KMS (Cifrar archivos de registro con SSE-KMS), elija Yes (Sí).

  6. En Create a new KMS key (Crear una nueva clave de KMS), realice una de las siguientes operaciones:

    • Para crear una clave, elija Yes (Sí) y, a continuación, introduzca un alias para la clave en el campo KMS key (Clave de KMS). La clave se crea en la misma región en la que se encuentra el bucket.

    • Para utilizar una clave existente, elija No y, a continuación, seleccione la clave de la lista KMS key (Clave de KMS).

    nota

    La clave de AWS KMS y el bucket de S3 deben estar en la misma región.

  7. Seleccione Save (Guardar).

Es posible que tenga que modificar la política de CloudTrail para interactuar correctamente con la clave de KMS. Para obtener más información, consulteCifrado de CloudTrail archivos de registro conAWS KMS—Claves administradasen laAWS CloudTrailGuía del usuario de.

2.8 — Asegurarse de que la rotación de las claves de KMS creadas por el cliente

Gravedad: Media

Regla de AWS Config: cmk-backing-key-rotation-enabled

Type: Schedule Periódico

AWS KMSpermite a los clientes rotar la llave de respaldo, que es el material clave almacenado enAWS KMSy está vinculado al ID de clave de la clave de la clave de KMS. Es la clave de backup que se utiliza para realizar operaciones criptográficas como, por ejemplo, cifrado y descifrado. Actualmente, la rotación de claves automática retiene todas las claves de backup anteriores, por lo que el descifrado de los datos cifrado se puede realizar de forma transparente.

CIS recomienda que habilite la rotación de claves de KMS. La rotación de claves de cifrado ayuda a reducir el impacto potencial de una clave en peligro porque los datos cifrados con una nueva clave no son accesibles con un clave anterior que se haya visto expuesta.

Corrección

Para habilitar la rotación de claves KMS

  1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. Elija Customer managed keys (Claves administradas por el cliente).

  4. Elija el alias de la clave que va a actualizar en la columna Alias.

  5. Elija Key rotación (Rotación de clave).

  6. SelectRotar esta clave de KMSy luegoGuardar.

2.9 — Asegurar que el registro de flujo de VPC está habilitado en todas las VPC

Gravedad: Media

Regla de AWS Config: vpc-flow-logs-enabled

Type: Schedule Periódico

Los registros de flujo de VPC son una característica que permite capturar información acerca del tráfico IP que entra y sale de las interfaces de red en la VPC. Una vez creado un log de flujo, puede verlo y recuperar sus datos en CloudWatch Troncos.

CIS recomienda que habilite el registro de flujo para rechazos de paquetes para VPC. Los registros de flujo proporcionan visibilidad del tráfico de red que atraviesa la VPC y pueden detectar tráfico o información anómalos durante los flujos de trabajo de seguridad.

Corrección

Para habilitar el registro de flujo de la VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. Elija Your VPC (Su VPC).

  3. Seleccione la VPC que se va a actualizar.

  4. En la parte inferior de la página, elija la pestaña Flow Logs (Registros de flujo).

  5. Elija Create flow log (Crear registro de flujo).

  6. En Filter (Filtro), elija Reject (Rechazar).

  7. En Destination log group (Grupo de registros de destino), seleccione el grupo de registros que se va a utilizar.

  8. ParaRol de IAM, seleccione la función de IAM que va a usar.

  9. Seleccione Create (Crear).

3.1 — Asegurar que haya un filtro de métricas de registro y alarma de registro para las llamadas no autorizadas

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para llamadas no autorizadas a la API. La monitorización de las llamadas no autorizadas a la API ayuda a revelar errores de la aplicación y puede reducir el tiempo que se tarda en detectar actividades malintencionadas.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.1 en laCISAWSFundamentos de referencia. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, paraEstadística, eligePromedio. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayor o igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.1-UnauthorizedAPICalls. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.2 — Asegurar que haya un filtro de métricas de registro y alarma de registro paraAWS Management Consoleinicio de sesión sin MFA

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los inicios de sesión en la consola que no estén protegidos por MFA. La monitorización de los inicios de sesión de la consola con un solo factor aumenta la visibilidad de las cuentas que no están protegidas por MFA.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.2 enCISAWSFundamentos de referencia. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      { ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayor o igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.2-ConsoleSigninWithoutMFA. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.3 — Asegurar que haya un filtro de métricas de registro y alarma de registro para el uso del usuario raíz

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los intentos de inicio de sesión del usuario raíz. La monitorización de los inicios de sesión de los usuarios raíz proporciona visibilidad del uso de una cuenta con todos los privilegios y una oportunidad de reducir su uso.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.3 enCISAWSFundamentos de referencia. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayor o igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, RootAccountUsage. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.4 — Asegurar que haya un filtro de métricas de registro y alarma para los cambios de política de IAM

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de IAM. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.4 enCISAWSFundamentos de referencia. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Tenga en cuenta que la alarma comprueba las operaciones de API específicas por nombre. Una de estas operaciones esDeletePolicy. La alarma no comprueba que la llamada se haya emitido desde IAM. Debido a esto, la alarma también se activa cuando Auto Scaling llamaDeletePolicy.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy)}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, paraEstadística, eligePromedio. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayor o igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.4-IAMPolicyChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.5 — Asegurar que haya un filtro de métricas de registro y alarma de registro para CloudTrail cambios de configuración

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a CloudTrailajustes de configuración La monitorización de estos cambios ayuda a garantizar la visibilidad continua de las actividades de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.5 enCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.5-CloudTrailChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.6 — Asegurar que haya un filtro de métricas de registro y alarma de registro paraAWS Management Consoleerrores de autenticación

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los intentos de autenticación de la consola que producen un error. La monitorización de los inicios de sesión con error en la consola podría disminuir el tiempo que se tarda en detectar un intento introducir credenciales por fuerza bruta, lo que podría proporcionar un indicador, como el IP de origen, que se puede utilizar en otras correlaciones de eventos.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.6 en laCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.6-ConsoleAuthenticationFailure. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.7 — Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de claves administradas por el cliente

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para las claves administradas por el cliente que han cambiado de estado a deshabilitada o eliminación programada. Los datos cifrados con claves deshabilitadas o eliminadas ya no son accesibles.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.7 enCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas. El control también falla siExcludeManagementEventSourcescontienekms.amazonaws.com.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de métricaEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.7-DisableOrDeleteCMK. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.8 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las políticas de bucket de S3. La monitorización de estos cambios puede reducir el tiempo que se tarda en detectar y corregir políticas permisivas sobre buckets de S3 confidenciales.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.8 enCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un CloudTrail que se aplica a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que se asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de lasEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, paraEstadística, eligePromedio. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.8-S3BucketPolicyChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.9 — Asegurar que haya un filtro de métricas de registro y alarma de registro paraAWS Configcambios de configuración

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados aAWS Configajustes de configuración La monitorización de estos cambios ayuda a garantizar la visibilidad continua de los elementos de configuración de la cuenta.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.9 enCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure una CloudTrail que se aplica a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que se asocia al CloudTrail registro de seguimiento. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de lasEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.9-AWSConfigChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.10 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes. Los grupos de seguridad son un filtro de paquetes con estado que controlan el tráfico de entrada y salida en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a los grupos de seguridad. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios de no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.10 en laCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure una CloudTrail que se aplica a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que se asocia al CloudTrail seguimiento de. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de lasEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.10-SecurityGroupChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.11 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios realizados a las listas de control de acceso a la red

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes. Las NACL se utilizan como un filtro de paquetes sin estado para controlar el tráfico de entrada y salida para las subredes en una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las NACL. La monitorización de estos cambios ayuda a garantizar que los recursos y servicios de AWS no se expongan de forma involuntaria.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.11 en laCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure una CloudTrail que se aplica a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que se asocia al CloudTrail seguimiento de. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de lasEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.11-NetworkACLChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.12 — Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios realizados a las gateways

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo las llamadas CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes. Las gateways de red son necesarias para enviar y recibir tráfico a un destino fuera de una VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las gateways de red. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de entrada y salida atraviesa la frontera de la VPC a través de una ruta controlada.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.12 en laCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure una CloudTrail que se aplica a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que se asocia al CloudTrail seguimiento de. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de lasEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, deje los valores predeterminados. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.12-NetworkGatewayChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.13 — Asegurar que haya un filtro de métricas de registro y alarma para los cambios de tabla de enrutamiento

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes. Las tablas de enrutamiento dirigen el tráfico de red entre subredes y a gateways de red.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las tablas de enrutamiento. La monitorización de estos cambios ayuda a garantizar que todo el tráfico de la VPC vaya a través de una ruta esperada.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.13 en laCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • El registro de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure una CloudTrail que se aplica a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que se asocia al CloudTrail seguimiento de. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable)}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de lasEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, paraEstadística, eligePromedio. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERAlarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.13-RouteTableChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

3.14 — Asegurar que haya un filtro de métricas de registro y alarma para los cambios de VPC de

Gravedad: Baja

AWS ConfigRegla de : Ninguno

Type: Schedule Periódico

Puede monitorizar las llamadas a la API en tiempo real dirigiendo CloudTrail Los registros de en CloudWatch Registra y establece los filtros métricos y las alarmas correspondientes. Puede tener más de un VPC en una cuenta, y puede crear una interconexión entre dos VPC, lo que permite dirigir el tráfico de red entre VPC.

CIS recomienda que cree un filtro de métricas y alarma para los cambios realizados a las VPC. La monitorización de estos cambios ayuda a garantizar que los controles de autenticación y autorización permanezcan intactos.

Para ejecutar esta comprobación, Security Hub utiliza una lógica personalizada para realizar los pasos de auditoría exactos prescritos para el control 3.14 en laCISAWSReferencia de Fundamentos v1.2. Este control produce un error si no se utilizan los filtros de métricas exactos prescritos por CIS. No se pueden añadir campos ni términos adicionales a los filtros de métricas.

nota

Cuando Security Hub realiza la comprobación de este control, busca CloudTrail rutas que utiliza la cuenta corriente. Estas rutas pueden ser rutas organizativas que pertenecen a otra cuenta. Los registros de seguimiento de varias regiones también pueden tener su base en una región diferente.

El resultado de la verificaciónFAILEDen los siguientes casos:

  • No hay ninguna ruta configurada.

  • Los senderos disponibles que están en la región actual y que son propiedad de la cuenta corriente no cumplen con los requisitos de control.

La comprobación da como resultado un estado de control deNO_DATAen los siguientes casos:

  • La ruta de seguimiento de varias regiones se basa en una región diferente. Security Hub solo puede generar hallazgos en la región en la que se encuentra la ruta.

  • El registro de seguimiento de varias regiones pertenece a una cuenta diferente. Security Hub solo puede generar hallazgos para la cuenta propietaria del seguimiento.

Para activar la alarma, la cuenta corriente debe ser propietaria del tema de Amazon SNS al que se hace referencia o debe obtener acceso al tema de Amazon SNS llamando alListSubscriptionsByTopic. De lo contrario, Security Hub generaWARNINGhallazgos para el control.

Corrección

Los pasos de solución de problemas en este caso incluyen configurar un tema de Amazon SNS, un CloudTrailseguimiento de, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS de que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure una CloudTrail que se aplica a todas las regiones. Para ello, siga los pasos de corrección en 2.1: Asegurar CloudTrail está habilitado en todas las regiones.

Anote el nombre del CloudWatch Grupo de registros de registros que se asocia al CloudTrail seguimiento de. Cree el filtro de métricas para ese grupo de registros.

Por último, cree el filtro de métricas y alarma.

Para crear un filtro de métricas y alarma

  1. Abra el icono CloudWatch Consola de:https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Log groups (Grupos de registro).

  3. Seleccione la casilla de verificación de CloudWatch Grupo de registros de registros que está asociado con el CloudTrail sendero que creaste.

  4. DesdeActions, eligeCrear filtro de métricas.

  5. UNDERDefinir patrón, realice una de las siguientes opciones:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}
    2. Elija Next (Siguiente).

  6. UNDERAsignación ación, realice una de las siguientes opciones:

    1. EnNombre del filtroescriba un nombre para el filtro de métricas.

    2. ParaEspacio de nombres de lasEscribaLogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. ParaNombre de métrica, escriba un nombre para la métrica. Recuerde el nombre de la métrica. Necesitará seleccionar la métrica para poder crear la alarma de.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. UNDERRevisar y crear, compruebe la información que ha proporcionado para el nuevo filtro de métricas. Luego eligeCrear filtro de métricas..

  8. Elija el iconoFiltros de métricasy, a continuación, elija el filtro de métricas que acaba de crear.

    Para elegir el filtro de métricas, active la casilla de verificación situada en la esquina superior derecha.

  9. Elija Create Alarm (Crear alarma).

  10. UNDEREspecificar métrica y condiciones, realice una de las siguientes opciones:

    1. UNDERMétrica, paraEstadística, eligePromedio. Para obtener más información acerca de las estadísticas disponibles, consulteEstadísticasen laAmazon CloudWatch Guía del usuario de.

    2. UNDERCondiciones, paraUmbral, eligeEstático.

    3. ParaDefina la condición de la alarma, eligeMayore/igual.

    4. ParaDefina el valor del umbralEscriba1.

    5. Elija Next (Siguiente).

  11. UNDERConfiguración de acciones, realice una de las siguientes opciones:

    1. UNDERActivación de estado de alarma, eligeAlarmas en.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. ParaEnviar una notificación a, escriba el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. UNDERAgregar nombre y la descripciónintroduzca unNombreyDescripciónpara la alarma. Por ejemplo, CIS-3.14-VPCChanges. A continuación, elija Next.

  13. UNDERLa vista previa, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

4.1 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 22

Gravedad: Alta

Regla de AWS Config: restricted-ssh

Type: Schedule Cambio desencadenado

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS.

CIS recomienda que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 22. La eliminación de la conectividad libre a los servicios de la consola a distancia, como SSH, reduce la exposición al riesgo del servidor.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Corrección

Realice los pasos que se describen a continuación para cada grupo de seguridad asociado con una VPC.

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel izquierdo, elija Security groups (Grupos de seguridad).

  3. Seleccione un grupo de seguridad.

  4. En la parte inferior de la página, elija la pestaña Inbound Rules (Reglas de entrada).

  5. Seleccione Edit rules (Editar reglas).

  6. Identifique la regla que permite el acceso a través del puerto 22 y, a continuación, elija la X para eliminarla.

  7. Seleccione Save rules (Guardar reglas).

4.2 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 3389

Gravedad: Alta

Regla de AWS Config: restricted-common-ports

Type: Schedule Cambio desencadenado

El nombre del asociadoAWS Configla regla administrada de restricted-common-ports. Sin embargo, la regla que se crea utiliza el nombrerestricted-rdp.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS.

CIS recomienda que ningún grupo de seguridad permita el acceso de entrada ilimitado al puerto 3389. La eliminación de la conectividad libre a los servicios de la consola a distancia, como RDP, reduce la exposición al riesgo del servidor.

nota

Este control no se admite en las siguientes regiones.

  • África (Ciudad del Cabo)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

Corrección

Realice los pasos que se describen a continuación para cada grupo de seguridad asociado con una VPC.

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel izquierdo, elija Security groups (Grupos de seguridad).

  3. Seleccione un grupo de seguridad.

  4. En la parte inferior de la página, elija la pestaña Inbound Rules (Reglas de entrada).

  5. Seleccione Edit rules (Editar reglas).

  6. Identifique la regla que permite el acceso a través del puerto 3389 y, a continuación, elija la X para eliminarla.

  7. Seleccione Save rules (Guardar reglas).

4.3 Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico

Gravedad: Alta

Regla de AWS Config: vpc-default-security-group-closed

Type: Schedule Cambio desencadenado

Su VPC incluye un grupo de seguridad predeterminado cuya configuración inicial deniega todo el tráfico entrante y permite todo el tráfico saliente y todo el tráfico entre las instancias asignadas al grupo de seguridad. Si no especifica ningún grupo de seguridad al lanzar una instancia, la instancia se asigna automáticamente al grupo de seguridad predeterminado. Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS.

CIS recomienda que el grupo de seguridad predeterminado limite todo el tráfico.

Actualice el grupo de seguridad predeterminado para la VPC predeterminada en cada región para lograr la conformidad. Cualquier nueva VPC contiene automáticamente un grupo de seguridad predeterminado que necesita para solucionar problemas de conformidad con esta recomendación.

nota

Al implementar esta recomendación, puede usar el registro de flujo de VPC, habilitado para2.9 — Asegurar que el registro de flujo de VPC está habilitado en todas las VPC , para determinar el acceso al puerto con menos privilegios que los sistemas requieren para funcionar correctamente. El registro de flujo de VPC puede registrar todas las aceptaciones y rechazos de paquetes que se producen en los grupos de seguridad actuales.

Configurar todos los grupos de seguridad predeterminados de la VPC para que limiten todo el tráfico fomenta el desarrollo de grupos de seguridad con menos privilegios y la colocación atenta deAWSrecursos en grupos de seguridad. Esto, a su vez, reduce la exposición de esos recursos.

Corrección

Para actualizar el grupo de seguridad predeterminado para restringir todos los accesos

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. Vea los detalles de los grupos de seguridad predeterminados para ver los recursos que tienen asignados.

  3. Cree un conjunto de grupos de seguridad con privilegios mínimos para los recursos.

  4. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  5. En la consola de Amazon EC2, cambie el grupo de seguridad de los recursos que utilizan los grupos de seguridad predeterminados al grupo de seguridad con privilegios mínimos que ha creado.

  6. Para cada grupo de seguridad predeterminado, elija la pestaña Inbound (Entrada) y elimine todas las reglas de entrada.

  7. Para cada grupo de seguridad predeterminado, elija la pestaña Outbound (Salida) y elimine todas las reglas de salida.

Para obtener más información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.