Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour CloudTrail
Ces contrôles du Security Hub évaluent le AWS CloudTrail service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture
Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), (9), NIST.800-53.r5 AC-6 (22) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8
Catégorie : Identifier - Journalisation
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : multi-region-cloudtrail-enabled
Type de calendrier : Périodique
Paramètres :
-
readWriteType:ALL(non personnalisable)includeManagementEvents:true(non personnalisable)
Ce contrôle vérifie s'il existe au moins un journal multirégional qui capture AWS CloudTrail les événements de gestion de lecture et d'écriture. Le contrôle échoue s'il CloudTrail est désactivé ou s'il n'existe pas au moins une CloudTrail trace qui capture les événements de gestion de lecture et d'écriture.
AWS CloudTrail enregistre les AWS API appels relatifs à votre compte et vous envoie des fichiers journaux. Les informations enregistrées incluent les informations suivantes :
-
Identité de l'APIappelant
-
Heure de l'APIappel
-
Adresse IP source de l'APIappelant
-
Paramètres de demande
-
Éléments de réponse renvoyés par Service AWS
CloudTrail fournit un historique des AWS API appels relatifs à un compte, y compris API les appels passés à partir AWS Management Console des AWS SDKs outils de ligne de commande. L'historique inclut également les API appels provenant de niveaux supérieurs Services AWS tels que. AWS CloudFormation
L'historique des AWS API appels produit par CloudTrail permet l'analyse de la sécurité, le suivi des modifications des ressources et l'audit de conformité. Les journaux de suivi multi-régions offrent également les avantages suivants.
-
Un journal de suivi multi-régions permet de détecter les activités inattendues qui se produisent dans des régions par ailleurs inutilisées
-
Un journal de suivi multi-régions garantit que la journalisation mondiale des services est activée par défaut pour un journal de suivi. L'enregistrement des événements de service mondiaux enregistre les événements générés par les services AWS mondiaux.
-
Pour un parcours multirégional, les événements de gestion pour toutes les opérations de lecture et d'écriture garantissent que les opérations de gestion des CloudTrail enregistrements sur toutes les ressources d'un Compte AWS.
Par défaut, les CloudTrail sentiers créés à l'aide du AWS Management Console sont des sentiers multirégionaux.
Correction
Pour créer un nouveau parcours multirégional dans CloudTrail, voir Création d'un parcours dans le guide de l'AWS CloudTrail utilisateur. Utilisez les valeurs suivantes :
| Champ | Valeur |
|---|---|
|
Paramètres supplémentaires, validation du fichier journal |
Activées |
|
Choisissez les événements du journal, les événements de gestion, API l'activité |
Lisez et écrivez. Désactivez les cases à cocher pour les exclusions. |
Pour mettre à jour un parcours existant, voir Mettre à jour un parcours dans le Guide de AWS CloudTrail l'utilisateur. Dans Événements de gestion, pour APIl'activité, choisissez Lire et écrire.
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
Exigences associées : PCI DSS v3.2.1/3.4, CIS AWS Foundations Benchmark v1.2.0/2.7, Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, CIS AWS (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), (10), .800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::CloudTrail::Trail
Règle AWS Config : cloud-trail-encryption-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie s'il CloudTrail est configuré pour utiliser le chiffrement côté serveur (SSE). AWS KMS key Le contrôle échoue si le KmsKeyId n'est pas défini.
Pour renforcer la sécurité de vos fichiers CloudTrail journaux sensibles, vous devez utiliser le chiffrement côté serveur avec AWS KMS keys (SSE-KMS) pour vos fichiers CloudTrail journaux pour le chiffrement au repos. Notez que par défaut, les fichiers journaux envoyés par CloudTrail vos buckets sont chiffrés par chiffrement côté serveur Amazon avec des clés de chiffrement gérées par Amazon S3 (-S3). SSE
Correction
Pour activer SSE KMS le chiffrement des fichiers CloudTrail journaux, voir Mettre à jour un historique pour utiliser une KMS clé dans le Guide de AWS CloudTrail l'utilisateur.
[CloudTrail.3] Au moins une CloudTrail piste doit être activée
Exigences connexes : PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, v3.2.1/10.2.2, v3.2.1/10.2.3, v3.2.1/10.2.4, v3.2.1/10.2.5, v3.2.1/10.2.6, PCI DSS v3.2.1/10.2.7, v3.2.1/10.3.1, v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.5 PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv3.2.1/10.3.6
Catégorie : Identifier - Journalisation
Gravité : Élevée
Type de ressource : AWS::::Account
Règle AWS Config : cloudtrail-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un AWS CloudTrail parcours est activé dans votre Compte AWS. Le contrôle échoue si aucun suivi n'est activé sur votre compte. CloudTrail
Cependant, certains AWS services ne permettent pas de consigner tous APIs les événements. Vous devez mettre en œuvre toute piste d'audit supplémentaire autre que CloudTrail et consulter la documentation de chaque service dans la section Services et intégrations CloudTrail pris en charge.
Correction
Pour commencer CloudTrail et créer un parcours, consultez le AWS CloudTrail didacticiel de prise en main du guide de l'AWS CloudTrail utilisateur.
[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
Exigences associées : PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, CIS AWS Foundations Benchmark v1.2.0/2.2, Foundations Benchmark v1.4.0/3.2, Foundations Benchmark v3.0.0/3.2, .800-53.r5 AU-9, CIS AWS .800-53.r5 SI-4, .800-53.r5 SI-7 (1), CIS AWS .800-53.r5 SI-7 (3), NIST .800-53.r5 SI-7 (7) NIST NIST NIST NIST
Catégorie : Protection des données > Intégrité des données
Gravité : Faible
Type de ressource : AWS::CloudTrail::Trail
Règle AWS Config : cloud-trail-log-file-validation-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la validation de l'intégrité du fichier journal est activée sur un CloudTrail journal.
CloudTrail la validation du fichier journal crée un fichier condensé signé numériquement qui contient le hachage de chaque journal CloudTrail écrit sur Amazon S3. Vous pouvez utiliser ces fichiers de synthèse pour déterminer si un fichier journal a été modifié, supprimé ou inchangé après la CloudTrail livraison du journal.
Security Hub vous recommande d'activer la validation des fichiers sur toutes les pistes. La validation des fichiers journaux fournit des contrôles d'intégrité supplémentaires des CloudTrail journaux.
Correction
Pour activer la validation du fichier CloudTrail journal, voir Activation de la validation de l'intégrité du fichier journal CloudTrail dans le guide de AWS CloudTrail l'utilisateur.
[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
Exigences associées : PCI DSS v3.2.1/10.5.3, CIS AWS Foundations Benchmark v1.2.0/2.4, Foundations Benchmark v1.4.0/3.4, CIS AWS NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIST.800-53.r5 AC-4 NIST .800-53.r5 SI-20, .800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, .800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), .800-53.r5 SI-4 (5), NIST .800-53.r5 SI-7 (8) NIST NIST NIST
Catégorie : Identifier - Journalisation
Gravité : Faible
Type de ressource : AWS::CloudTrail::Trail
Règle AWS Config : cloud-trail-cloud-watch-logs-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les CloudTrail sentiers sont configurés pour envoyer des CloudWatch journaux à Logs. Le contrôle échoue si la CloudWatchLogsLogGroupArn propriété de la piste est vide.
CloudTrail enregistre AWS API les appels effectués sur un compte donné. Les informations enregistrées incluent les éléments suivants :
-
L'identité de l'APIappelant
-
L'heure de l'APIappel
-
Adresse IP source de l'APIappelant
-
Les paramètres de la demande
-
Les éléments de réponse renvoyés par Service AWS
CloudTrail utilise Amazon S3 pour le stockage et la livraison des fichiers journaux. Vous pouvez capturer CloudTrail des journaux dans un compartiment S3 spécifique pour une analyse à long terme. Pour effectuer une analyse en temps réel, vous pouvez configurer CloudTrail l'envoi des CloudWatch journaux vers Logs.
Pour un suivi activé dans toutes les régions d'un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de CloudWatch journaux de journaux.
Security Hub vous recommande d'envoyer CloudTrail des journaux à CloudWatch Logs. Notez que cette recommandation vise à garantir que l'activité du compte est capturée, surveillée et déclenchée de manière appropriée. Vous pouvez utiliser CloudWatch Logs pour configurer cela avec votre Services AWS. Cette recommandation n'exclut pas l'utilisation d'une autre solution.
L'envoi de CloudTrail CloudWatch journaux à Logs facilite l'enregistrement en temps réel et historique des activités en fonction de l'utilisateurAPI, de la ressource et de l'adresse IP. Vous pouvez utiliser cette approche pour établir des alarmes et des notifications en cas d'activité anormale ou sensible du compte.
Correction
Pour intégrer CloudTrail les CloudWatch journaux, consultez la section Envoyer des événements aux CloudWatch journaux dans le guide de AWS CloudTrail l'utilisateur.
[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public
Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3
Catégorie : Identifier - Journalisation
Gravité : Critique
Type de ressource : AWS::S3::Bucket
AWS Config règle : Aucune (règle Security Hub personnalisée)
Type de calendrier : périodique et déclenché par des modifications
Paramètres : Aucun
CloudTrail enregistre tous les API appels effectués sur votre compte. Ces fichiers journaux sont stockés dans un compartiment S3. CISrecommande que la politique de compartiment S3, ou liste de contrôle d'accès (ACL), soit appliquée au compartiment S3 qui CloudTrail enregistre afin d'empêcher l'accès public aux CloudTrail journaux. Autoriser l'accès public au contenu des CloudTrail journaux peut aider un adversaire à identifier les faiblesses liées à l'utilisation ou à la configuration du compte concerné.
Pour exécuter cette vérification, Security Hub utilise d'abord une logique personnalisée pour rechercher le compartiment S3 dans lequel vos CloudTrail journaux sont stockés. Il utilise ensuite les règles AWS Config gérées pour vérifier que le bucket est accessible au public.
Si vous regroupez vos journaux dans un seul compartiment S3 centralisé, Security Hub effectue la vérification uniquement par rapport au compte et à la région où se trouve le compartiment S3 centralisé. Pour les autres comptes et régions, le statut du contrôle est Aucune donnée.
Si le compartiment est accessible au public, la vérification génère un échec de recherche.
Correction
Pour bloquer l'accès public à votre compartiment CloudTrail S3, consultez la section Configuration des paramètres de blocage de l'accès public pour vos compartiments S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service. Sélectionnez les quatre paramètres d'accès public par bloc d'Amazon S3.
[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3
Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.6, Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4 CIS AWS
Catégorie : Identifier - Journalisation
Gravité : Faible
Type de ressource : AWS::S3::Bucket
AWS Config règle : Aucune (règle Security Hub personnalisée)
Type de calendrier : Périodique
Paramètres : Aucun
La journalisation des accès au compartiment S3 génère un journal qui contient les enregistrements d'accès pour chaque demande envoyée à votre compartiment S3. Un enregistrement du journal d'accès contient des détails sur la demande, tels que le type de demande, les ressources spécifiées dans la demande utilisée, ainsi que l'heure et la date du traitement de la demande.
CISrecommande d'activer la journalisation de l'accès au compartiment sur le compartiment CloudTrail S3.
En activant la journalisation des accès aux compartiments S3 cibles, vous pouvez capturer tous les événements susceptibles d'affecter les objets dans un compartiment cible. Si les journaux sont configurés pour être placés dans un compartiment distinct, il est possible d'accéder aux informations qu'ils contiennent, qui peuvent s'avérer utiles dans les flux de travail de sécurité et de réponse aux incidents.
Pour exécuter cette vérification, Security Hub utilise d'abord une logique personnalisée pour rechercher le compartiment dans lequel vos CloudTrail journaux sont stockés, puis utilise la règle AWS Config gérée pour vérifier si la journalisation est activée.
S'il CloudTrail fournit des fichiers journaux provenant de plusieurs compartiments Comptes AWS vers un seul compartiment Amazon S3 de destination, Security Hub évalue ce contrôle uniquement par rapport au compartiment de destination de la région où il se trouve. Cela rationalise vos résultats. Cependant, vous devez l'activer CloudTrail dans tous les comptes qui fournissent des journaux au compartiment de destination. Pour tous les comptes, à l'exception de celui qui contient le compartiment de destination, le statut de contrôle est Aucune donnée.
Si le compartiment est accessible au public, la vérification génère un échec de recherche.
Correction
Pour activer la journalisation de l'accès au serveur pour votre compartiment CloudTrail S3, consultez la section Activation de la journalisation de l'accès au serveur Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.
[CloudTrail.9] les CloudTrail sentiers doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::CloudTrail::Trail
AWS Config règle : tagged-cloudtrail-trail (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS CloudTrail parcours possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le parcours ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le parcours n'est marqué par aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un CloudTrail parcours, reportez-vous AddTagsà la section AWS CloudTrail APIRéférence.
