Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS CloudTrail controlli
Questi controlli sono correlati alle CloudTrail risorse.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura
Requisiti correlati: benchmark CIS AWS Foundations v1.2.0/2.1, benchmark CIS Foundations v1.4.0/3.1, benchmark CIS AWS Foundations v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 3.r5 AU-12, NIT.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 AU-14 (1), NIT.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.r5 SI-3 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), NIST.800-53.r5 SA-8 (22) AWS
Categoria: Identificazione > Registrazione
Gravità: alta
Tipo di risorsa: AWS::::Account
Regola AWS Config : multi-region-cloudtrail-enabled
Tipo di pianificazione: periodica
Parametri:
-
readWriteType:ALL(non personalizzabile)includeManagementEvents:true(non personalizzabile)
Questo controllo verifica se esiste almeno un AWS CloudTrail percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. Il controllo fallisce se CloudTrail è disabilitato o se non esiste almeno una CloudTrail traccia che acquisisca gli eventi di gestione di lettura e scrittura.
AWS CloudTrail registra le chiamate AWS API per il tuo account e ti invia i file di registro. Le informazioni registrate includono le seguenti informazioni:
-
Identità del chiamante API
-
Ora della chiamata API
-
Indirizzo IP di origine del chiamante API
-
Parametri della richiesta
-
Elementi di risposta restituiti da Servizio AWS
CloudTrail fornisce una cronologia delle chiamate AWS API per un account, incluse le chiamate API effettuate dagli AWS Management Console strumenti a riga di comando AWS SDK. La cronologia include anche le chiamate API di livello superiore Servizi AWS come. AWS CloudFormation
La cronologia delle chiamate AWS API prodotta da CloudTrail consente l'analisi della sicurezza, il monitoraggio delle modifiche alle risorse e il controllo della conformità. I trail basati su più regioni offrono anche i seguenti vantaggi.
-
Un trail basato su più regioni aiuta a rilevare le attività impreviste che si verificano in regioni altrimenti inutilizzate.
-
Un trail basato su più regioni garantisce che la registrazione dei servizi globali sia abilitata per un trail per impostazione predefinita. La registrazione degli eventi di servizio globale registra gli eventi generati dai servizi AWS globali.
-
Per un percorso multiregionale, gli eventi di gestione per tutte le operazioni di lettura e scrittura assicurano che le operazioni di gestione dei CloudTrail record su tutte le risorse in un unico file. Account AWS
Per impostazione predefinita, i CloudTrail percorsi creati utilizzando i percorsi AWS Management Console sono multiregionali.
Correzione
Per creare un nuovo percorso multiregionale in CloudTrail, vedi Creazione di un percorso nella Guida per l'AWS CloudTrail utente. Utilizzare i seguenti valori:
| Campo | Valore |
|---|---|
|
Impostazioni aggiuntive, Convalida del file di registro |
Abilitato |
|
Scegli gli eventi di registro, gli eventi di gestione, l'attività delle API |
Leggi e scrivi. Deseleziona le caselle di controllo per le esclusioni. |
Per aggiornare un percorso esistente, vedi Aggiornamento di un percorso nella Guida per l'AWS CloudTrail utente. In Management events, per l'attività dell'API, scegli Leggi e scrivi.
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
Requisiti correlati: PCI DSS versione 3.2.1/3.4, benchmark CIS Foundations versione 1.2.0/2.7, benchmark CIS AWS Foundations versione 1.4.0/3.7, benchmark CIS AWS Foundations versione 3.0.0/3.5, NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 AWS CM-3 (6), NIST.800-53.r5 SC-13, NIS.800-53.r5 SC-28, NIT.800-53.r5 SC-28 (1), NIT.800-53.r5 SC-7 (10), NIT.800-53.r5 SI-7 (6)
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::CloudTrail::Trail
Regola AWS Config : cloud-trail-encryption-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se CloudTrail è configurato per utilizzare la crittografia lato server (SSE). AWS KMS key Il controllo fallisce se non KmsKeyId è definito.
Per un ulteriore livello di sicurezza per i file di CloudTrail registro sensibili, è consigliabile utilizzare la crittografia lato server con AWS KMS keys (SSE-KMS) per i file di CloudTrail registro per la crittografia a riposo. Tieni presente che, per impostazione predefinita, i file di log forniti dai CloudTrail tuoi bucket sono crittografati mediante crittografia lato server di Amazon con chiavi di crittografia gestite da Amazon S3 (SSE-S3).
Correzione
Per abilitare la crittografia SSE-KMS per i file di CloudTrail registro, consulta Aggiornare un percorso per utilizzare una chiave KMS nella Guida per l'utente.AWS CloudTrail
[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail
Requisiti correlati: PCI DSS versione 3.2.1/10.1, PCI DSS versione 3.2.1/10.2.1, PCI DSS versione 3.2.1/10.2.2, PCI DSS versione 3.2.1/10.2.3, PCI DSS versione 3.2.1/10.2.4, PCI DSS versione 3.2.1/10.2.5, PCI DSS versione 3.2.1/10.2.6, PCI DSS versione 3.2.1/10.2.7, PCI DSS versione 3.2.1/10.2.7, PCI DSS versione 3.2.1/10.2.7 versione 3.2.1/10.3.1, PCI DSS versione 3.2.1/10.3.2, PCI DSS versione 3.2.1/10.3.3, PCI DSS versione 3.2.1/10.3.4, PCI DSS versione 3.2.1/10.3.5, PCI DSS versione 3.2.1/10.3.6
Categoria: Identificazione > Registrazione
Gravità: alta
Tipo di risorsa: AWS::::Account
Regola AWS Config : cloudtrail-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un AWS CloudTrail percorso è abilitato nel tuo Account AWS. Il controllo fallisce se il tuo account non ha almeno un CloudTrail trail abilitato.
Tuttavia, alcuni AWS servizi non consentono la registrazione di tutte le API e gli eventi. È necessario implementare eventuali percorsi di controllo aggiuntivi diversi da quelli indicati nella sezione Servizi CloudTrail e integrazioni CloudTrail supportati e consultare la documentazione relativa a ciascun servizio.
Correzione
Per iniziare CloudTrail e creare un percorso, consulta il AWS CloudTrail tutorial Guida introduttiva nella Guida per l'AWS CloudTrail utente.
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
Requisiti correlati: PCI DSS versione 3.2.1/10.5.2, PCI DSS versione 3.2.1/10.5.5, benchmark CIS Foundations versione 1.2.0/2.2, benchmark CIS Foundations v1.4.0/3.2, benchmark CIS AWS Foundations v3.0.0/3.2, NIST.800-53.r5 AU-9, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-7 (1), NIT AWS 800-53.r5 SI-7 (3), NIT 800-53.r5 SI-7 (7) AWS
Categoria: Protezione dei dati > Integrità dei dati
Gravità: bassa
Tipo di risorsa: AWS::CloudTrail::Trail
Regola AWS Config : cloud-trail-log-file-validation-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la convalida dell'integrità dei file di registro è abilitata su una CloudTrail traccia.
CloudTrail la convalida dei file di registro crea un file digest con firma digitale che contiene un hash di ogni log che scrive CloudTrail su Amazon S3. Puoi utilizzare questi file digest per determinare se un file di registro è stato modificato, eliminato o è rimasto invariato dopo la consegna del log. CloudTrail
Security Hub consiglia di abilitare la convalida dei file su tutti i percorsi. La convalida dei file di registro fornisce ulteriori controlli di integrità dei CloudTrail registri.
Correzione
Per abilitare la convalida dei file di CloudTrail registro, vedere Attivazione della convalida dell'integrità dei file di registro CloudTrail nella Guida per l'utente.AWS CloudTrail
[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch
Requisiti correlati: PCI DSS versione 3.2.1/10.5.3, benchmark CIS Foundations versione 1.2.0/2.4, benchmark CIS AWS Foundations versione 1.4.0/3.4, NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 -53R5 AU-12, NIT.800-53.R5 AU-2, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (1), NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 AU-6 (5), NIST.800-53.R5 AU-7 (1), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-20, NIST.800-53.R5 SI-3 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-4 ( AWS 5), NIST.800-53R5 SI-7 (8)
Categoria: Identificazione > Registrazione
Gravità: bassa
Tipo di risorsa: AWS::CloudTrail::Trail
Regola AWS Config : cloud-trail-cloud-watch-logs-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se i CloudTrail trail sono configurati per inviare log a CloudWatch Logs. Il controllo fallisce se la CloudWatchLogsLogGroupArn proprietà del percorso è vuota.
CloudTrail registra le chiamate AWS API effettuate in un determinato account. Le informazioni registrate includono quanto segue:
-
L'identità del chiamante dell'API
-
L'ora della chiamata API
-
L'indirizzo IP di origine del chiamante API
-
I parametri della richiesta
-
Gli elementi di risposta restituiti da Servizio AWS
CloudTrail utilizza Amazon S3 per l'archiviazione e la distribuzione dei file di registro. Puoi acquisire CloudTrail i log in un bucket S3 specificato per analisi a lungo termine. Per eseguire analisi in tempo reale, puoi configurare l'invio dei log CloudTrail a Logs. CloudWatch
Per un percorso abilitato in tutte le regioni di un account, CloudTrail invia i file di registro da tutte le regioni a un gruppo di log dei CloudWatch registri.
Security Hub consiglia di inviare i log a CloudTrail CloudWatch Logs. Tieni presente che questa raccomandazione ha lo scopo di garantire che l'attività dell'account venga rilevata, monitorata e attivata in modo appropriato. Puoi usare CloudWatch Logs per configurarlo con il tuo. Servizi AWS Questa raccomandazione non preclude l'uso di una soluzione diversa.
L'invio di CloudTrail log a CloudWatch Logs facilita la registrazione storica e in tempo reale delle attività in base a utente, API, risorsa e indirizzo IP. È possibile utilizzare questo approccio per stabilire allarmi e notifiche per attività anomale o riservate dell'account.
Correzione
Per l'integrazione CloudTrail con CloudWatch i registri, consulta Invio di eventi ai CloudWatch registri nella Guida per l'utente.AWS CloudTrail
[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail
Requisiti correlati: CIS Foundations Benchmark v1.2.0/2.3, CIS AWS Foundations Benchmark v1.4.0/3.3 AWS
Categoria: Identificazione > Registrazione
Severità: critica
Tipo di risorsa: AWS::S3::Bucket
AWS Config regola: Nessuna (regola personalizzata del Security Hub)
Tipo di pianificazione: periodica e con attivazione di modifiche
Parametri: nessuno
CloudTrail registra un record di ogni chiamata API effettuata nel tuo account. Questi file di log sono archiviati in un bucket S3. Il CIS consiglia di applicare la policy del bucket S3, o lista di controllo degli accessi (ACL), al bucket S3 che CloudTrail registra per impedire l'accesso pubblico ai log. CloudTrail Consentire l'accesso pubblico ai contenuti dei CloudTrail log potrebbe aiutare un avversario a identificare i punti deboli nell'uso o nella configurazione dell'account interessato.
Per eseguire questo controllo, Security Hub utilizza innanzitutto una logica personalizzata per cercare il bucket S3 in cui sono CloudTrail archiviati i log. Utilizza quindi le regole AWS Config gestite per verificare che il bucket sia accessibile pubblicamente.
Se aggregate i log in un unico bucket S3 centralizzato, Security Hub esegue il controllo solo rispetto all'account e alla regione in cui si trova il bucket S3 centralizzato. Per altri account e regioni, lo stato del controllo è Nessun dato.
Se il bucket è accessibile pubblicamente, il controllo genera un risultato non riuscito.
Correzione
Per bloccare l'accesso pubblico al tuo bucket CloudTrail S3, consulta Configurazione delle impostazioni di blocco dell'accesso pubblico per i tuoi bucket S3 nella Guida per l'utente di Amazon Simple Storage Service. Seleziona tutte e quattro le impostazioni di accesso pubblico a blocchi di Amazon S3.
[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail
Requisiti correlati: CIS Foundations Benchmark v1.2.0/2.6, CIS AWS Foundations Benchmark v1.4.0/3.6, CIS Foundations Benchmark v3.0.0/3.4 AWS AWS
Categoria: Identificazione > Registrazione
Gravità: bassa
Tipo di risorsa: AWS::S3::Bucket
AWS Config regola: Nessuna (regola personalizzata del Security Hub)
Tipo di pianificazione: periodica
Parametri: nessuno
La registrazione degli accessi al bucket S3 genera un registro che contiene i record di accesso per ogni richiesta effettuata al bucket S3. Un record dei log di accesso contiene dettagli sulla richiesta, ad esempio il tipo di richiesta, le risorse specificate nella richiesta e l'ora e la data di elaborazione della richiesta.
Il CIS consiglia di abilitare la registrazione degli accessi ai bucket sul bucket S3. CloudTrail
L'abilitazione della registrazione di bucket S3 su bucket S3 di destinazione consente di acquisire tutti gli eventi che potrebbero influenzare gli oggetti in un bucket di destinazione. La configurazione dei log da inserire in un bucket separato consente l'accesso alle informazioni di log, che possono essere utili nei flussi di lavoro di risposta a sicurezza ed errori.
Per eseguire questo controllo, Security Hub utilizza innanzitutto una logica personalizzata per cercare il bucket in cui sono archiviati CloudTrail i log e quindi utilizza la regola AWS Config gestita per verificare se la registrazione è abilitata.
Se CloudTrail invia file di log da più bucket Amazon S3 di destinazione Account AWS in un unico bucket Amazon S3, Security Hub valuta questo controllo solo rispetto al bucket di destinazione nella regione in cui si trova. Questo semplifica le tue scoperte. Tuttavia, dovresti attivare CloudTrail tutti gli account che inviano i log al bucket di destinazione. Per tutti gli account tranne quello che contiene il bucket di destinazione, lo stato del controllo è Nessun dato.
Se il bucket è accessibile pubblicamente, il controllo genera un risultato non riuscito.
Correzione
Per abilitare la registrazione dell'accesso al server per il tuo bucket CloudTrail S3, consulta Enabling Amazon S3 server access logging nella Amazon Simple Storage Service User Guide.
[CloudTrail.9] i percorsi devono essere etichettati CloudTrail
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::CloudTrail::Trail
AWS Config regola: tagged-cloudtrail-trail (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Type | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS |
No default value
|
Questo controllo verifica se un AWS CloudTrail percorso contiene tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il percorso non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il percorso non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un CloudTrail percorso, consulta l'AWS CloudTrail API AddTagsReference.
