AWS CloudTrail コントロール

CloudTrail これらのコントロールはリソースに関連しています。

これらのコントロールは、一部のユーザーには使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[CloudTrail.1] を有効にして、読み取り/書き込み管理イベントを含むマルチリージョントレイルを少なくとも 1 CloudTrail つ設定する必要があります。

関連要件:CIS AWS Foundations Benchmark v1.2.0/2.1、CIS AWS Foundations Benchmark v1.4.0/3.1、NIST.800-53.r5 AC-2 (4)、NIST.800-53.r5 AC-4 (26)、NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 AU-10、nist.800-53.r5 AU-12、nist.800-53.r5 -53.r5 AU-2、nist.800-53.r5 AU-3、nist.800-53.r5 AU-6 (3)、nist.800-53.r5 AU-6 (4)、nist.800-53.r5 AU-14 (1)、nist.800-53.r5 CA-7、nist.800-53.r5 SC-7 (9)、nist.800-53.r5 SI-3 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、nist.800-53.r5 SA-8 (22)

カテゴリ: 識別 > ログ記録

重要度: 高

リソースタイプ: AWS::::Account

AWS Config ルール: multi-region-cloudtrail-enabled

スケジュールタイプ: 定期的

パラメータ:

• readWriteType: ALL (カスタマイズ不可)

このコントロールは、 CloudTrail マルチリージョントレイルが少なくとも 1 つあることを確認します。また、ExcludeManagementEventSources パラメータは少なくとも 1 つの軌跡に対して空です。

AWS CloudTrail AWS アカウントの API 呼び出しを記録し、ログファイルを配信します。記録された情報には、以下の情報が含まれます。

• API 発信者の ID

• API コールの時刻

• API 発信者の送信元 IP アドレス

• パラメータのリクエスト

• によって返されるレスポンス要素 AWS のサービス

CloudTrail 、 AWS SDK、コマンドラインツールから行われた API 呼び出しを含む AWS Management Console、アカウントの API 呼び出しの履歴を提供します。 AWS 履歴には、 AWS のサービス などの上位レベルからの API 呼び出しも含まれます。 AWS CloudFormation

によって生成された AWS API 呼び出し履歴により、セキュリティ分析、リソース変更追跡、 CloudTrail コンプライアンス監査が可能になります。マルチリージョン追跡には、次の利点もあります。

• マルチリージョン追跡により、使用していないリージョンで発生する予期しないアクティビティを検出できます。

• マルチリージョン追跡では、グローバルサービスイベントのログ記録がデフォルトで追跡に対して確実に有効になっています。グローバルサービスイベントロギングは、 AWS グローバルサービスによって生成されたイベントを記録します。

• マルチリージョントレイルでは、すべての読み取りおよび書き込み操作の管理イベントによって、 CloudTrail 内のすべてのリソースに対する管理操作が確実に記録されます。 AWS アカウント

デフォルトでは、 CloudTrail AWS Management Console を使用して作成された証跡はマルチリージョントレイルです。

修正

でマルチリージョントレイルを新規作成するには CloudTrail、『ユーザーガイド』の「トレイルの作成」を参照してください。AWS CloudTrail 以下の値を使用します。

フィールド	値
追加設定、ログファイル検証	有効
ログイベント、管理イベント、API アクティビティを選択	[読み取り] と [書き込み] 除外にするチェックボックスはオフにしてください。

既存の追跡を更新するには、「AWS CloudTrail ユーザーガイド」の「証跡の更新」を参照してください。[管理イベント] の [API アクティビティ] で、[読み取り] と [書き込み] を選択します。

[CloudTrail.2] CloudTrail では保存時の暗号化を有効にする必要があります

関連要件:PCI DSS v3.2.1/3.4、CIS Foundations Benchmark v1.2.0/2.7、CIS AWS Foundations Benchmark v1.4.0/3.7、NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9 (1)、nist.800-53.r5 AWS CM-3 (6)、nist.800-53.r5 SC-13、NIST.800-53.r5 53.r5 SC-28、nist.800-53.r5 SC-28 (1)、nist.800-53.r5 SC-7 (10)、nist.800-53.r5 SI-7 (6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度: 中

リソースタイプ: AWS::CloudTrail::Trail

AWS Config ルール: cloud-trail-encryption-enabled

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail このコントロールは、がサーバー側の暗号化 (SSE) AWS KMS key 暗号化を使用するように構成されているかどうかを確認します。KmsKeyId が定義されていない場合、コントロールは失敗します。

CloudTrail 機密性の高いログファイルのセキュリティを強化するには、保存時にログファイルを暗号化するために (SSE-KMS) によるサーバー側の暗号化 AWS KMS keys (SSE-KMS) を使用する必要があります。 CloudTrail デフォルトでは、バケットに配信されるログファイルは、Amazon S3 CloudTrail が管理する暗号化キー (SSE-S3) による Amazon サーバー側の暗号化によって暗号化されることに注意してください。

修正

CloudTrail ログファイルの SSE-KMS 暗号化を有効にするには、ユーザーガイドの「KMS キーを使用するように証跡を更新する」を参照してください。AWS CloudTrail

[CloudTrail.3] を有効にする必要があります CloudTrail

関連する要件: PCI DSS v3.2.1/10.1、PCI DSS v3.2.1/10.2.1、PCI DSS v3.2.1/10.2.2、PCI DSS v3.2.1/10.2.3、PCI DSS v3.2.1/10.2.4、PCI DSS v3.2.1/10.2.5、PCI DSS v3.2.1/10.2.6、PCI DSS v3.2.1/10.2.7、PCI DSS v3.2.1/10.3.1、PCI DSS v3.2.1/10.3.2、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6

カテゴリ: 識別 > ログ記録

重要度: 高

リソースタイプ: AWS::::Account

AWS Config ルール: cloudtrail-enabled

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、 CloudTrail で有効になっているかどうかを確認します。 AWS アカウントアカウントに少なくとも 1 CloudTrail つの証跡がない場合、コントロールは失敗します。

ただし、一部の API AWS とイベントのログ記録が有効になっていないサービスもあります。 CloudTrail それ以外の監査証跡は実装し、「CloudTrail サポート対象サービスとインテグレーション」の各サービスのドキュメントを確認する必要があります。

修正

CloudTrail 使い始めたり記録を作成したりするには、『AWS CloudTrail ユーザーガイド』の「はじめに」 AWS CloudTrail チュートリアルを参照してください。

[CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

関連要件:PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/10.5.5、CIS Foundations Benchmark v1.2.0/2.2、CIS AWS Foundations Benchmark v1.4.0/3.2、NIST.800-53.r5 AU-9、NIST.800-53.r5 SI-4、 AWS nist.800-53.r5 SI-7 (1)、NIST.800-53.r5 SI-7 (3)、nist.800-53.r5 SI-7 (7)

カテゴリ: データ保護 > データの整合性

重要度: 低

リソースタイプ: AWS::CloudTrail::Trail

AWS Config ルール: cloud-trail-log-file-validation-enabled

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、 CloudTrailログファイルの整合性検証がトレイルで有効になっているかどうかをチェックします。

CloudTrail ログファイル検証では、Amazon S3 CloudTrail に書き込む各ログのハッシュを含むデジタル署名付きのダイジェストファイルが作成されます。これらのダイジェストファイルを使用して、ログファイルがログの配信後に変更されたか、削除されたか、または変更されなかったかを判断できます。 CloudTrail

Security Hub では、すべての追跡でファイルの検証を有効にすることを推奨します。ログファイル検証では、 CloudTrail ログの整合性をさらにチェックできます。

修正

CloudTrail ログファイルの検証を有効にするには、『AWS CloudTrail ユーザーガイド』の CloudTrail「ログファイルの整合性検証の有効化」を参照してください。

[CloudTrail.5] CloudTrail トレイルは Amazon ログと統合する必要があります CloudWatch

関連要件:PCI DSS v3.2.1/10.5.3、CIS Foundations Benchmark v1.2.0/2.4、CIS AWS Foundations Benchmark v1.4.0/3.4、NIST.800-53.r5 AC-2 (4)、 AWS NIST.800-53.r5 AC-4 (26)、nist.800-53.r5 AC-6 (9)、nist.800-53.r5 AU-10、NIST.NIST.800-53.r5 .800-53.r5 AU-12、nist.800-53.r5 AU-2、nist.800-53.r5 AU-3、nist.800-53.r5 AU-6 (1)、nist.800-53.r5 AU-6 (3)、nist.800-53.r5 AU-6 (4)、nist.800-53.r5 AU-6 (5)、nist.800-53.r5 AU-6 (5) AU-7 (1)、nist.800-53.r5 CA-7、nist.800-53.r5 SC-7 (9)、nist.800-53.r5 SI-20、nist.800-53.r5 SI-3 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-4 (20)5)、nist.800-53.r5 SI-7 (8)

カテゴリ: 識別 > ログ記録

重要度: 低

リソースタイプ: AWS::CloudTrail::Trail

AWS Config ルール: cloud-trail-cloud-watch-logs-enabled

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、 CloudTrail トレイルがログにログを送信するように設定されているかどうかを確認します。 CloudWatch 追跡の CloudWatchLogsLogGroupArn プロパティが空の場合、コントロールは失敗します。

CloudTrail 特定のアカウントで行われた AWS API 呼び出しを記録します。記録された情報には、以下が含まれます。

• API 発信者のアイデンティティ

• API コールの時刻

• API 発信者の送信元 IP アドレス

• リクエストパラメータ

• によって返されるレスポンス要素 AWS のサービス

CloudTrail Amazon S3 を使用してログファイルの保存と配信を行います。指定した S3 CloudTrail バケットにログをキャプチャして長期分析することができます。リアルタイム分析を実行するには、ログを Logs CloudTrail に送信するように設定できます。 CloudWatch

アカウントのすべてのリージョンで有効になっているトレイルでは、 CloudTrail CloudWatch それらすべてのリージョンのログファイルをログロググループに送信します。

Security Hub では、 CloudTrail CloudWatch ログにログを送信することをお勧めします。この推奨事項は、アカウントアクティビティが確実にキャプチャおよびモニタリングされ、適切なアラームが出されることを確認する目的であることにご注意ください CloudWatch ログを使用してこの設定を行うことができます AWS のサービス。この推奨事項は、別のソリューションの使用を除外するものではありません。

CloudTrail CloudWatch ログをログに送信すると、ユーザー、API、リソース、IP アドレスに基づいて、リアルタイムおよび過去のアクティビティを簡単に記録できます。この方法を使用して、異常または機密性の高いアカウントアクティビティに対してアラームと通知を確立できます。

修正

CloudTrail CloudWatch ログと統合するには、AWS CloudTrail ユーザーガイドの「 CloudWatch ログへのイベントの送信」を参照してください。

[CloudTrail.6] CloudTrail ログの保存に使用する S3 バケットがパブリックにアクセスできないようにする

関連要件:CIS ファンデーションベンチマーク v1.2.0/2.3、CIS AWS ファンデーションベンチマーク v1.4.0/3.3 AWS

カテゴリ: 識別 > ログ記録

重要度: 非常事態

リソースタイプ: AWS::CloudTrail::Trail

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的および変更がトリガーされた場合

パラメータ: なし

CloudTrail アカウントで行われたすべての API 呼び出しの記録を記録します。これらのログファイルは S3 バケットに保存されます。CIS では、ログへのパブリックアクセスを防ぐために、 CloudTrail ログを記録する S3 バケットに S3 バケットポリシーまたはアクセスコントロールリスト (ACL) を適用することを推奨しています。 CloudTrail CloudTrail ログコンテンツへのパブリックアクセスを許可すると、攻撃者は影響を受けるアカウントの使用または設定における弱点を特定しやすくなる可能性があります。

このチェックを実行するには、Security Hub はまずカスタムロジックを使用して、 CloudTrail ログが保存されている S3 バケットを探します。次に、 AWS Config マネージドルールを使用して、バケットがパブリックにアクセス可能であることを確認します。

ログを単一の集中管理 S3 バケットに集約する場合、Security Hub は、集中管理された S3 バケットがあるアカウントとリージョンに対してのみチェックを実行します。他のアカウントとリージョンでは、コントロールステータスは [No data] (データなし) となります。

バケットがパブリックアクセス可能な場合、チェックにより結果 (失敗) が生成されます。

修正

CloudTrail S3 バケットへのパブリックアクセスをブロックするには、Amazon Simple Storage Service ユーザーガイドの 「S3 バケットのパブリックアクセスブロック設定の設定」を参照してください。4 つの Amazon S3 パブリックアクセスブロック設定をすべて選択します。

[CloudTrail.7] S3 バケットで S3 バケットアクセスロギングが有効になっていることを確認します。 CloudTrail

関連要件:CIS ファンデーションベンチマーク v1.2.0/2.6、CIS AWS ファンデーションベンチマーク v1.4.0/3.6 AWS

カテゴリ: 識別 > ログ記録

重要度: 低

リソースタイプ: AWS::CloudTrail::Trail

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

S3 バケットアクセスログ記録により、S3 バケットに対して行われたリクエストごとのアクセスレコードを含むログが生成されます。アクセスログレコードには、リクエストのタイプ、リクエストに指定されたリソース、リクエストが処理された日時など、リクエストの詳細が記録されます。

CIS では CloudTrail S3 バケットのバケットアクセスロギングを有効にすることを推奨しています。

ターゲット S3 バケットで S3 バケットのログ記録を有効にすることで、ターゲットバケット内のオブジェクトに影響を与える可能性のあるすべてのイベントをキャプチャできます。ログを別のバケットに配置するように設定すると、ログ情報にアクセスできるようになり、セキュリティおよびインシデント対応のワークフローで役立ちます。

このチェックを実行するには、Security Hub CloudTrail は最初にカスタムロジックを使用してログが保存されているバケットを探し、 AWS Config 次にマネージドルールを使用してロギングが有効になっているかどうかを確認します。

複数のログファイルを 1 つの送信先の Amazon S3 CloudTrail AWS アカウント バケットに配信する場合、Security Hub は、そのコントロールがあるリージョンの宛先バケットに対してのみこのコントロールを評価します。これにより、結果が効率化されます。ただし、 CloudTrail 送信先バケットにログを配信するすべてのアカウントで有効にする必要があります。宛先バケットを保持しているアカウントを除くすべてのアカウントの制御ステータスは「データなし」です。

バケットがパブリックアクセス可能な場合、チェックにより結果 (失敗) が生成されます。

修正

CloudTrail S3 バケットのサーバーアクセスロギングを有効にするには、Amazon Simple Storage Service ユーザーガイドの「Amazon S3 サーバーアクセスロギングの有効化」を参照してください。