の Security Hub コントロール CloudTrail - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール CloudTrail

これらの Security Hub コントロールは、 AWS CloudTrail サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔CloudTrail.1] 読み取りおよび書き込み管理イベントを含む少なくとも 1 つのマルチリージョン証跡を有効にして設定 CloudTrail する必要があります

関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.1、 CIS AWS Foundations Benchmark v1.4.0/3.1、 CIS AWS Foundations Benchmark v3.0.0/3.1、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9)、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8(22)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::::Account

AWS Config ルール : multi-region-cloudtrail-enabled

スケジュールタイプ : 定期的

パラメータ:

  • readWriteType: ALL (カスタマイズ不可)

    includeManagementEvents: true (カスタマイズ不可)

このコントロールは、読み取りおよび書き込み管理イベントをキャプチャするマルチリージョン AWS CloudTrail 証跡が少なくとも 1 つあるかどうかをチェックします。が無効になっているか、読み取りおよび書き込み管理イベントをキャプチャする CloudTrail 証跡が少なくとも 1 つない場合、コントロール CloudTrail は失敗します。

AWS CloudTrail は アカウントの呼び出しを記録 AWS APIし、ログファイルを配信します。記録された情報には、次の情報が含まれます。

  • API 発信者の ID

  • API 通話時間

  • API 発信者の送信元 IP アドレス

  • リクエストパラメータ

  • によって返されるレスポンス要素 AWS サービス

CloudTrail は、、、コマンドラインツールからの呼び出しなど AWS Management Console AWS SDKs、 アカウントのAPI呼び出しの AWS API履歴を提供します。履歴には、 AWS サービス などの上位レベルのAPI呼び出しも含まれます AWS CloudFormation。

によって生成された AWS API通話履歴 CloudTrail により、セキュリティ分析、リソース変更の追跡、コンプライアンス監査が可能になります。マルチリージョン追跡には、次の利点もあります。

  • マルチリージョン追跡により、使用していないリージョンで発生する予期しないアクティビティを検出できます。

  • マルチリージョン追跡では、グローバルサービスイベントのログ記録がデフォルトで追跡に対して確実に有効になっています。グローバルサービスイベントのログ記録は、 AWS グローバルサービスによって生成されたイベントを記録します。

  • マルチリージョンの証跡の場合、すべての読み取りおよび書き込みオペレーションの管理イベントにより、 は 内のすべてのリソースの管理オペレーション CloudTrail を記録します AWS アカウント。

デフォルトでは、 を使用して作成された CloudTrail 証跡はマルチリージョンの証跡 AWS Management Console です。

修正

で新しいマルチリージョン証跡を作成するには CloudTrail、「 ユーザーガイド」の「証跡の作成AWS CloudTrail 」を参照してください。以下の値を使用します。

フィールド

追加設定、ログファイル検証

有効

ログイベント、管理イベント、APIアクティビティを選択する

[読み取り] と [書き込み] 除外にするチェックボックスはオフにしてください。

既存の追跡を更新するには、「AWS CloudTrail ユーザーガイド」の「証跡の更新」を参照してください。管理イベント で、APIアクティビティ で、読み取り書き込み を選択します。

〔CloudTrail.2]保管時の暗号化を有効にする CloudTrail 必要があります

関連する要件: PCI DSS v3.2.1/3.4、 CIS AWS Foundations Benchmark v1.2.0/2.7、 CIS AWS Foundations Benchmark v1.4.0/3.7、 CIS AWS Foundations Benchmark v3.0.0/3.5、 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール : cloud-trail-encryption-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロール CloudTrail は、サーバー側の暗号化 (SSE) AWS KMS key 暗号化を使用するように が設定されているかどうかをチェックします。KmsKeyId が定義されていない場合、コントロールは失敗します。

機密性の高い CloudTrail ログファイルのセキュリティを強化するには、保管時の暗号化のためにログファイルに AWS KMS keys (SSE-KMS) によるサーバー側の暗号化を使用する必要があります。 CloudTrail デフォルトでは、 によってバケット CloudTrail に配信されるログファイルは、Amazon S3-managedの暗号化キー (SSE-S3) による Amazon サーバー側の暗号化によって暗号化されることに注意してください。

修正

CloudTrail ログファイルの SSE-KMS 暗号化を有効にするには、「 ユーザーガイド」のKMS「キーを使用するように証跡を更新するAWS CloudTrail 」を参照してください。

〔CloudTrail.3] 少なくとも 1 つの CloudTrail 証跡を有効にする必要があります

関連する要件: PCI DSS v3.2.1/10.1、PCIDSSv3.2.1/10.2.1、PCIDSSv3.2.1/10.2.2、PCIDSSv3.2.1/10.2.3、PCIDSSv3.2.1/10.2.4、PCIDSSv3.2.1/10.2.5、PCIDSSv3.2.1/10.2.6、PCIDSSv3.2.1/10.2.7、PCIDSSv3.2.1/10.3.1、PCIDSSvPCIDSS3.2.1/10.3.210.3.3、PCIDSSv3.2.1/10.3.4、PCIDSSv3.2.1/10.3.5 PCI DSS 10.3.6

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::::Account

AWS Config ルール : cloudtrail-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 で証 AWS CloudTrail 跡が有効になっているかどうかをチェックします AWS アカウント。アカウントに少なくとも 1 つの CloudTrail 証跡が有効になっていない場合、コントロールは失敗します。

ただし、一部の AWS サービスでは、すべての APIsおよび イベントのログ記録が有効になっていません。以外の追加の監査証跡を実装 CloudTrail し、CloudTrail サポートされているサービスと統合 の各サービスのドキュメントを確認する必要があります。

修正

の使用を開始 CloudTrail して証跡を作成するには、 AWS CloudTrail ユーザーガイド「 の開始方法 AWS CloudTrail」チュートリアルを参照してください。

〔CloudTrail.4] CloudTrail ログファイルの検証を有効にする必要があります

関連する要件: PCI DSS v3.2.1/10.5.2、PCIDSSv3.2.1/10.5.5、 CIS AWS Foundations Benchmark v1.2.0/2.2、 CIS AWS Foundations Benchmark v1.4.0/3.2、 CIS AWS Foundations Benchmark v3.0.0/3.2、NIST.800-53.r5 AU-9、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-7(1)、NIST.800-53.r5 SI-7(3)、NIST.800-53.r5 SI-7(7)

カテゴリ: データ保護 > データの整合性

重要度:

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール : cloud-trail-log-file-validation-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、証跡でログファイルの CloudTrail整合性検証が有効になっているかどうかをチェックします。

CloudTrail ログファイルの検証では、Amazon S3 に CloudTrail 書き込む各ログのハッシュを含むデジタル署名されたダイジェストファイルが作成されます。これらのダイジェストファイルを使用して、ログファイルがログの CloudTrail 配信後に変更、削除、または変更されていないかどうかを判断できます。

Security Hub では、すべての追跡でファイルの検証を有効にすることを推奨します。ログファイルの検証により、 CloudTrail ログの整合性チェックが追加されます。

修正

CloudTrail ログファイルの検証を有効にするには、「 ユーザーガイド」の「 のログファイルの整合性の検証 CloudTrailを有効にするAWS CloudTrail 」を参照してください。

〔CloudTrail.5] CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります

関連する要件: PCI DSS v3.2.1/10.5.3、 CIS AWS Foundations Benchmark v1.2.0/2.4、 CIS AWS Foundations Benchmark v1.4.0/3.4、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-4(5)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール : cloud-trail-cloud-watch-logs-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、証 CloudTrail 跡が CloudWatch ログにログを送信するように設定されているかどうかを確認します。追跡の CloudWatchLogsLogGroupArn プロパティが空の場合、コントロールは失敗します。

CloudTrail は、特定のアカウントで行われた呼び出しを記録します AWS API。記録された情報には、以下が含まれます。

  • API 発信者の ID

  • API 通話の時刻

  • API 発信者の送信元 IP アドレス

  • リクエストパラメータ

  • によって返されるレスポンス要素 AWS サービス

CloudTrail はログファイルのストレージと配信に Amazon S3 を使用します。長期分析のために、指定された S3 バケットに CloudTrail ログをキャプチャできます。リアルタイム分析を実行するには、ログ CloudTrail を CloudWatch Logs に送信するように を設定できます。

アカウントのすべてのリージョンで有効になっている証跡の場合、 はそれらのすべてのリージョンのログファイルを Logs CloudWatch ロググループ CloudTrail に送信します。

Security Hub では、 CloudTrail ログを Logs CloudWatch に送信することをお勧めします。この推奨事項は、アカウントアクティビティが確実にキャプチャおよびモニタリングされ、適切なアラームが出されることを確認する目的であることにご注意ください CloudWatch ログを使用して、 でこれをセットアップできます AWS サービス。この推奨事項は、別のソリューションの使用を除外するものではありません。

Logs CloudWatch に CloudTrail ログを送信すると、ユーザー、、リソース、IP アドレスに基づいてAPI、アクティビティのリアルタイムログ記録と履歴ログ記録が容易になります。この方法を使用して、異常または機密性の高いアカウントアクティビティに対してアラームと通知を確立できます。

修正

CloudWatch ログ CloudTrail と統合するには、「 AWS CloudTrail ユーザーガイド」の CloudWatch 「ログへのイベントの送信」を参照してください。

〔CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないようにする

関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.3、 CIS AWS Foundations Benchmark v1.4.0/3.3

カテゴリ: 識別 > ログ記録

重要度: 非常事態

リソースタイプ : AWS::S3::Bucket

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的および変更がトリガーされた場合

パラメータ : なし

CloudTrail は、アカウントで行われたすべてのAPI呼び出しのレコードを記録します。これらのログファイルは S3 バケットに保存されます。CIS では、ログへのパブリックアクセスを防ぐために、 CloudTrail ログを記録する S3 バケットに適用される S3 バケットポリシーまたはアクセスコントロールリスト (ACL) を推奨しています CloudTrail 。 CloudTrail ログコンテンツへのパブリックアクセスを許可すると、攻撃者は影響を受けるアカウントの使用または設定の弱点を特定するのに役立ちます。

このチェックを実行するために、Security Hub はまずカスタムロジックを使用して、 CloudTrail ログが保存されている S3 バケットを検索します。次に、 AWS Config マネージドルールを使用して、バケットがパブリックにアクセス可能であることを確認します。

ログを単一の集中管理 S3 バケットに集約する場合、Security Hub は、集中管理された S3 バケットがあるアカウントとリージョンに対してのみチェックを実行します。他のアカウントとリージョンでは、コントロールステータスは [No data] (データなし) となります。

バケットがパブリックアクセス可能な場合、チェックにより結果 (失敗) が生成されます。

修正

CloudTrail S3 バケットへのパブリックアクセスをブロックするには、「Amazon Simple Storage Service ユーザーガイド」のS3 バケットのパブリックアクセスブロック設定の構成」を参照してください。4 つの Amazon S3 パブリックアクセスブロック設定をすべて選択します。

〔CloudTrail.7] S3 バケットで CloudTrail S3 バケットアクセスログ記録が有効になっていることを確認する

関連する要件: CIS AWS Foundations Benchmark v1.2.0/2.6、 CIS AWS Foundations Benchmark v1.4.0/3.6、 CIS AWS Foundations Benchmark v3.0.0/3.4

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::S3::Bucket

AWS Config ルール: なし (カスタム Security Hub ルール)

スケジュールタイプ: 定期的

パラメータ : なし

S3 バケットアクセスログ記録により、S3 バケットに対して行われたリクエストごとのアクセスレコードを含むログが生成されます。アクセスログレコードには、リクエストのタイプ、リクエストに指定されたリソース、リクエストが処理された日時など、リクエストの詳細が記録されます。

CIS では、 CloudTrail S3 バケットでバケットアクセスログを有効にすることをお勧めします。

ターゲット S3 バケットで S3 バケットのログ記録を有効にすることで、ターゲットバケット内のオブジェクトに影響を与える可能性のあるすべてのイベントをキャプチャできます。ログを別のバケットに配置するように設定すると、ログ情報にアクセスできるようになり、セキュリティおよびインシデント対応のワークフローで役立ちます。

このチェックを実行するために、Security Hub はまずカスタムロジックを使用して CloudTrail ログが保存されているバケットを検索し、次に AWS Config マネージドルールを使用してログ記録が有効になっているかどうかを確認します。

が複数の から 1 つの送信先 Amazon S3 バケット AWS アカウント にログファイルを CloudTrail 配信する場合、Security Hub はこのコントロールを、それが配置されているリージョンの送信先バケットに対してのみ評価します。これにより、結果が効率化されます。ただし、ログを送信先バケットに配信するすべてのアカウント CloudTrail で を有効にする必要があります。宛先バケットを保持しているアカウントを除くすべてのアカウントの制御ステータスは「データなし」です。

バケットがパブリックアクセス可能な場合、チェックにより結果 (失敗) が生成されます。

修正

CloudTrail S3 バケットのサーバーアクセスログ記録を有効にするには、Amazon S3 サーバーアクセスログ記録の有効化」を参照してください。

〔CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::CloudTrail::Trail

AWS Config ルール: tagged-cloudtrail-trail (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、 AWS CloudTrail 証跡にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。証跡にタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、証跡にキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

CloudTrail 証跡にタグを追加するには、「 AWS CloudTrail APIリファレンスAddTags」の「」を参照してください。