Amazon CloudWatch コントロール - AWS Security Hub
[CloudWatch.1]「root」ユーザーが使用するには、ログメトリクスフィルターとアラームが必要です[CloudWatch.2] 不正な API 呼び出しに対するログメトリクスフィルタとアラームがあることを確認する[CloudWatch.3] MFA を使用しない管理コンソールサインイン用のログメトリックフィルタとアラームが存在することを確認[CloudWatch.4] IAM ポリシー変更用のログメトリックフィルタとアラームが存在することを確認する[CloudWatch.5] CloudTrail AWS Config時間変更用のログメトリクスフィルタとアラームが存在することを確認する[CloudWatch.6] AWS Management Console 認証に失敗した場合に備えて、ログメトリックフィルタとアラームが存在することを確認する[CloudWatch.7] 顧客管理キーの無効化や削除の予定を設定するためのログメトリックフィルタとアラームがあることを確認する[CloudWatch.8] S3 バケットポリシー変更用のログメトリクスフィルタとアラームが存在することを確認する[CloudWatch.9] AWS Config 設定変更用のログメトリックフィルタとアラームが存在することを確認する[CloudWatch.10] セキュリティグループの変更に対応するログメトリックフィルタとアラームが存在することを確認する[CloudWatch.11] ネットワークアクセス制御リスト (NACL) の変更に関するログメトリックフィルタとアラームがあることを確認する[CloudWatch.12] ネットワークゲートウェイの変更に関するログメトリックフィルタとアラームが存在することを確認する[CloudWatch.13] ルートテーブルが変更された場合のログメトリックフィルタとアラームがあることを確認する[CloudWatch.14] VPC 変更用のログメトリックフィルタとアラームが存在することを確認[CloudWatch.15] CloudWatch アラームには指定されたアクションが設定されている必要があります[CloudWatch.16] CloudWatch ロググループは一定期間保持する必要があります[CloudWatch.17] CloudWatch アラームアクションを有効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudWatch コントロール

CloudWatch これらのコントロールはリソースに関連しています。

これらのコントロールは、一部のユーザーには使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[CloudWatch.1]「root」ユーザーが使用するには、ログメトリクスフィルターとアラームが必要です

関連要件:PCI DSS v3.2.1/7.2.1、CIS ファンデーションベンチマーク v1.2.0/1.1、CIS ファンデーションベンチマーク v1.2.0/3.3、CIS AWS ファンデーションベンチマーク v1.4.0/1.7、CIS ファンデーションベンチマーク v1.4.0/4.3 AWS AWS AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

ルートユーザーは、 AWS アカウントのすべてのリソースとサービスに完全かつ無制限にアクセスできます。日常的なタスクにはルートユーザーを使用しないことが強く推奨されます。ルートユーザーの使用を最小限にし、アクセス管理の最小特権の原則を採用することにより、高い権限を持つ認証情報の意図しない変更や偶発的な開示のリスクが軽減されます。

ベストプラクティスは、アカウントおよびサービスの管理タスクを実行するときに必要となる場合のみ、ルートユーザー認証情報を使用することです。 AWS Identity and Access Management (IAM) ポリシーをグループとロールに直接適用しますが、ユーザーには適用しません。日常的に使用する管理者を設定する方法のチュートリアルについては、「IAM ユーザーガイド」の「最初の IAM 管理者のユーザーおよびグループの作成」を参照してください。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 1.7 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.2] 不正な API 呼び出しに対するログメトリクスフィルタとアラームがあることを確認する

関連要件:CIS AWS 基盤ベンチマーク v1.2.0/3.1

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。

CIS では、不正な API コールに対するメトリクスフィルターとアラームを作成することを推奨しています。不正な API コールをモニタリングすることでアプリケーションエラーを明らかにし、悪意のあるアクティビティを検出するのにかかる時間を短縮できる可能性があります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.2 のコントロール 3.1 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.3] MFA を使用しない管理コンソールサインイン用のログメトリックフィルタとアラームが存在することを確認

関連要件:CIS AWS 基盤ベンチマーク v1.2.0/3.2

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。

CIS では、MFA で保護されていないコンソールログインに対するメトリクスフィルターとアラームを作成することを推奨しています。単一要素のコンソールログインをモニタリングすることにより、MFA によって保護されていないアカウントへの可視性が向上します。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.2 のコントロール 3.2 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    { ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.4] IAM ポリシー変更用のログメトリックフィルタとアラームが存在することを確認する

関連要件:CIS ファンデーションベンチマーク v1.2.0/3.4、CIS AWS ファンデーションベンチマーク v1.4.0/4.4 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、 CloudTrail CloudWatch ログをログに送り、対応するメトリクスフィルタとアラームを設定することで、API 呼び出しをリアルタイムで監視しているかどうかを確認します。

CIS では、IAM ポリシーに加えられた変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

注記

これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは IAM API 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.5] CloudTrail AWS Config時間変更用のログメトリクスフィルタとアラームが存在することを確認する

関連要件:CIS ファンデーションベンチマーク v1.2.0/3.5、CIS AWS ファンデーションベンチマーク v1.4.0/4.5 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。

CIS では、設定が変更された場合に備えて、メトリックスフィルタとアラームを作成することを推奨しています。 CloudTrailこれらの変更をモニタリングすることで、アカウント内のアクティビティを継続的に可視化できます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.5 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.6] AWS Management Console 認証に失敗した場合に備えて、ログメトリックフィルタとアラームが存在することを確認する

関連要件:CIS ファンデーションベンチマーク v1.2.0/3.6、CIS AWS ファンデーションベンチマーク v1.4.0/4.6 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。

CIS では、コンソール認証の試行の失敗に対するメトリクスフィルターとアラームを作成することを推奨しています。コンソールログインの失敗をモニタリングすることにより、認証情報へのブルートフォース攻撃の試行の検出にかかるリードタイムを短縮できる可能性があり、ソース IP などの、他のイベント相関で使用できるインジケータが得られる可能性もあります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.6 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.7] 顧客管理キーの無効化や削除の予定を設定するためのログメトリックフィルタとアラームがあることを確認する

関連要件:CIS 財団ベンチマーク v1.2.0/3.7、CIS AWS 財団ベンチマーク v1.4.0/4.7 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。

CIS では、状態が無効またはスケジュールされた削除に変更されたカスタマーマネージドキーに対するメトリクスフィルターとアラームを作成することを推奨しています。無効になっているか、または削除されたキーで暗号化されたデータには、アクセスできなくなります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.7 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。ExcludeManagementEventSourceskms.amazonaws.com を含む場合も、コントロールは失敗します。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.8] S3 バケットポリシー変更用のログメトリクスフィルタとアラームが存在することを確認する

関連要件:CIS 基盤ベンチマーク v1.2.0/3.8、CIS AWS 基盤ベンチマーク v1.4.0/4.8 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。

CIS では、S3 バケットポリシーの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、機密性の高い S3 バケットの過剰な権限のあるポリシーを検出して修正するまでの時間を短縮できます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.8 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.9] AWS Config 設定変更用のログメトリックフィルタとアラームが存在することを確認する

関連要件:CIS ファンデーションベンチマーク v1.2.0/3.9、CIS AWS ファンデーションベンチマーク v1.4.0/4.9 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。

CIS では、 AWS Config 構成設定の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、アカウント内の設定項目を継続的に可視化できます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.9 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.10] セキュリティグループの変更に対応するログメトリックフィルタとアラームが存在することを確認する

関連要件:CIS 基盤ベンチマーク v1.2.0/3.10、CIS AWS 基盤ベンチマーク v1.4.0/4.10 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。セキュリティグループは、VPC の入力トラフィックと出力トラフィックを制御するステートフルパケットフィルターです。

CIS では、セキュリティグループの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、リソースやサービスが意図せずに公開されないようにできます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.10 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.11] ネットワークアクセス制御リスト (NACL) の変更に関するログメトリックフィルタとアラームがあることを確認する

関連要件:CIS 基盤ベンチマーク v1.2.0/3.11、CIS AWS 基盤ベンチマーク v1.4.0/4.11 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。NACL は、VPC 内のサブネットの入力トラフィックと出力トラフィックを制御するためのステートレスパケットフィルターとして使用されます。

CIS では、NACL の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変化を監視することで、 AWS リソースやサービスが意図せず公開されるのを防ぐことができます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.11 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.12] ネットワークゲートウェイの変更に関するログメトリックフィルタとアラームが存在することを確認する

関連要件:CIS 基盤ベンチマーク v1.2.0/3.12、CIS AWS 基盤ベンチマーク v1.4.0/4.12 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。ネットワークゲートウェイは、VPC の外部にある送信先との間でトラフィックを送受信する必要があります。

CIS では、ネットワークゲートウェイの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることにより、すべての入力トラフィックと出力トラフィックが制御されたパスを通じて VPC 境界を通過するようになります。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.2 のコントロール 4.12 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.13] ルートテーブルが変更された場合のログメトリックフィルタとアラームがあることを確認する

関連要件:CIS 基礎ベンチマーク v1.2.0/3.13、CIS AWS 基礎ベンチマーク v1.4.0/4.13 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、 CloudTrail CloudWatch ログをログに送り、対応するメトリクスフィルタとアラームを設定することで、API 呼び出しをリアルタイムで監視しているかどうかを確認します。ルーティングテーブルは、サブネット間およびネットワークゲートウェイへのネットワークトラフィックをルーティングします。

CIS では、ルートテーブルの変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、すべての VPC トラフィックが確実に想定どおりのパスを通過するようにできます。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

注記

これらの修復手順で推奨されるフィルターパターンは、CIS ガイダンスのフィルターパターンとは異なります。推奨フィルターは Amazon Elastic Compute Cloud (EC2) 呼び出しからのイベントのみを対象としています。

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.14] VPC 変更用のログメトリックフィルタとアラームが存在することを確認

関連要件:CIS 基盤ベンチマーク v1.2.0/3.14、CIS AWS 基盤ベンチマーク v1.4.0/4.14 AWS

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::Logs::MetricFilterAWS::CloudWatch::AlarmAWS::CloudTrail::TrailAWS::SNS::Topic

AWS Config ルール:なし (カスタムSecurity Hub ル)

スケジュールタイプ: 定期的

パラメータ: なし

CloudTrail ログを Logs に送り、対応するメトリクスフィルタとアラームを設定することで、API CloudWatch 呼び出しをリアルタイムで監視できます。1 つのアカウントに複数の VPC を含めることができるのに加えて、2 つの VPC 間にピア接続を作成し、ネットワークトラフィックを VPC 間でルーティングすることができます。

CIS では、VPC の変更に対するメトリクスフィルターとアラームを作成することを推奨しています。これらの変更をモニタリングすることで、認証と認可の管理が損なわれないようにできます。

このチェックを実行するために、Security Hub はカスタムロジックを使用して、CIS AWS Foundations Benchmark v1.4.0 のコントロール 4.14 に規定されている正確な監査手順を実行します。CIS によって規定された正確なメトリクスフィルターが使用されていない場合、このコントロールは失敗します。追加のフィールドまたは用語をメトリクスフィルターに追加することはできません。

注記

Security Hub がこのコントロールのチェックを実行すると、 CloudTrail 現在のアカウントが使用している証跡が検索されます。これらの追跡は、別のアカウントに属する組織の追跡である可能性があります。マルチリージョンの追跡は、別のリージョンに基づいている可能性もあります。

チェックの結果、以下の場合は結果 FAILED となります。

  • 追跡が設定されていません。

  • 現在のリージョンにあり、現在のアカウントが所有している利用可能な追跡が、コントロール要件を満たしていません。

チェックの結果、以下の場合はコントロール状況が NO_DATA になります。

  • マルチリージョンの追跡が別のリージョンに基づいています。Security Hub は、追跡が基づいているリージョンでのみ結果を生成できます。

  • マルチリージョンの追跡が別のアカウントに属しています。Security Hub は、追跡を所有するアカウントの結果のみを生成できます。

    組織内の多数のアカウントからのイベントを記録するには、組織の証跡をお勧めします。組織証跡はデフォルトではマルチリージョンの証跡で、 AWS Organizations 管理アカウントまたは委任された管理者アカウントのみが管理できます。 CloudTrail 組織の証跡を使用すると、組織のメンバーアカウントで評価されたコントロールの管理ステータスは NO_DATA になります。メンバーアカウントでは、Security Hub はメンバー所有のリソースの検出結果のみを生成します。組織の証跡に関する検出結果は、リソース所有者のアカウントで生成されます。クロスリージョン集約を使用すると、Security Hub の委任された管理者アカウントでこれらの検出結果を確認できます。

アラームの場合、現在のアカウントは、参照されている Amazon SNS トピックを所有しているか、ListSubscriptionsByTopic を呼び出すことで Amazon SNS トピックにアクセスできる必要があります。それ以外の場合は、Security Hub はコントロールに対して結果 WARNING を生成します。

修正

このコントロールに合格するには、以下の手順に従って Amazon SNS トピック、 AWS CloudTrail 追跡、メトリクスフィルター、メトリクスフィルターのアラームを作成します。

  1. Amazon SNS トピックを作成します。詳細については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS の開始方法」を参照してください。すべての CIS アラームを受信するトピックを作成し、そのトピックへのサブスクリプションを少なくとも 1 つ作成します。

  2. CloudTrail 全員に適用される証跡を作成してください。 AWS リージョン手順については、「AWS CloudTrail ユーザーガイド」の「証跡の作成」を参照してください。

    CloudTrail トレイルに関連付ける CloudWatch Logs ロググループの名前を書き留めておきます。次の手順で、そのロググループに対してメトリクスフィルターを作成します。

  3. メトリクスのフィルターを作成します。手順については、Amazon CloudWatch ユーザーガイドの 「ロググループのメトリックスフィルターを作成する」を参照してください。以下の値を使用します。

    フィールド

    定義パターン、フィルターパターン

    {($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}

    メトリクス名前空間

    LogMetrics

    メトリクス値

    1

    デフォルト値

    0

  4. フィルターに基づいてアラームを作成します。手順については、Amazon CloudWatch ユーザーガイドの CloudWatch ロググループメトリックスフィルタに基づくアラームの作成」を参照してください。以下の値を使用します。

    フィールド

    条件、しきい値タイプ

    静的

    いつでも... your-metric-name

    以上

    条件は...

    1

[CloudWatch.15] CloudWatch アラームには指定されたアクションが設定されている必要があります

カテゴリ: 検出 > 検出サービス

関連する要件: NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 IR-4(1)、NIST.800-53.r5 IR-4(5)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)

重要度:

リソースタイプ: AWS::CloudWatch::Alarm

AWS Config ルール:cloudwatch-alarm-action-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

alarmActionRequired

パラメータが true に設定されていて、アラームの状態が ALARM に変わるとアラームがアクションを起こす場合に、コントロールが PASSED 検出結果を生成します。

ブール値

カスタマイズ不可

true

insufficientDataActionRequired

パラメータが true に設定されていて、アラームの状態が INSUFFICIENT_DATA に変わるとアラームがアクションを起こす場合に、コントロールが PASSED 検出結果を生成します。

ブール値

true 、、または false

false

okActionRequired

パラメータが true に設定されていて、アラームの状態が OK に変わるとアラームがアクションを起こす場合に、コントロールが PASSED 検出結果を生成します。

ブール値

true 、、または false

false

このコントロールは、Amazon CloudWatch ALARM アラームの状態に対して少なくとも 1 つのアクションが設定されているかどうかを確認します。ALARM 状態に対して設定されたアクションがアラームにない場合、コントロールは失敗します。必要に応じて、カスタムパラメータ値を含めて、INSUFFICIENT_DATA 状態または OK 状態のアラームアクションを要求することもできます。

注記

Security Hub は、 CloudWatch メトリックアラームに基づいてこのコントロールを評価します。メトリックアラームは、指定されたアクションが設定された複合アラームの一部である場合があります。コントロールは、FAILED以下の場合に結果を生成します。

  • 指定されたアクションはメトリクスアラーム用には設定されていません。

  • メトリックアラームは、指定されたアクションが設定された複合アラームの一部です。

CloudWatch このコントロールはアラームにアラームアクションが設定されているかどうかに焦点を当てているのに対し、CloudWatch.17 CloudWatch はアラームアクションの起動ステータスに焦点を当てています。

CloudWatch 監視対象のメトリックスが定義済みのしきい値を超えたときに自動的に警告するアラームアクションをお勧めします。アラームをモニタリングすることで、異常なアクティビティを特定し、アラームが特定の状態になったときのセキュリティや運用上の問題に迅速に対応できます。アラームアクションの最も一般的なタイプは、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを送信して、1 人または複数のユーザーに通知することです。

修正

CloudWatch アラームでサポートされるアクションについては、Amazon CloudWatch ユーザーガイドのアラームアクション」を参照してください。

[CloudWatch.16] CloudWatch ロググループは一定期間保持する必要があります

カテゴリ: 識別 > ログ記録

関連する要件: NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-11、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-12

重要度:

リソースタイプ: AWS::Logs::LogGroup

AWS Config ルール:cw-loggroup-retention-period-check

スケジュールタイプ: 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

minRetentionTime

CloudWatch ロググループの最小保存期間 (日数)

列挙型

365, 400, 545, 731, 1827, 3653

365

このコントロールは、Amazon CloudWatch ロググループの保存期間が少なくとも指定された日数であるかどうかを確認します。保持期間が指定された日数未満の場合、コントロールは失敗します。保持期間に対してカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 365 日を使用します。

CloudWatch ログは、すべてのシステム、アプリケーションからのログを、拡張性の高い 1 つのサービスに一元化します。 AWS のサービス CloudWatch ログを使用して、Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon Route 53 AWS CloudTrail、およびその他のソースからのログファイルを監視、保存、およびアクセスできます。ログを少なくとも 1 年間保存することで、ログ保持標準への準拠に役立ちます。

修正

ログの保持設定を行うには、Amazon CloudWatch ユーザーガイドの「ログ」の「 CloudWatch ログデータの保持期間の変更」を参照してください。

[CloudWatch.17] CloudWatch アラームアクションを有効にする必要があります

カテゴリ: 検出 > 検出サービス

関連する要件: NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-4(12)

重要度:

リソースタイプ: AWS::CloudWatch::Alarm

AWS Config ルール:cloudwatch-alarm-action-enabled-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、 CloudWatch アラームアクションが有効になっているかどうかをチェックします (true ActionEnabled に設定する必要があります)。アラームのアラームアクションが無効になっていると CloudWatch 、コントロールは失敗します。

注記

Security Hub は、 CloudWatch メトリックアラームに基づいてこのコントロールを評価します。メトリックアラームは、アラームアクションがアクティブ化された複合アラームの一部である場合があります。FAILEDコントロールは以下の場合に検出結果を生成します。

  • 指定されたアクションはメトリクスアラーム用には設定されていません。

  • メトリックアラームは、アラームアクションがアクティブ化された複合アラームの一部です。

このコントロールはアラームアクションの起動状況に焦点を当てているのに対し、CloudWatch.15 CloudWatch ALARM はアラームにアクションが設定されているかどうかに焦点を当てています。 CloudWatch

アラームアクションは、モニタリング対象のメトリクスが定義されたしきい値を超えると自動的に警告します。アラームアクションが非アクティブ化されている場合、アラームの状態が変わってもアクションは実行されず、モニタリング対象メトリクスの変更に関する警告は表示されません。セキュリティや運用上の問題に迅速に対応できるように、 CloudWatch アラームアクションを有効にすることをおすすめします。

修正

CloudWatch アラームアクションを有効にするには (コンソール)
  1. https://console.aws.amazon.com/cloudwatch/ CloudWatch でコンソールを開きます。

  2. ナビゲーションペインの [アラーム] で、[すべてのアラーム] を選択します。

  3. アクションをアクティブにするアラームを選択します。

  4. [アクション] で、[アラームアクション — 新規] を選択し、[有効化] を選択します。

CloudWatch アラームアクションの有効化の詳細については、Amazon CloudWatch ユーザーガイドのアラームアクション」を参照してください。