の Security Hub コントロール AWS WAF - AWS Security Hub
〔WAF.1] AWS WAF クラシックグローバルウェブACLログ記録を有効にする必要があります〔WAF.2] AWS WAF クラシックリージョンルールには少なくとも 1 つの条件が必要です〔WAF.3] AWS WAF クラシックリージョンルールグループには、少なくとも 1 つのルールが必要です〔WAF.4] AWS WAF クラシックリージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です〔WAF.6] AWS WAF クラシックグローバルルールには少なくとも 1 つの条件が必要です〔WAF.7] AWS WAF クラシックグローバルルールグループには、少なくとも 1 つのルールが必要です〔WAF.8] AWS WAF クラシックグローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です〔WAF.10] AWS WAF ウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります〔WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール AWS WAF

これらの AWS Security Hub コントロールは、 AWS WAF サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔WAF.1] AWS WAF クラシックグローバルウェブACLログ記録を有効にする必要があります

関連する要件: NIST.800-53.r5 AC-4 (26) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::WAF::WebACL

AWS Config ルール : waf-classic-logging-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 AWS WAF グローバルウェブ でログ記録が有効になっているかどうかをチェックしますACL。ウェブ でログ記録が有効になっていない場合、このコントロールは失敗しますACL。

ログ記録は、 の信頼性、可用性、パフォーマンスを AWS WAF グローバルに維持する上で重要な部分です。これは、多くの組織でビジネスおよびコンプライアンス要件であり、アプリケーションの動作をトラブルシューティングできます。また、 にアタッチされているウェブによって分析ACLされるトラフィックに関する詳細情報も提供します AWS WAF。

修正

AWS WAF ウェブ のログ記録を有効にするにはACL、「 AWS WAF デベロッパーガイド」の「ウェブACLトラフィック情報のログ記録」を参照してください。

〔WAF.2] AWS WAF クラシックリージョンルールには少なくとも 1 つの条件が必要です

関連する要件: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::WAFRegional::Rule

AWS Config ルール : waf-regional-rule-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF リージョンルールに少なくとも 1 つの条件があるかどうかをチェックします。ルールに条件が 1 つもない場合、このコントロールは失敗します。

WAF リージョンルールには複数の条件を含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件がないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFリージョンルールは、これらのアクションのいずれかが発生しているという誤った仮定につながる可能性があります。

修正

空のルールに条件を追加する方法については、には、「AWS WAF デベロッパーガイド」の「ルールの条件の追加と削除」を参照してください。

〔WAF.3] AWS WAF クラシックリージョンルールグループには、少なくとも 1 つのルールが必要です

関連する要件: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::WAFRegional::RuleGroup

AWS Config ルール : waf-regional-rulegroup-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF リージョンルールグループに少なくとも 1 つのルールがあるかどうかを確認します。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。

WAF リージョンルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールがないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFリージョンルールグループは、これらのアクションのいずれかが発生しているという誤った仮定につながる可能性があります。

修正

空のルールグループにルールとルール条件を追加するには、「 AWS WAF デベロッパーガイド」の AWS WAF 「 Classic ルールグループへのルールの追加と削除」および「ルール内の条件の追加と削除」を参照してください。

〔WAF.4] AWS WAF クラシックリージョンウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::WAFRegional::WebACL

AWS Config ルール : waf-regional-webacl-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF Classic Regional ウェブにWAFルールまたはWAFルールグループACLが含まれているかどうかをチェックします。ウェブにWAFルールまたはルールグループが含まれていない場合、このコントロールACLは失敗します。

WAF リージョンウェブには、ウェブリクエストを検査および制御するルールとルールグループのコレクションを含めるACLことができます。ウェブACLが空の場合、ウェブトラフィックは、デフォルトのアクションWAFに応じて、 によって検出または処理されることなく通過できます。

修正

空の AWS WAF Classic Regional Web にルールまたはルールグループを追加するにはACL、「 AWS WAF デベロッパーガイド」の「ウェブの編集ACL」を参照してください。

〔WAF.6] AWS WAF クラシックグローバルルールには少なくとも 1 つの条件が必要です

関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::WAF::Rule

AWS Config ルール : waf-global-rule-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF グローバルルールに条件が含まれているかどうかをチェックします。ルールに条件が 1 つもない場合、このコントロールは失敗します。

WAF グローバルルールには複数の条件を含めることができます。ルールの条件によってトラフィックの検査が可能になり、定義されたアクション (許可、ブロック、カウント) を実行できます。条件が 1 つもないと、トラフィックは検査なしで通過します。条件がないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFグローバルルールは、これらのアクションのいずれかが発生しているという誤った仮定につながる可能性があります。

修正

ルールの作成方法および条件の追加方法については、「AWS WAF デベロッパーガイド」の「ルールの作成と条件の追加」を参照してください。

〔WAF.7] AWS WAF クラシックグローバルルールグループには、少なくとも 1 つのルールが必要です

関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::WAF::RuleGroup

AWS Config ルール : waf-global-rulegroup-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF グローバルルールグループに少なくとも 1 つのルールがあるかどうかを確認します。ルールグループにルールが 1 つもない場合、このコントロールは失敗します。

WAF グローバルルールグループには、複数のルールを含めることができます。このルールの条件によってトラフィックの検査が許可され、定義されたアクション (許可、ブロック、カウント) が実行されます。ルールが 1 つもないと、トラフィックは検査なしで通過します。ルールがないが、許可、ブロック、またはカウントを示す名前またはタグを持つWAFグローバルルールグループは、これらのアクションのいずれかが発生しているという誤った仮定につながる可能性があります。

修正

ルールグループにルールを追加する手順については、「 デベロッパーガイド」の AWS WAF 「 Classic ルールグループの作成」を参照してください。 AWS WAF

〔WAF.8] AWS WAF クラシックグローバルウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

関連する要件: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::WAF::WebACL

AWS Config ルール : waf-global-webacl-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF グローバルウェブに少なくとも 1 つのWAFルールまたはWAFルールグループACLが含まれているかどうかをチェックします。ウェブにWAFルールまたはルールグループが含まれていない場合、コントロールACLは失敗します。

WAF グローバルウェブには、ウェブリクエストを検査および制御するルールとルールグループのコレクションを含めるACLことができます。ウェブACLが空の場合、ウェブトラフィックは、デフォルトのアクションWAFに応じて、 によって検出または処理されることなく通過できます。

修正

空の AWS WAF グローバルウェブ にルールまたはルールグループを追加するにはACL、「 AWS WAF デベロッパーガイド」の「ウェブの編集ACL」を参照してください。フィルター でグローバル (CloudFront) を選択します。

〔WAF.10] AWS WAF ウェブには、少なくとも 1 つのルールまたはルールグループACLsが必要です

関連する要件: NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ : AWS::WAFv2::WebACL

AWS Config ルール : wafv2-webacl-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF V2 ウェブアクセスコントロールリスト (ウェブ ACL) に少なくとも 1 つのルールまたはルールグループが含まれているかどうかをチェックします。ウェブにルールまたはルールグループが含まれていない場合、コントロールACLは失敗します。

ウェブACLを使用すると、保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。ウェブには、ウェブリクエストを検査および制御するルールとルールグループのコレクションが含まれているACL必要があります。ウェブACLが空の場合、ウェブトラフィックは、デフォルトのアクション AWS WAF に応じて、 によって検出または処理されることなく通過できます。

修正

空のWAFV2ウェブ にルールまたはルールグループを追加するにはACL、「 AWS WAF デベロッパーガイド」の「ウェブの編集ACL」を参照してください。

〔WAF.11] AWS WAF ウェブACLログ記録を有効にする必要があります

関連する要件: NIST.800-53.r5 AC-4 (26) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、、 NIST.800-53.r5 SC-7(10)、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::WAFv2::WebACL

AWS Config ルール: wafv2-logging-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 AWS WAF V2 ウェブアクセスコントロールリスト (ウェブ ) のログ記録が有効になっているかどうかをチェックしますACL。ウェブ のログ記録が無効になっている場合、このコントロールは失敗しますACL。

ログ記録は、 の信頼性、可用性、パフォーマンスを維持します AWS WAF。また、多くの組織において、ログ記録はビジネスおよびコンプライアンス要件となっています。ウェブ によって分析されたトラフィックをログに記録することでACL、アプリケーションの動作をトラブルシューティングできます。

修正

AWS WAF ウェブ のログ記録を有効にするにはACL、「 AWS WAF デベロッパーガイド」の「ウェブのログ記録の管理ACL」を参照してください。

〔WAF.12] AWS WAF ルールでは CloudWatch メトリクスを有効にする必要があります

関連する要件: NIST.800-53.r5 AC-4 (26) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、、 NIST.800-53.r5 SC-7(10)、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::WAFv2::RuleGroup

AWS Config ルール: wafv2-rulegroup-logging-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS WAF ルールまたはルールグループで Amazon CloudWatch メトリクスが有効になっているかどうかをチェックします。ルールまたはルールグループで CloudWatch メトリクスが有効になっていない場合、コントロールは失敗します。

AWS WAF ルールとルールグループで CloudWatch メトリクスを設定すると、トラフィックフローを可視化できます。トリガーされるACLルールと、承諾およびブロックされるリクエストを確認できます。この可視性は、関連リソースでの悪意のあるアクティビティを特定するのに役立ちます。

修正

AWS WAF ルールグループで CloudWatch メトリクスを有効にするには、 UpdateRuleGroup を呼び出しますAPI。 AWS WAF ルールで CloudWatch メトリクスを有効にするには、 UpdateWebACL を呼び出しますAPI。CloudWatchMetricsEnabled フィールドは true に設定されます。 AWS WAF コンソールを使用してルールまたはルールグループを作成すると、 CloudWatch メトリクスは自動的に有効になります。