기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 제어 대상 CloudWatch
이러한 컨트롤은 Amazon CloudWatch 서비스 및 리소스를 평가합니다.
이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.
[CloudWatch.1] “root” 사용자 사용에 대한 로그 메트릭 필터 및 경보가 있어야 합니다.
관련 요구 사항: PCI DSS v3.2.1/7.2.1, CIS AWS 파운데이션 벤치마크 v1.2.0/1.1, CIS AWS 파운데이션 벤치마크 v1.2.0/3.3, CIS AWS 파운데이션 벤치마크 v1.4.0/1.7, CIS AWS 파운데이션 벤치마크 v1.4.0/4.3
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
루트 사용자는 내 모든 서비스와 리소스에 제한 없이 액세스할 수 있습니다. AWS 계정. 일상적인 작업에는 루트 사용자를 사용하지 않는 것이 좋습니다. 루트 사용자의 사용을 최소화하고 액세스 관리를 위해 최소 권한 원칙을 채택하면 권한이 높은 보안 인증 정보의 의도하지 않은 변경 및 노출 위험이 줄어듭니다.
계정 및 서비스 관리 작업 수행에 필요한 경우에만 루트 사용자 보안 인증 정보를 사용하는 것이 가장 좋습니다. Apply AWS Identity and Access Management (IAM) 정책은 그룹 및 역할에 직접 적용되지만 사용자에게는 적용되지 않습니다. 매일 사용할 관리자를 설정하는 방법에 대한 자습서는 사용 설명서의 첫 번째 IAM 관리자 및 그룹 만들기를 IAM 참조하십시오.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 1.7에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.2] 무단 API 통화에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.1
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch
CIS메트릭 필터를 만들고 무단 API 통화에 대해 경보를 울리는 것이 좋습니다. 무단 API 통화를 모니터링하면 애플리케이션 오류를 찾아내고 악의적인 활동을 탐지하는 시간을 줄일 수 있습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 3.1에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.2.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.3] 관리 콘솔 로그인 없이 로그인할 때 로그 메트릭 필터 및 경보가 존재하는지 확인하십시오. MFA
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.2
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch
CIS로 보호되지 않는 지표 필터 및 경보 콘솔 로그인을 생성할 것을 권장합니다. MFA 단일 요소 콘솔 로그인을 모니터링하면 보호를 받지 못하는 계정을 더 잘 파악할 수 있습니다. MFA
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 3.2에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.2.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정. 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.4] IAM 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.4, CIS AWS 파운데이션 벤치마크 v1.4.0/4.4
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
이 컨트롤은 CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링하는지 여부를 확인합니다. CloudWatch
CIS정책 변경에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. IAM 이러한 변경 사항을 모니터링하면 인증 및 권한 부여 제어가 영향을 받지 않게 하는 데 도움이 됩니다.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
참고
이 수정 단계에서 권장하는 필터 패턴은 지침의 필터 패턴과 다릅니다. CIS 권장 필터는 통화에서 IAM API 발생하는 이벤트만 대상으로 합니다.
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.5] 다음에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. CloudTrail AWS Config지속 시간 변경
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.5, CIS AWS 파운데이션 벤치마크 v1.4.0/4.5
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch
CIS CloudTrail구성 설정 변경에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 계정 내 활동에 대해 지속적인 가시성을 확보하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.5에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.6] 다음에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. AWS Management Console 인증 실패
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.6, CIS AWS 파운데이션 벤치마크 v1.4.0/4.6
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch
CIS실패한 콘솔 인증 시도에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 실패한 콘솔 로그인을 모니터링하면 자격 증명에 대한 Brute-Force 공격 시도를 감지하는 데 걸리는 리드 타임이 줄어 다른 이벤트 상관관계에서 사용할 수 있는 지표(예: 소스 IP)를 얻을 수 있습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.6에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제를 위한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.7, CIS AWS 파운데이션 벤치마크 v1.4.0/4.7
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch
CIS상태가 비활성화 또는 예약된 삭제로 변경된 고객 관리 키에 대해 지표 필터 및 경보를 생성할 것을 권장합니다. 비활성화되거나 삭제된 키로 암호화된 데이터는 더 이상 액세스할 수 없습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.7에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0. ExcludeManagementEventSources에 kms.amazonaws.com이 포함된 경우에도 제어가 실패합니다.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.8] S3 버킷 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.8, CIS AWS 파운데이션 벤치마크 v1.4.0/4.8
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch
CISS3 버킷 정책 변경에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 민감한 S3 버킷에 관한 허용적인 정책을 감지하고 교정하는 데 걸리는 시간을 줄일 수 있습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.8에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.9] 다음에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. AWS Config 구성 변경
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.9, CIS AWS 파운데이션 벤치마크 v1.4.0/4.9
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch
CIS지표 필터를 생성하고 변경 사항에 대한 경보를 생성할 것을 권장합니다. AWS Config 구성 설정. 이러한 변경 사항을 모니터링하면 계정 내 구성 항목에 대해 지속적인 가시성을 확보하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.9에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.10] 보안 그룹 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.10, CIS AWS 파운데이션 벤치마크 v1.4.0/4.10
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch 보안 그룹은 A의 수신 및 송신 트래픽을 제어하는 상태 저장 패킷 필터입니다. VPC
CIS보안 그룹 변경에 대한 메트릭 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 리소스 및 서비스가 의도치 않게 노출되는 일을 방지하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.10에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.11] 네트워크 액세스 제어 목록 () NACL 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.11, CIS AWS 파운데이션 벤치마크 v1.4.0/4.11
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch NACLsa에 있는 서브넷의 수신 및 송신 트래픽을 제어하기 위한 상태 비저장 패킷 필터로 사용됩니다. VPC
CIS메트릭 필터를 생성하고 변경 사항에 대한 경보를 생성할 것을 권장합니다. NACLs 이러한 변경 사항을 모니터링하면 다음을 확인하는 데 도움이 됩니다. AWS 리소스와 서비스가 의도치 않게 노출되는 일이 없습니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.11에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.12] 네트워크 게이트웨이 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.12, CIS AWS 파운데이션 벤치마크 v1.4.0/4.12
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch 외부 목적지로 트래픽을 보내고 받으려면 네트워크 게이트웨이가 필요합니다. VPC
CIS네트워크 게이트웨이 변경에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 모든 유입 및 유출 트래픽이 통제된 경로를 통해 VPC 국경을 통과하도록 하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.12에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.2.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.13] 라우팅 테이블 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.13, CIS AWS 파운데이션 벤치마크 v1.4.0/4.13
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
이 컨트롤은 CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링하는지 여부를 확인합니다. CloudWatch 라우팅 테이블을 통해 네트워크 트래픽이 서브넷 간에, 그리고 네트워크 게이트웨이로 라우팅됩니다.
CIS라우팅 테이블 변경에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. 이러한 변경 사항을 모니터링하면 모든 VPC 트래픽이 예상 경로를 통해 흐르도록 하는 데 도움이 됩니다.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
참고
이 수정 단계에서 권장하는 필터 패턴은 지침의 필터 패턴과 다릅니다. CIS 권장 필터는 Amazon Elastic Compute Cloud (EC2) API 호출에서 발생하는 이벤트만 대상으로 합니다.
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.14] 변경 사항에 대한 VPC 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/3.14, CIS AWS 파운데이션 벤치마크 v1.4.0/4.14
범주: 감지 > 감지 서비스
심각도: 낮음
리소스 유형: AWS::Logs::MetricFilter, AWS::CloudWatch::Alarm, AWS::CloudTrail::Trail, AWS::SNS::Topic
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터: 없음
CloudTrail 로그를 로그로 보내고 해당 지표 필터 및 경보를 설정하여 API 통화를 실시간으로 모니터링할 수 있습니다. CloudWatch 한 VPC 계정에는 두 개 이상이 있을 수 있으며VPCs, 두 계정 간에 피어 연결을 생성하여 네트워크 트래픽이 서로 라우팅되도록 할 수 있습니다. VPCs
CIS변경 사항에 대한 지표 필터 및 경보를 생성할 것을 권장합니다. VPCs 이러한 변경 사항을 모니터링하면 인증 및 권한 부여 제어가 영향을 받지 않게 하는 데 도움이 됩니다.
이 검사를 실행하기 위해 Security Hub는 사용자 지정 로직을 사용하여 제어 4.14에 규정된 정확한 감사 단계를 수행합니다. CIS AWS 파운데이션 벤치마크 v1.4.0.
참고
Security Hub는 이 컨트롤에 대한 검사를 수행할 때 현재 계정에서 사용하는 CloudTrail 트레일을 찾습니다. 이러한 추적은 다른 계정에 속한 조직 추적일 수 있습니다. 다중 리전 추적은 다른 리전을 기반으로 할 수도 있습니다.
검사 결과 다음과 같은 경우에 FAILED 조사 결과가 나타납니다.
추적이 구성되어 있지 않습니다.
현재 리전에 있고 현재 계정이 소유하고 있는 사용 가능한 추적은 제어 요구 사항을 충족하지 않습니다.
검사 결과 다음과 같은 경우 NO_DATA의 제어 상태가 됩니다.
다중 리전 추적은 다른 리전을 기반으로 합니다. Security Hub는 추적의 기반이 되는 리전에서만 조사 결과를 생성할 수 있습니다.
다중 리전 추적은 다른 계정에 속합니다. Security Hub는 추적을 소유한 계정에 대한 조사 결과만 생성할 수 있습니다.
조직 내 여러 계정의 이벤트를 기록하려면 조직 추적을 사용하는 것이 좋습니다. 조직 트레일은 기본적으로 다중 지역 트레일이며 다음을 통해서만 관리할 수 있습니다. AWS Organizations 관리 계정 또는 CloudTrail 위임된 관리자 계정 조직 추적을 사용하면 조직 구성원 계정에서 평가된 제어에 대한
NO_DATA의 제어 상태가 나타납니다. 구성원 계정에서 Security Hub는 구성원 소유 리소스에 대한 조사 결과만 생성합니다. 조직 추적과 관련된 조사 결과는 리소스 소유자 계정에서 생성됩니다. 크로스 리전 집계 활성화를 통해 Security Hub 위임 관리자 계정에서 이러한 조사 결과를 확인할 수 있습니다.
경보의 경우 현재 계정이 참조된 Amazon SNS 주제를 소유하거나 전화를 ListSubscriptionsByTopic 통해 Amazon SNS 주제에 액세스할 수 있어야 합니다. 그렇지 않으면 Security Hub에서 제어에 대한 WARNING 조사 결과를 생성합니다.
이제 Security Hub가 와 통합되었습니다
이 제어를 전달하려면 다음 단계에 따라 Amazon SNS 주제를 생성하십시오. AWS CloudTrail 트레일, 메트릭 필터, 메트릭 필터용 알람.
아마존 SNS 주제를 생성하세요. 지침은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오. 모든 CIS 경보를 수신하는 주제를 생성하고 해당 주제에 대한 구독을 하나 이상 생성하십시오.
모두에게 적용되는 CloudTrail 트레일을 만드세요. AWS 리전. 자세한 지침은 트레일 만들기를 참조하십시오. AWS CloudTrail 사용자 가이드.
CloudTrail 트레일에 연결하는 로그 CloudWatch 로그 그룹 이름을 기록해 두십시오. 다음 단계에서 해당 로그 그룹에 대한 지표 필터를 생성합니다.
지표 필터를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹에 대한 지표 필터 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 패턴 정의, 패턴 필터링
{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}지표 네임스페이스
LogMetrics지표 값
1기본값
0필터를 기반으로 경보를 생성합니다. 지침은 Amazon 사용 CloudWatch 설명서의 로그 그룹 지표 필터를 기반으로 CloudWatch 경보 생성을 참조하십시오. 다음 값을 사용합니다.
필드 값 조건, 임계값 유형
정적
언제든지
your-metric-name는...크거나 같음
…보다
1
[CloudWatch.15] CloudWatch 경보에는 지정된 동작이 구성되어 있어야 합니다.
범주: 감지 > 감지 서비스
관련 요구 사항: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 IR-4 (1), .800-53.r5 IR-4 (5), NIST .800-53.r5 SI-2, .800-53.r5 SI-20, .800-53.r5 SI-4 (12), .800-53.r5 SI-4 (5) NIST NIST NIST NIST
심각도: 높음
리소스 유형: AWS::CloudWatch::Alarm
AWS Config 규칙: cloudwatch-alarm-action-check
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
파라미터가 |
불 |
사용자 지정할 수 없음 |
|
|
|
파라미터가 |
불 |
|
|
|
|
파라미터가 |
불 |
|
|
이 컨트롤은 Amazon CloudWatch 경보에 해당 ALARM 상태에 대해 구성된 작업이 하나 이상 있는지 확인합니다. ALARM 상태에 대해 활성화된 작업이 경보에 없으면 제어가 실패합니다. 필요에 따라 사용자 지정 파라미터 값을 포함시켜 INSUFFICIENT_DATA 또는 OK 상태에 대한 경보 작업도 요구할 수 있습니다.
참고
Security Hub는 CloudWatch 메트릭 경보를 기반으로 이 제어를 평가합니다. 메트릭 경보는 지정된 동작이 구성된 복합 경보의 일부일 수 있습니다. 컨트롤은 다음과 같은 FAILED 경우에 결과를 생성합니다.
지정된 작업은 메트릭 경보용으로 구성되지 않았습니다.
메트릭 경보는 지정된 동작이 구성된 복합 경보의 일부입니다.
이 컨트롤은 CloudWatch 경보에 경보 조치가 구성되어 있는지 여부에 초점을 맞추는 반면, CloudWatch.17은 CloudWatch 경보 조치의 활성화 상태에 중점을 둡니다.
모니터링된 지표가 정의된 임계값을 벗어날 경우 자동으로 경고하도록 CloudWatch 경보 조치를 취하는 것이 좋습니다. 모니터링 경보를 통해 비정상적인 활동을 식별하고 경보가 특정 상태로 전환될 때 보안 및 운영 문제에 신속하게 대응할 수 있습니다. 가장 일반적인 유형의 경보 동작은 Amazon 단순 알림 서비스 (AmazonSNS) 주제로 메시지를 보내 한 명 이상의 사용자에게 알리는 것입니다.
이제 Security Hub가 와 통합되었습니다
경보가 지원하는 CloudWatch 작업에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서의 알람 작업을 참조하십시오.
[CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.
범주: 식별 > 로깅
관련 요구 사항: NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-12
심각도: 중간
리소스 유형: AWS::Logs::LogGroup
AWS Config 규칙: cw-loggroup-retention-period-check
스케줄 유형: 주기적
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
CloudWatch 로그 그룹의 최소 보존 기간 (일) |
Enum |
|
|
이 컨트롤은 Amazon CloudWatch 로그 그룹의 보존 기간이 지정된 일수 이상인지 여부를 확인합니다. 보존 기간이 지정된 수 미만인 경우 제어가 실패합니다. 보존 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 365일을 사용합니다.
CloudWatch 로그는 모든 시스템, 애플리케이션 및 기타 모든 로그의 로그를 중앙 집중화합니다. AWS 서비스 확장성이 뛰어난 단일 서비스에서. CloudWatch 로그를 사용하여 Amazon Elastic Compute Cloud (EC2) 인스턴스에서 로그 파일을 모니터링, 저장 및 액세스할 수 있습니다. AWS CloudTrail, 아마존 루트 53 및 기타 소스. 로그를 1년 이상 보관하면 로그 보존 표준을 준수하는 데 도움이 될 수 있습니다.
이제 Security Hub가 와 통합되었습니다
로그 보존 설정을 구성하려면 Amazon CloudWatch 사용 설명서의 CloudWatch Logs의 로그 데이터 보존 변경을 참조하십시오.
[CloudWatch.17] CloudWatch 알람 조치를 활성화해야 합니다.
범주: 감지 > 감지 서비스
관련 요구 사항: NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2, .800-53.r5 SI-4 (12) NIST
심각도: 높음
리소스 유형: AWS::CloudWatch::Alarm
AWS Config 규칙: cloudwatch-alarm-action-enabled-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 CloudWatch 알람 동작이 활성화되었는지 확인합니다 (true로 ActionEnabled 설정해야 함). 알람에 대한 알람 동작이 비활성화되면 제어가 실패합니다. CloudWatch
참고
Security Hub는 CloudWatch 메트릭 경보를 기반으로 이 제어를 평가합니다. 메트릭 경보는 경보 동작이 활성화된 복합 경보의 일부일 수 있습니다. 컨트롤은 다음과 같은 FAILED 경우에 결과를 생성합니다.
지정된 작업은 메트릭 경보용으로 구성되지 않았습니다.
메트릭 경보는 경보 동작이 활성화된 복합 경보의 일부입니다.
이 컨트롤은 CloudWatch 알람 동작의 활성화 상태에 초점을 맞추는 반면, CloudWatch.15는 경보에 ALARM 조치가 구성되어 있는지 여부에 중점을 둡니다. CloudWatch
경보 작업은 모니터링된 지표가 정의된 임계값을 벗어나면 자동으로 경고합니다. 경보 동작이 비활성화되면 경보 상태가 변경될 때 아무 작업도 실행되지 않으며 모니터링되는 지표의 변경에 대한 알림도 받지 않습니다. 보안 및 운영 문제에 신속하게 대응할 수 있도록 CloudWatch 경보 조치를 활성화하는 것이 좋습니다.
이제 Security Hub가 와 통합되었습니다
CloudWatch 알람 동작을 활성화하려면 (콘솔)
에서 CloudWatch 콘솔을 엽니다 https://console.aws.amazon.com/cloudwatch/
. 탐색 창에서 경보 아래의 모든 경보를 선택합니다.
동작을 활성화할 경보를 선택합니다.
작업에서 경보 작업-신규를 선택한 다음 활성화를 선택합니다.
CloudWatch 알람 작업 활성화에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서의 알람 작업을 참조하십시오.
