As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para CloudTrail
Esses controles do Security Hub avaliam o AWS CloudTrail serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.1, CIS AWS Foundations Benchmark v1.4.0/3.1, CIS AWS Foundations Benchmark v3.0.0/3.1, NIST.800-53.r5 AC-2 (4), (26), (9), (9), NIST.800-53.r5 AC-4 (22) NIST.800-53.r5 AC-6 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-14(1), NIST.800-53.r5 CA-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), NIST.800-53.r5 SA-8
Categoria: Identificar > Registro em log
Severidade: alta
Tipo de recurso: AWS::::Account
Regra do AWS Config : multi-region-cloudtrail-enabled
Tipo de programação: Periódico
Parâmetros:
-
readWriteType
:ALL
(não personalizável)includeManagementEvents
:true
(não personalizável)
Esse controle verifica se há pelo menos uma AWS CloudTrail trilha multirregional que captura eventos de gerenciamento de leitura e gravação. O controle falhará se CloudTrail estiver desativado ou se não houver pelo menos uma CloudTrail trilha que capture eventos de gerenciamento de leitura e gravação.
AWS CloudTrail grava AWS API chamadas para sua conta e entrega arquivos de log para você. As informações registradas incluem as seguintes informações:
-
Identidade do API chamador
-
Hora da API chamada
-
Endereço IP de origem do API chamador
-
Parâmetros de solicitação
-
Elementos de resposta retornados pelo AWS service (Serviço da AWS)
CloudTrail fornece um histórico de AWS API chamadas para uma conta, incluindo API chamadas feitas a partir das ferramentas de linha de comando AWS Management Console AWS SDKs,,. O histórico também inclui API chamadas de nível superior Serviços da AWS , como. AWS CloudFormation
O histórico de AWS API chamadas produzido pela CloudTrail permite análise de segurança, rastreamento de alterações de recursos e auditoria de conformidade. As trilhas de várias regiões também oferecem os seguintes benefícios.
-
A trilha de várias regiões ajuda a detectar atividades inesperadas que ocorram em regiões não utilizadas de outra forma.
-
Uma trilha de várias regiões garante que o registro em log de eventos do serviço global esteja habilitado para uma trilha por padrão. O registro global de eventos de serviços registra eventos gerados por serviços AWS globais.
-
Para uma trilha multirregional, os eventos de gerenciamento de todas as operações de leitura e gravação garantem que as operações de gerenciamento de CloudTrail registros em todos os recursos em uma Conta da AWS.
Por padrão, as CloudTrail trilhas criadas usando o AWS Management Console são trilhas multirregionais.
Correção
Para criar uma nova trilha multirregional em CloudTrail, consulte Criação de uma trilha no Guia do AWS CloudTrail usuário. Use os seguintes valores:
Campo | Valor |
---|---|
Configurações adicionais, validação do arquivo de log |
Habilitado |
Escolha eventos de registro, eventos de gerenciamento, API atividade |
Ler e Gravar. Desmarque as caixas de seleção para exclusões. |
Para atualizar uma trilha existente, consulte Atualizar uma trilha no Guia do usuário do AWS CloudTrail . Em Eventos de gerenciamento, para APIatividade, escolha Ler e Gravar.
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
Requisitos relacionados: PCI DSS v3.2.1/3.4, Foundations Benchmark v1.2.0/2.7, CIS AWS Foundations Benchmark v1.4.0/3.7, CIS AWS Foundations Benchmark v3.0.0/3.5, (1), 3, 8, 8 NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9 (1), CIS AWS (10), .800-53.r5 SI-7 (6), v4.0.1/10.3.2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST PCI DSS
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::CloudTrail::Trail
Regra do AWS Config : cloud-trail-encryption-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se CloudTrail está configurado para usar a criptografia do lado do servidor ()SSE. AWS KMS key O controle falha se KmsKeyId
não estiver definido.
Para uma camada adicional de segurança para seus arquivos de CloudTrail log confidenciais, você deve usar criptografia do lado do servidor com AWS KMS keys (SSE-KMS) para seus arquivos de CloudTrail log para criptografia em repouso. Observe que, por padrão, os arquivos de log entregues CloudTrail aos seus buckets são criptografados pela criptografia do lado do servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (-S3). SSE
Correção
Para ativar SSE a KMS criptografia para arquivos de CloudTrail log, consulte Atualizar uma trilha para usar uma KMS chave no Guia do AWS CloudTrail usuário.
[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada
Requisitos relacionados: PCI DSS v3.2.1/10.1, PCI DSS v3.2.1/10.2.1, v3.2.1/10.2.2, v3.2.1/10.2.3, v3.2.1/10.2.4, v3.2.1/10.2.5, v3.2.1/10.2.6, v3.2.1/10.2.7, PCI DSS v3.2.1/10.3.1, v3.2.1/10.3.2, PCI DSS v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.5,, PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCI DSS PCIDSSv3.2.1/10.3.6, v4.0.1/10.2.1 PCI DSS
Categoria: Identificar > Registro em log
Severidade: alta
Tipo de recurso: AWS::::Account
Regra do AWS Config : cloudtrail-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se uma AWS CloudTrail trilha está habilitada no seu Conta da AWS. O controle falhará se sua conta não tiver pelo menos uma CloudTrail trilha ativada.
No entanto, alguns AWS serviços não permitem o registro de todos APIs os eventos. Você deve implementar quaisquer trilhas de auditoria adicionais além de CloudTrail revisar a documentação de cada serviço em Serviços e Integrações CloudTrail Suportados.
Correção
Para começar CloudTrail e criar uma trilha, consulte o AWS CloudTrail tutorial Introdução no Guia do AWS CloudTrail usuário.
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
Requisitos relacionados: PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/10.5.5, Foundations Benchmark v1.2.0/2.2, Foundations Benchmark v1.4.0/3.2, CIS AWS Foundations Benchmark v3.0.0/3.2, .800-53.r5 AU-9, .800-53.r5 SI-4, CIS AWS .800-53.r5 SI-7 (1), .800-53.r5 SI-7 (3), CIS AWS .800-53.r5 r5 SI-7 (7), v4.0.1/10.3.2 NIST NIST NIST NIST NIST PCI DSS
Categoria: Proteção de dados > Integridade dos dados
Severidade: baixa
Tipo de recurso: AWS::CloudTrail::Trail
Regra do AWS Config : cloud-trail-log-file-validation-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se a validação da integridade do arquivo de log está habilitada em uma CloudTrail trilha.
CloudTrail a validação do arquivo de log cria um arquivo de resumo assinado digitalmente que contém um hash de cada log CloudTrail gravado no Amazon S3. Você pode usar esses arquivos de resumo para determinar se um arquivo de log foi alterado, excluído ou inalterado após a CloudTrail entrega do log.
O Security Hub recomenda que você ative a validação de arquivos em todas as trilhas. A validação do arquivo de log fornece verificações adicionais de integridade dos CloudTrail registros.
Correção
Para ativar a validação do arquivo de CloudTrail log, consulte Habilitando a validação da integridade do arquivo de log CloudTrail no Guia AWS CloudTrail do usuário.
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
Requisitos relacionados: PCI DSS v3.2.1/10.5.3, Foundations Benchmark v1.2.0/2.4, CIS AWS Foundations Benchmark v1.4.0/3.4, NIST.800-53.r5 AC-2 (4), CIS AWS (26), (9),, (9), .800-53.r5 SI-20, .800-53.r5 SI-3 NIST.800-53.r5 AC-4 (8), NIST.800-53.r5 AC-6 .800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 AU-7(1), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-4 (5), .800-53.5r SI-7 (8) NIST NIST NIST NIST
Categoria: Identificar > Registro em log
Severidade: baixa
Tipo de recurso: AWS::CloudTrail::Trail
Regra do AWS Config : cloud-trail-cloud-watch-logs-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se as CloudTrail trilhas estão configuradas para enviar registros para o CloudWatch Logs. O controle falhará se a propriedade CloudWatchLogsLogGroupArn
da trilha estiver vazia.
CloudTrail grava AWS API chamadas feitas em uma determinada conta. As informações gravadas incluem o seguinte:
-
A identidade do API chamador
-
A hora da API chamada
-
O endereço IP de origem do API chamador
-
Parâmetros de solicitação
-
Os elementos de resposta retornados pelo AWS service (Serviço da AWS)
CloudTrail usa o Amazon S3 para armazenamento e entrega de arquivos de log. Você pode capturar CloudTrail registros em um bucket S3 especificado para análise de longo prazo. Para realizar análises em tempo real, você pode configurar o CloudTrail envio de registros para o CloudWatch Logs.
Para uma trilha ativada em todas as regiões de uma conta, CloudTrail envia arquivos de registro de todas essas regiões para um grupo de CloudWatch registros de registros.
O Security Hub recomenda que você envie CloudTrail registros para o CloudWatch Logs. Observe que essa recomendação tem como objetivo garantir que a atividade da conta seja capturada, monitorada e devidamente alertada. Você pode usar o CloudWatch Logs para configurar isso com seu Serviços da AWS. Essa recomendação não impede o uso de uma solução diferente.
O envio de CloudTrail CloudWatch registros para o Logs facilita o registro histórico e em tempo real de atividades com base no usuárioAPI, no recurso e no endereço IP. Você pode usar essa abordagem para estabelecer alertas e notificações de atividades anormais ou confidenciais da conta.
Correção
Para fazer a integração CloudTrail com o CloudWatch Logs, consulte Enviar eventos para o CloudWatch Logs no Guia AWS CloudTrail do usuário.
[CloudTrail.6] Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.3, Foundations Benchmark v1.4.0/3.3, CIS AWS v4.0.1/1.4.4 PCI DSS
Categoria: Identificar > Registro em log
Severidade: crítica
Tipo de recurso: AWS::S3::Bucket
AWS Config regra: Nenhuma (regra personalizada do Security Hub)
Tipo de programação: periódico e acionado por alterações
Parâmetros: nenhum
CloudTrail registra um registro de todas as API chamadas feitas em sua conta. Esses arquivos de log são armazenados em um bucket do S3. CISrecomenda que a política de bucket do S3, ou lista de controle de acesso (ACL), seja aplicada ao bucket do S3 que CloudTrail registra para impedir o CloudTrail acesso público aos registros. Permitir o acesso público ao conteúdo do CloudTrail registro pode ajudar um adversário a identificar pontos fracos no uso ou na configuração da conta afetada.
Para executar essa verificação, o Security Hub primeiro usa a lógica personalizada para procurar o bucket do S3 em que seus CloudTrail registros estão armazenados. Em seguida, ele usa as regras AWS Config gerenciadas para verificar se o bucket está acessível ao público.
Se você agregar seus registros em um único bucket do S3 centralizado, o Security Hub executará a verificação somente na conta e na região em que o bucket do S3 centralizado está localizado. Para outras contas e regiões, o status do controle é Sem dados.
Se o bucket for acessível ao público, a verificação gerará uma descoberta com falha.
Correção
Para bloquear o acesso público ao seu bucket do CloudTrail S3, consulte Como definir configurações de bloqueio de acesso público para seus buckets do S3 no Guia do usuário do Amazon Simple Storage Service. Selecione todas as quatro configurações de bloqueio de acesso público do Amazon S3.
[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.6, Foundations Benchmark v1.4.0/3.6, CIS AWS Foundations Benchmark v3.0.0/3.4, v4.0.1/10.2.1 CIS AWS PCI DSS
Categoria: Identificar > Registro em log
Severidade: baixa
Tipo de recurso: AWS::S3::Bucket
AWS Config regra: Nenhuma (regra personalizada do Security Hub)
Tipo de programação: Periódico
Parâmetros: nenhum
O registro de acesso ao bucket do S3 gera um log que contém os registros de acesso para cada solicitação feita no bucket do S3. Um registro contém detalhes sobre a solicitação, tais como o tipo da solicitação, os recursos especificados na solicitação e a data e hora em que a solicitação foi processada.
CISrecomenda que você habilite o registro de acesso ao bucket no bucket do CloudTrail S3.
Ao habilitar o registro em log do bucket do S3 em buckets do S3 de destino, é possível capturar todos os eventos que podem afetar objetos em um bucket de destino. Configurar os logs para serem colocados em um bucket separado permite o acesso às informações de log, o que pode ser útil em fluxos de resposta a incidentes e segurança.
Para executar essa verificação, o Security Hub primeiro usa a lógica personalizada para procurar o bucket em que seus CloudTrail registros estão armazenados e, em seguida, usa a regra AWS Config gerenciada para verificar se o registro está ativado.
Se CloudTrail entregar arquivos de log de vários Contas da AWS em um único bucket Amazon S3 de destino, o Security Hub avalia esse controle somente em relação ao bucket de destino na região em que ele está localizado. Isso simplifica suas descobertas. No entanto, você deve ativar CloudTrail todas as contas que entregam registros ao bucket de destino. Para todas as contas, exceto aquela que contém o bucket de destino, o status do controle é Sem dados.
Correção
Para habilitar o registro de acesso ao servidor para seu bucket do CloudTrail S3, consulte Habilitar o registro de acesso ao servidor Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
[CloudTrail.9] CloudTrail trilhas devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::CloudTrail::Trail
Regra AWS Config : tagged-cloudtrail-trail
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos requisitos da AWS |
No default value
|
Esse controle verifica se uma AWS CloudTrail trilha tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a trilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a trilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma CloudTrail trilha, consulte AddTagsna AWS CloudTrail APIReferência.