AWS CloudTrail 控制

這些控制項與資 CloudTrail 源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

[CloudTrail.1] CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤

相關要求：獨聯體 AWS 基金會基準 V1.2.0/2.1，獨聯體 AWS 基礎基準測試版 1.4.0/3.1，獨聯體 AWS 基礎基準指標 V3.0.0/3.1，Nist.800-53.R5 交流 -2（4），-2, 尼斯 .800-53.R5 澳大利亞幣 -3, 日本 6 星期五 (3), 尼斯. 800-53.R5 (4), 尼斯. 800-53.R5 (5), 固定 -53.R5 的鈣-7, 定義 -53.R5 SC-7 (9), (20), 日本七七 (8), 日本五月五日八八 (22) AU-10 AU-12 AU-14

類別：識別 > 記錄日誌

嚴重性：高

資源類型：AWS::::Account

AWS Config 規則：multi-region-cloudtrail-enabled

排程類型：定期

參數：

• readWriteType：ALL（不可定制）

  includeManagementEvents：true（不可定制）

此控制項會檢查是否有至少一個多區域 AWS CloudTrail 追蹤可擷取讀取和寫入管理事件。如果 CloudTrail 停用或至少沒有一個 CloudTrail 追蹤可擷取讀取和寫入管理事件，則控制項會失敗。

AWS CloudTrail 記錄您帳戶的 AWS API 呼叫，並將記錄檔傳送給您。記錄的信息包括以下信息：

• API 發起人的身分

• API 呼叫的時間

• API 發起人的來源 IP 地址

• 請求參數

• 傳回的回應元素 AWS 服務

CloudTrail 提供帳戶 AWS API 呼叫的歷史記錄，包括從 AWS SDK AWS Management Console、命令列工具進行的 API 呼叫。歷史記錄還包括來自更高級別的 API 調用， AWS 服務 例如 AWS CloudFormation.

透過 CloudTrail 啟用安全性分析、資源變更追蹤和法規遵循稽核所產生的 AWS API 呼叫歷史記錄。多區域線索也提供了下列優勢。

• 多區域線索可協助偵測在未使用區域中發生的未預期活動。

• 多區域線索可確保根據預設，為線索啟用全域服務記錄日誌。全域服務事件記錄會記錄 AWS 全域服務所產生的事件。

• 對於多區域追蹤，所有讀取和寫入作業的 CloudTrail 管理事件可確保. AWS 帳戶

依預設，使用建立的 CloudTrail 系統線為 AWS Management Console 多區域系統線。

修補

若要在中建立新的多區域系統線 CloudTrail，請參閱《AWS CloudTrail 使用指南》中的〈建立系統線〉。使用下列的值：

欄位	Value
其他設定, 記錄檔驗證	已啟用
選擇記錄事件、管理事件、API 活動	讀取和寫入。清除排除項的核取方塊。

若要更新現有的追蹤，請參閱《使用指南》中的AWS CloudTrail 〈更新追蹤〉。在管理事件中，針對 API 活動，選擇讀取和寫入。

[CloudTrail.2] CloudTrail 應啟用靜態加密

相關要求：PCI DSS v3.2.1/3.4，獨聯體 AWS 基礎基準 v1.2.0/2.7，獨聯體 AWS 基礎基準測試 v1.4.0/3.7，獨聯體 AWS 基礎基準測試 V3.0.0/3.5，Nist.800-53.R5 澳洲 9，日本七七 (10), 日本七星期七 (10), 西班牙第七 (6) SC-13 SC-28 SC-28

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::CloudTrail::Trail

AWS Config 規則：cloud-trail-encryption-enabled

排程類型：定期

參數：無

此控制項會檢查 CloudTrail 是否設定為使用伺服器端加密 (SSE) AWS KMS key 加密。如果未定義，KmsKeyId則控制項會失敗。

若要為敏感 CloudTrail 記錄檔提供額外的安全性，您應該使用伺服器端加密搭配 AWS KMS keys (SSE-KMS) 來進行靜態加密的 CloudTrail 記錄檔。請注意，根據預設，傳送 CloudTrail 到儲存貯體的日誌檔會使用 Amazon 伺服器端加密使用 Amazon S3 受管加密金鑰 (SSE-S3) 進行加密。

修補

若要為 CloudTrail 記錄檔啟用 SSE-KMS 加密，請參閱使用AWS CloudTrail 者指南中的更新追蹤以使用 KMS 金鑰。

[CloudTrail.3] 至少應啟用一個 CloudTrail 軌跡

相關要求：投資產管理系統 DSS v3.2.1/10.1, 投資產管理系統 DSS V3.2.1/10.2.2, 投資管理系統 DSS V3.2.1/10.2.3, 投資管理系統 DSS V3.2.1/10.2.4, 投資管理系統 DSS V3.2.1/10.2.5, PCI V3.2.1/10.3.2, 投資管理系統 DSS v3.2.1/10.3.3, 投資管理系統 DSS V3.2.1/10.3.5, 投資管理資源管理系統 V3.2.1/10.3.5, 支援資產管理系統 V3.2.1/10.3.6

類別：識別 > 記錄日誌

嚴重性：高

資源類型：AWS::::Account

AWS Config 規則：cloudtrail-enabled

排程類型：定期

參數：無

此控制項會檢查您的 AWS 帳戶. AWS CloudTrail 如果您的帳戶至少沒有啟用一個 CloudTrail 追蹤，則控制項會失敗。

但是，某些 AWS 服務並未啟用所有 API 和事件的記錄功能。除了CloudTrail 支援的服務與整合中，您應該實作任何其他稽核追蹤， CloudTrail 並檢閱每項服務的說明文件。

修補

若要開始使用 CloudTrail 並建立系統線，請參閱《使用指南》中的 AWS CloudTrail 〈入門AWS CloudTrail使用〉自學課程。

[CloudTrail.4] 應啟用 CloudTrail 記錄檔驗證

相關要求：PCI DSS V3.2.1/10.5.2，PCI DSS V3.2.1/10.5.5，獨聯體基礎基準測試 1.2.0/2.2，獨聯體 AWS 基礎基準測試版 1.4.0/3.2，獨聯體 AWS 基礎基準測試 3.0.0/3.2，), 尼斯 .800-53.R5 四七 (7) AWS

類別:資料保護 > 資料完整性

嚴重性：低

資源類型：AWS::CloudTrail::Trail

AWS Config 規則：cloud-trail-log-file-validation-enabled

排程類型：定期

參數：無

此控制項會檢查記錄檔完整性驗證是否已在 CloudTrail追蹤上啟用。

CloudTrail 日誌檔驗證會建立數位簽章的摘要檔案，其中包含 CloudTrail 寫入 Amazon S3 之每個日誌的雜湊。您可以使用這些摘要檔來判斷記錄檔在 CloudTrail 傳送記錄檔之後是否已變更、刪除或未變更。

Security Hub 建議您在所有追蹤上啟用檔案驗證。記錄檔驗證可提供記錄檔的其他完整性 CloudTrail 檢查。

修補

若要啟用 CloudTrail 記錄檔驗證，請參閱《使用指南》 CloudTrail中的〈啟AWS CloudTrail 用記錄檔完整性驗證〉。

[CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch 日誌整合

相關要求：PCI DSS V3.2.1/10.5.3，獨聯體 AWS 基礎基準測試版 1.2.0/2.4，獨聯體 AWS 基礎基準測試版 1.4.0/3.4，Nist.800-53.R5 交流 -2（4），NIS.800-53.R5 交流 -4（26），澳洲上午 2 號, 尼斯 .800-53.R5 澳大利亞 6 (1), 尼斯 .800-53.R5 澳大利亞 6 (3), 尼斯 .800-53.R5 澳洲 6 (4), 卡 -53.53.5 澳大利亞 6 (5), 尼斯 SC-7 (9), 尼斯. 800-53.R5 SI-20, 尼斯. AU-10 AU-125), 尼斯 .800-53.R5 四七 (8)

類別：識別 > 記錄日誌

嚴重性：低

資源類型：AWS::CloudTrail::Trail

AWS Config 規則：cloud-trail-cloud-watch-logs-enabled

排程類型：定期

參數：無

此控制項會檢查 CloudTrail 追蹤是否設定為將記錄檔傳送至 CloudWatch 記錄檔。如果追蹤的CloudWatchLogsLogGroupArn屬性為空，則控制項會失敗。

CloudTrail 記錄在指定帳戶中進行的 AWS API 呼叫。記錄的信息包括以下內容：

• API 呼叫者的身分

• API 呼叫的時間

• API 呼叫者的來源 IP 位址

• 請求參數

• 由返回的響應元素 AWS 服務

CloudTrail 使用 Amazon S3 進行日誌檔案儲存和交付。您可以擷取指定 S3 儲存貯體中的 CloudTrail 日誌以進行長期分析。若要執行即時分析，您可以設定 CloudTrail 將記錄檔傳送至 CloudWatch 記錄檔。

對於在帳戶中所有區域中啟用的追蹤，請將所有這些區域的記錄檔 CloudTrail 傳送至 CloudWatch 記錄日誌群組。

Security Hub 建議您將 CloudTrail 記錄檔傳送至記 CloudWatch 錄檔。請注意，此建議旨在確保帳戶活動被捕獲、監控並適當地警告。您可以使用 CloudWatch 日誌與您的 AWS 服務. 此建議並不排除使用不同的解決方案。

將記 CloudTrail 錄檔傳送至 CloudWatch 記錄可根據使用者、API、資源和 IP 位址，加速即時和歷史活動記錄。您可以使用此方法針對異常或敏感性帳戶活動建立警示和通知。

修補

若要 CloudTrail 與 CloudWatch 記錄檔整合，請參閱AWS CloudTrail 使用指南中的〈將事件傳送至 CloudWatch 記錄檔〉。

[CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體無法公開存取

相關要求：獨聯體 AWS 基金會基準 v1.2.0/2.3，獨聯體基金會基準 v1.4.0/3.3 AWS

類別：識別 > 記錄日誌

嚴重性：嚴重

資源類型：AWS::S3::Bucket

AWS Config 規則：無 (自訂 Security Hub 規則)

排程型態：定期與變更觸發

參數：無

CloudTrail 記錄您帳戶中發出的每個 API 調用的記錄。這些日誌檔案會存放在 S3 儲存貯體中。CIS 建議將 S3 儲存貯體政策或存取控制清單 (ACL) 套用至 CloudTrail 記錄檔的 S3 儲存貯體，以防止公開存取 CloudTrail 日誌。允許公開存取 CloudTrail 記錄內容，可能有助於對手識別受影響帳戶使用或設定中的弱點。

若要執行此檢查，Security Hub 首先使用自訂邏輯來尋找存放 CloudTrail 日誌的 S3 儲存貯體。然後，它會使用 AWS Config 受管規則來檢查儲存貯體是否可公開存取。

如果您將日誌彙總到單一集中式 S3 儲存貯體，則 Security Hub 只會針對集中式 S3 儲存貯體所在的帳戶和區域執行檢查。對於其他帳戶和區域，控制項狀態為 [無資料]。

如果值區可公開存取，則檢查會產生失敗的發現項目。

修補

若要封鎖 CloudTrail S3 儲存貯體的公開存取，請參閱 Amazon 簡單儲存服務使用者指南中的設定 S3 儲存貯體的區塊公共存取設定。選取所有四個 Amazon S3 區塊公開存取設定。

[CloudTrail.7] 確保 S3 儲存貯體上已啟用 S3 儲存 CloudTrail 貯體存取日誌

相關要求：獨聯體 AWS 基金會基準 v1.2.0/2.6，獨聯體基準基準 v1.4.0/3.6，獨聯體 AWS 基金會基準 v3.0.0/3.4 AWS

類別：識別 > 記錄日誌

嚴重性：低

資源類型：AWS::S3::Bucket

AWS Config 規則：無 (自訂 Security Hub 規則)

排程類型：定期

參數：無

S3 儲存貯體存取日誌會產生一個日誌，其中包含對 S3 儲存貯體發出的每個請求的存取記錄。存取日誌記錄包含要求的詳細資訊，例如要求類型、要求工作負載中指定的資源，以及要求的處理時間與日期。

CIS 建議您在 CloudTrail S3 儲存貯體上啟用儲存貯體存取記錄。

透過在目標 S3 儲存貯體上啟用 S3 儲存貯體記錄，您可以擷取可能影響目標儲存貯體中物件的所有事件。設定日誌放在單獨的儲存貯體中，可存取日誌資訊，這對安全性和事件反應工作流程極有幫助。

若要執行此檢查，Security Hub 會先使用自訂邏輯來尋找儲存記錄 CloudTrail 檔的值區，然後使用 AWS Config 受管理規則來檢查是否已啟用記錄。

如果 AWS 帳戶 將多個日誌檔 CloudTrail 交付到單一目的地 Amazon S3 儲存貯體，Security Hub 只會針對該儲存貯體所在區域中的目標儲存貯體評估此控制。這簡化了您的發現。但是，您應該 CloudTrail 在將日誌傳遞到目的地值區的所有帳戶中開啟。對於保留目標值區的帳戶以外的所有帳戶，控制狀態為「無資料」。

如果值區可公開存取，則檢查會產生失敗的發現項目。

修補

若要為 CloudTrail S3 儲存貯體啟用伺服器存取日誌，請參閱 Amazon 簡單儲存服務使用者指南中的啟用 Amazon S3 伺服器存取日誌。

[CloudTrail.9] CloudTrail 小徑應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::CloudTrail::Trail

AWS Config 規則:tagged-cloudtrail-trail(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
requiredTagKeys	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合AWS 要求的標籤清單	No default value

此控制項會檢查 AWS CloudTrail 追蹤是否具有標籤，其中包含參數中定義的特定索引鍵requiredTagKeys。如果軌跡沒有任何標籤鍵或沒有在參數中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤索引鍵是否存在，如果追蹤未使用任何索引鍵加上標籤，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤，它包含索引鍵和選用值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。當您使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 做為授權策略，該策略會根據標籤定義權限。您可以將標籤附加到 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或單獨的政策集。您可以設計這些 ABAC 原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱 ABAC 的用途為 AWS何？ 在 IAM 使用者指南中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳做法，AWS 請參閱 AWS 一般參考.

修補

若要將標籤新增至 CloudTrail 追蹤，請參閱 AWS CloudTrail API 參考AddTags中的。