Amazon CloudTrail 控件 - Amazon Security Hub
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪[CloudTrail.2] CloudTrail 应该启用静态加密[CloudTrail.3] CloudTrail 应该启用[CloudTrail.4] 应启用 CloudTrail 日志文件验证[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CloudTrail 控件

这些控制措施与 CloudTrail 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

相关要求:独联体 Amazon 基金会基准 v1.2.0/2.1、CIS 基金会基准 v1.4.0/3.1、nist.800-53.r5 AC-2 (4)、nist.800-53.r5 AC-4 (26)、nist.800-53.r5 AC-6 (9)、nist.800-53.r5 AU-10、nist.800-53.r5 AU-12、nist.800-53.r5、nist.800-800-800-800-800-53.r5 AU-2、nist.800-53.r5 AU-3、nist.800-53.r5 AU-6 (3)、nist.800-53.r5 AU-6 (4)、nist.800-53.r5 AU-14 (1)、nist.800-53.r5 CA-7、nist.800-53.r5 SC-7 (9),st.800-53.r5 SI-3 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、nist.800-53.r5 SA-8 (22)、nist.800-53.r5 SA-8 (22) Amazon

类别:识别 > 日志记录

严重性:

资源类型:AWS::::Account

Amazon Config 规则:multi-region-cloudtrail-enabled

计划类型:定期

参数:

  • readWriteTypeALL(不可自定义)

此控件检查是否至少有一条多区域 CloudTrail 跟踪。它还会检查其中至少一个追踪的 ExcludeManagementEventSources 参数是否为空。

Amazon CloudTrail 记录您的账户 Amazon 的 API 调用并将日志文件发送给您。记录的内容包括以下信息。

  • API 调用方的身份

  • API 调用的时间

  • API 调用方的源 IP 地址

  • 请求参数

  • 返回的响应元素 Amazon Web Service

CloudTrail 提供账户 Amazon 的 API 调用历史记录,包括通过、软件开发工具 Amazon 包 Amazon Web Services Management Console、命令行工具进行的 API 调用。历史记录还包括来自更高级别的 API 调用, Amazon Web Services 例如。 Amazon CloudFormation

生成的 Amazon API 调用历史记录 CloudTrail 支持安全分析、资源变更跟踪和合规性审计。多区域跟踪还提供以下好处。

  • 多区域跟踪有助于检测在其他本不应使用的区域中发生的意外活动。

  • 多区域跟踪可确保默认情况下为跟踪启用全局服务事件日志记录。全球服务事件日志记录记录 Amazon 全球服务生成的事件。

  • 对于多区域跟踪,所有读取和写入操作的管理事件可确保 CloudTrail 记录中所有资源的管理操作。 Amazon Web Services 账户

默认情况下,使用创建的 CloudTrail 跟踪 Amazon Web Services Management Console 是多区域跟踪。

修复

要在中创建新的多区域跟踪 CloudTrail,请参阅Amazon CloudTrail 用户指南中的创建跟踪。使用以下值:

Field Value

其他设置,日志文件验证

已启用

选择日志事件、管理事件、API 活动

。清除排除项的复选框。

要更新现有跟踪,请参阅 Amazon CloudTrail 用户指南中的更新跟踪。在管理事件中,对于 API 活动,选择读取写入

[CloudTrail.2] CloudTrail 应该启用静态加密

相关要求:PCI DSS v3.2.1/3.4、CIS 基金会基准 v1.2.0/2.7、CIS Amazon 基金会基准 v1.4.0/3.7、nist.800-53.r5 AU-9、nist.800-53.r5 CA-9 (1)、nist.800-53.r5 C Amazon M-3 (6)、nist.800-53.r5 SC-13、nist.800-53.r5、nist.800-53.r5 CA-9 (1)、nist.800-53.r5 (6)、nist.800-53.r5、nist.800-53.r5 5 SC-28、nist.800-53.r5 SC-28 (1)、nist.800-53.r5 SC-7 (10)、nist.800-53.r5 SI-7 (6)

类别:保护 > 数据保护 > 静态数据加密

严重性:

资源类型:AWS::CloudTrail::Trail

Amazon Config 规则:cloud-trail-encryption-enabled

计划类型:定期

参数:

此控件检查 CloudTrail 是否配置为使用服务器端加密 (SSE) Amazon KMS key 加密。如果 KmsKeyId 未定义,则控制失败。

为了增加敏感 CloudTrail 日志文件的安全性,您应该使用服务器端加密和 Amazon KMS keys (SSE-KMS) 对 CloudTrail 日志文件进行静态加密。请注意,默认情况下,传送 CloudTrail 到您的存储桶的日志文件由亚马逊服务器端加密,使用 Amazon S3 托管的加密密钥 (SSE-S3) 进行加密

修复

要为 CloudTrail 日志文件启用 SSE-KMS 加密,请参阅Amazon CloudTrail 用户指南中的更新跟踪以使用 KMS 密钥

[CloudTrail.3] CloudTrail 应该启用

相关要求:PCI DSS v3.2.1/10.1、PCI DSS v3.2.1/10.2.1、PCI DSS v3.2.1/10.2.2、PCI DSS v3.2.1/10.2.3、PCI DSS v3.2.1/10.2.4、PCI DSS v3.2.1/10.2.5、PCI DSS v3.2.1/10.2.6、PCI DSS v3.2.1/10.2.7、PCI DSS v3.2.1/10.3.1、PCI DSS v3.2.1/10.3.2、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6。

类别:识别 > 日志记录

严重性:

资源类型:AWS::::Account

Amazon Config 规则:cloudtrail-enabled

计划类型:定期

参数:

此控件可检查您的中 CloudTrail 是否已启用 Amazon Web Services 账户。如果您的账户至少没有一条 CloudTrail 跟踪,则控制失败。

但是,某些 Amazon 服务不允许记录所有 API 和事件。除了 “CloudTrail 支持的 CloudTrail 服务和集成” 中每项服务的文档之外,您还应实施任何其他审计跟踪。

修复

要开始使用 CloudTrail 和创建跟踪,请参阅Amazon CloudTrail 用户指南中的入门 Amazon CloudTrail 教程

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

相关要求:PCI DSS v3.2.1/10.5.2、PCI DSS v3.2.1/10.5.5、CIS 基金会基准 v1.2.0/2.2、CIS Amazon 基金会基准 v1.4.0/3.2、nist.800-53.r5 AU-9、nist.800-53.r5 SI-4、nist.800-53.r5 SI-7 (1)、nist.800-53.r5 SI-7 (1)、nist.800-53.r5 SI Amazon -7 (1)、sist.800-53.r5 -7 (3)、nist.800-53.r5 SI-7 (7)

类别:数据保护 > 数据完整性

严重性:

资源类型:AWS::CloudTrail::Trail

Amazon Config 规则:cloud-trail-log-file-validation-enabled

计划类型:定期

参数:

此控件检查是否在 CloudTrail跟踪上启用了日志文件完整性验证。

CloudTrail 日志文件验证会创建一个经过数字签名的摘要文件,其中包含 CloudTrail 写入 Amazon S3 的每个日志的哈希值。您可以使用这些摘要文件来确定日志文件在 CloudTrail 传送日志后是更改、删除还是未更改。

Security Hub 建议您对所有跟踪启用文件验证。日志文件验证可对 CloudTrail 日志进行额外的完整性检查。

修复

要启用 CloudTrail 日志文件验证,请参阅Amazon CloudTrail 用户指南 CloudTrail中的启用日志文件完整性验证

[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成

相关要求:PCI DSS v3.2.1/10.5.3、CIS 基金会基准 v1.2.0/2.4、CIS Amazon 基金会基准 v1.4.0/3.4、nist.800-53.r5 AC-2 (4)、nist.800-53.r5 AC-4 (26)、nist.800-53.r5 AC-6 (9)、nist.800-53.r5 AU-10、nist.800-53.r5、nist.800-53.r5 AC-6 (9)、nist.800-53.r5、nist.800-800-800-800-800-53.r5 AU-12、nist.800-53.r5 AU-2、nist.800-53.r5 AU-3、nist.800-53.r5 AU-6 (1)、nist.800-53.r5 AU-6 (3)、nist.800-53.r5 AU-6 (4)、nist.800-53.r5 AU-6 (5)、nist.800-53.r5 AU-6 (5),st.800-53.r5 AU-7 (1)、nist.800-53.r5 CA-7、nist.800-53.r5 SC-7 (9)、nist.800-53.r5 SI-20、nist.800-53.r5 SI-3 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 (20)、nist.800-53.r5 SI-4 (20) SI-4 ( Amazon 5)、nist.800-53.r5 SI-7 (8)

类别:识别 > 日志记录

严重性:

资源类型:AWS::CloudTrail::Trail

Amazon Config 规则:cloud-trail-cloud-watch-logs-enabled

计划类型:定期

参数:

此控件检查是否已将 CloudTrail 跟踪配置为向日志发送 CloudWatch 日志。如果跟踪的 CloudWatchLogsLogGroupArn 属性为空,则控制失败。

CloudTrail 记录在给定账户中进行的 Amazon API 调用。记录的信息包括以下内容:

  • API 调用者的身份

  • API 调用时间间

  • API 调用方的源 IP 地址

  • 请求参数

  • 返回的响应元素 Amazon Web Service

CloudTrail 使用 Amazon S3 进行日志文件存储和传输。您可以捕获指定 S3 存储桶中的 CloudTrail 日志以进行长期分析。要执行实时分析,您可以配置为将日志发送 CloudTrail 到 CloudWatch 日志。

对于在账户中所有区域启用的跟踪, CloudTrail 会将所有这些区域的日志文件发送到 CloudWatch 日志日志组。

Security Hub 建议您将 CloudTrail 日志发送到 CloudWatch 日志。请注意,此建议旨在确保捕获、监视账户活动并适当发出警报。你可以使用 CloudWatch Logs 来设置你的 Amazon Web Services。此建议并不排除使用不同的解决方案。

向 CloudTrail 日志发送 CloudWatch 日志便于根据用户、API、资源和 IP 地址进行实时和历史活动记录。您可以使用此方法为异常或敏感账户活动建立警报和通知。

修复

要 CloudTrail 与 CloudWatch 日志集成,请参阅Amazon CloudTrail 用户指南中的向 CloudWatch 日志发送事件

[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问

相关要求:独联体 Amazon 基金会基准 v1.2.0/2.3、CIS 基金会基准 v1.4.0/3.3 Amazon

类别:识别 > 日志记录

严重性:严重

资源类型:AWS::CloudTrail::Trail

Amazon Config 规则:无(自定义 Security Hub 规则)

计划类型:定期计划和触发变更

参数:

CloudTrail 记录在您的账户中进行的每个 API 调用。这些日志文件存储在 S3 存储桶中。CIS 建议将 S3 存储桶策略或访问控制列表 (ACL) 应用于 CloudTrail 记录的 S3 存储桶,以防止公众访问 CloudTrail 日志。允许公众访问 CloudTrail 日志内容可能有助于对手识别受影响账户使用或配置中的弱点。

要运行此检查,Security Hub 首先使用自定义逻辑来查找存储 CloudTrail 日志的 S3 存储桶。然后,它使用 Amazon Config 托管规则来检查存储桶是否可公开访问。

如果您将日志聚合到单个集中式 S3 存储桶中,则 Security Hub 仅针对集中式 S3 存储桶所在的账户和区域运行检查。对于其他账户和区域,控件状态为无数据

如果存储桶可公开访问,则检查会生成失败的调查发现。

修复

要阻止公众访问您的 CloudTrail S3 存储桶,请参阅《A mazon 简单存储服务用户指南》中的 “为您的 S3 存储桶配置阻止公开访问设置”。选择所有四个 Amazon S3 屏蔽公共访问权限。

[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录

相关要求:独联体 Amazon 基金会基准 v1.2.0/2.6、CIS 基金会基准 v1.4.0/3.6 Amazon

类别:识别 > 日志记录

严重性:

资源类型:AWS::CloudTrail::Trail

Amazon Config 规则:无(自定义 Security Hub 规则)

计划类型:定期

参数:

S3 存储桶访问日志记录会生成一个日志,其中包含对 S3 存储桶发出的每个请求的访问记录。访问日志记录包含与请求有关的详细信息,如请求类型、处理过的请求中指定的资源和请求的处理时间和日期。

CIS 建议您在 S3 存储桶上启用存储 CloudTrail 桶访问日志记录。

通过在目标 S3 存储桶上启用 S3 存储桶日志记录,您可以捕获可能影响目标存储桶中对象的所有事件。将日志配置为存放在单独的存储桶中可实现对日志信息的访问,这在安全和事故响应工作流程中非常有用。

要运行此检查,Security Hub 首先使用自定义逻辑查找存储 CloudTrail 日志的存储桶,然后使用 Amazon Config 托管规则检查是否启用了日志记录。

如果 Amazon Web Services 账户 将多个日志文件 CloudTrail 传送到单个目标 Amazon S3 存储桶,则 Security Hub 仅针对其所在地区的目标存储桶评估此控制权。这简化了结果。但是,您应该 CloudTrail 在所有将日志传送到目标存储桶的账户中开启。对于除持有目标存储桶的账户以外的所有账户,控件状态均为无数据

如果存储桶可公开访问,则检查会生成失败的调查发现。

修复

要为 CloudTrail S3 存储桶启用服务器访问日志记录,请参阅《亚马逊简单存储服务用户指南》中的 “启用 Amazon S3 服务器访问日志”。