本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 CloudWatch 控制
这些控制措施与 CloudWatch 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
相关要求:PCI DSS v3.2.1/7.2.1、独联体基金会基准 v1.2.0/1.1、独联体基金会基准 v1.2.0/3.3、独联体 Amazon 基金会基准 v1.4.0/1.7、独联体基金会基准 v1.4.0/1.7、CIS Amazon 基金会基准 v1.4.0/4.3 Amazon Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
根用户可以不受限制地访问 Amazon Web Services 账户中的所有服务和资源。我们强烈建议您避免使用根用户执行日常任务。最大限度地减少根用户的使用并采用最低权限原则进行访问管理,可以降低意外更改和意外泄露高权限凭证的风险。
作为最佳实践,仅在需要执行账户和服务管理任务时才使用根用户凭证。将 Amazon Identity and Access Management (IAM) 策略直接应用于群组和角色,但不适用于用户。有关如何设置管理员以供日常使用的教程,请参阅 IAM 用户指南中的创建第一个 IAM 管理员用户和组
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.4.0 中为控制 1.
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.1
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。
CIS 建议您创建指标筛选条件并对未经授权的 API 调用发出警报。监控未经授权的 API 调用有助于发现应用程序错误,并可能减少检测恶意活动所花费的时间。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.2
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.2
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。
CIS 建议您创建不受 MFA 保护的指标筛选条件和警报控制台登录。监控单因素控制台登录可提高不受 MFA 保护的账户的可见性。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{ ($.eventName = "ConsoleLogin") && ($.additionalEventData.MFAUsed != "Yes") && ($.userIdentity.type = "IAMUser") && ($.responseElements.ConsoleLogin = "Success") }指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.4、CIS 基金会基准 v1.4.0/4.4 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
此控件通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来检查您是否实时监控 API 调用。
CIS 建议您为 IAM policy 的更改创建指标筛选条件和警报。监控此类更改有助于确保身份验证和授权控制保持不变。
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
注意
我们在这些补救步骤中推荐的筛选条件模式与 CIS 指南中的筛选条件模式不同。我们推荐的筛选条件仅针对来自 IAM API 调用的事件。
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventSource=iam.amazonaws.com) && (($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy))}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.5、CIS 基金会基准 v1.4.0/4.5 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。
CIS 建议您为 CloudTrail配置设置的更改创建指标筛选器和警报。监控此类更改有助于确保账户中活动的持续可见性。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.6、CIS 基金会基准 v1.4.0/4.6 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。
CIS 建议您为失败的控制台身份验证尝试创建指标筛选条件和警报。监控失败的控制台登录可能会缩短检测暴力破解凭证尝试的准备时间,这可能会提供可供您在其他事件相关性分析中使用的指标,例如源 IP。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.7、CIS 基金会基准 v1.4.0/4.7 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。
CIS 建议您为已将状态更改为禁用或计划删除的客户管理密钥创建指标筛选条件和警报。您无法再访问使用已禁用或已删除的密钥加密的数据。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.ExcludeManagementEventSources 包含 kms.amazonaws.com,则控制也会失败。
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.8、CIS 基金会基准 v1.4.0/4.8 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。
CIS 建议您为 S3 存储桶策略更改创建指标筛选条件和警告。监控此类更改可能会缩短检测和纠正敏感 S3 存储桶的宽松策略的时间。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.9、CIS 基金会基准 v1.4.0/4.9 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。
CIS 建议您为对 Amazon Config 配置设置的更改创建指标筛选条件和警告。监控此类更改有助于确保账户中配置项的持续可见性。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v1.
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.10、CIS 基金会基准 v1.4.0/4.10 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。安全组是有状态的数据包筛选器,可用于控制 VPC 的传入和传出流量。
CIS 建议您为安全组更改创建指标筛选条件和警告。监控此类更改有助于确保不会意外公开 资源和服务。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.11、CIS 基金会基准 v1.4.0/4.11 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。NACL 用作无状态的数据包筛选器,可用于控制 VPC 中子网的传入和传出流量。
CIS 建议您为 NACL 更改创建指标筛选条件和警告。监控这些更改有助于确保 Amazon 资源和服务不会被无意中暴露。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.12、CIS 基金会基准 v1.4.0/4.12 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。需要网络网关才能向位于 VPC 以外的目标发送流量或从其接收流量。
CIS 建议您为网络网关更改创建指标筛选条件和警告。监控此类更改有助于确保所有传入和传出流量都通过受控路径穿过 VPC 边界。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon Foundations Benchmark v
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.13、CIS 基金会基准 v1.4.0/4.13 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
此控件通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报来检查您是否实时监控 API 调用。路由表在子网和网络网关之间路由网络流量。
CIS 建议您为路由表更改创建指标筛选条件和警告。监控此类更改有助于确保所有 VPC 流量都流经预期路径。
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
注意
我们在这些补救步骤中推荐的筛选条件模式与 CIS 指南中的筛选条件模式不同。我们推荐的筛选条件仅针对来自 Amazon Elastic Compute Cloud (EC2) API 调用的事件。
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventSource=ec2.amazonaws.com) && (($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable))}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
相关要求:独联体 Amazon 基金会基准 v1.2.0/3.14、CIS 基金会基准 v1.4.0/4.14 Amazon
类别:检测 > 检测服务
严重性:低
资源类型:AWS::Logs::MetricFilter、AWS::CloudWatch::Alarm、AWS::CloudTrail::Trail、AWS::SNS::Topic
Amazon Config 规则:无(自定义 Security Hub 规则)
计划类型:定期
参数:无
您可以通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选器和警报,对 API 调用进行实时监控。您可以在一个账户中拥有多个 VPC,并在两个 VPC 之间创建对等连接,从而使网络流量能够在 VPC 之间路由。
CIS 建议您为 VPC 更改创建指标筛选条件和警告。监控此类更改有助于确保身份验证和授权控制保持不变。
为了运行此检查,Security Hub 使用自定义逻辑来执行 CIS Amazon 基金会基准 v
注意
当 Security Hub 对此控件执行检查时,它会查找当前账户使用的 CloudTrail 跟踪。这些跟踪可能是属于另一个账户的组织跟踪。多区域跟踪也可能位于不同区域。
在以下情况下,检查的 FAILED 结果是不确定的:
没有配置跟踪。
当前区域内由当前账户拥有的可用追踪没有满足控制要求。
在以下情况下,检查控件状态为 NO_DATA 的结果:
多区域跟踪基于不同区域。Security Hub 只能在跟踪所在的区域生成调查发现。
多区域跟踪属于不同的账户。Security Hub 只能为拥有跟踪的账户生成调查发现。
我们建议使用组织跟踪来记录组织中许多账户的事件。默认情况下,组织跟踪是多区域跟踪,只能由 Amazon Organizations 管理账户或 CloudTrail 委派的管理员账户进行管理。使用组织跟踪会导致在组织成员账户中评估的控件的控件状态为
NO_DATA。在成员账户中,Security Hub 仅针对成员拥有的资源生成调查发现。与组织跟踪相关的调查发现在资源所有者的账户中生成。您可以使用跨区域聚合在 Security Hub 委托管理员账户中查看这些结果。
对于警报,当前账户必须拥有引用的 Amazon SNS 主题,或者必须通过调用 ListSubscriptionsByTopic 访问 Amazon SNS 主题。否则,Security Hub 会生成控件的 WARNING 结果。
修复
要通过此控制,请按照以下步骤为指标筛选器创建 Amazon SNS 主题、 Amazon CloudTrail 跟踪、指标筛选条件和警报。
创建 Amazon SNS 主题。有关说明,请参阅 Amazon Simple Notification Service 开发人员指南中的 Amazon SNS 入门。创建一个接收所有 CIS 警报的主题,并至少创建一个该主题的订阅。
创建一条适用于所有人的 CloudTrail 跟踪 Amazon Web Services 区域。有关说明,请参阅 Amazon CloudTrail 用户指南中的创建跟踪。
记下与 CloudTrail 跟踪关联的 Log CloudWatch s 日志组的名称。您将在下一步中为该日志组创建指标筛选条件。
创建指标筛选条件。有关说明,请参阅 Amazon CloudWatch 用户指南中的为日志组创建指标筛选条件。使用以下值:
Field Value 定义模式,筛选条件模式
{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}指标命名空间
LogMetrics指标值
1默认值
0基于筛选条件创建警报 有关说明,请参阅 A mazon CloudWatch 用户指南中的基于日志组指标筛选条件创建 CloudWatch 警报。使用以下值:
Field Value 条件,阈值类型
静态
什么时候
your-metric-name是...大于/等于
比...
1
[CloudWatch.15] CloudWatch 警报应配置指定操作
类别:检测 > 检测服务
相关要求:NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 IR-4(1)、NIST.800-53.r5 IR-4(5)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-20、NIST.800-53.r5 SI-4(12)、NIST.800-53.r5 SI-4(5)。
严重性:高
资源类型:AWS::CloudWatch::Alarm
Amazon Config 规则:cloudwatch-alarm-action-check
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
如果将参数设置为 |
布尔值 |
不可自定义 |
|
|
|
如果将参数设置为 |
布尔值 |
|
|
|
|
如果将参数设置为 |
布尔值 |
|
|
此控件检查 Amazon CloudWatch 警报是否为该ALARM状态配置了至少一个操作。如果警报没有为 ALARM 状态配置操作,则控制失败。或者,您可以包含自定义参数值,以便也要求对 INSUFFICIENT_DATA 或 OK 状态执行警报操作。
注意
Security Hub 根据 CloudWatch 指标警报评估此控件。指标警报可能是配置了指定操作的复合警报的一部分。在以下情况下,该控件会生成FAILED调查结果:
未为指标警报配置指定的操作。
指标警报是配置了指定操作的复合警报的一部分。
此控件侧重于警报是否配置了 CloudWatch 警报操作,而 CloudWatch.17 则侧重于 CloudWatch 警报操作的激活状态。
我们建议采取 CloudWatch 警报措施,以便在监控的指标超出定义的阈值时自动提醒您。当警报进入特定状态时,监控警报可帮助您识别异常活动并快速响应安全和操作问题。最常见的警报操作类型是通过向 Amazon Simple Notification Service (Amazon SNS) 主题发送消息来通知一个或多个用户。
修复
有关 CloudWatch 警报支持的操作的信息,请参阅 Amazon CloudWatch 用户指南中的警报操作。
[CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留
类别:识别 > 日志记录
相关要求:NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-11、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-12。
严重性:中
资源类型:AWS::Logs::LogGroup
Amazon Config 规则:cw-loggroup-retention-period-check
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
CloudWatch 日志组的最小保留期(以天为单位) |
枚举 |
|
|
此控件检查 Amazon CloudWatch 日志组的保留期是否至少为指定的天数。如果保留期少于指定天数,则控制失败。除非您为保留期提供自定义参数值,否则 Security Hub 将使用默认值即 365 天。
CloudWatch 日志将来自所有系统、应用程序的日志集中到一个高度可扩展的服务 Amazon Web Services 中。您可以使用 CloudWatch 日志来监控、存储和访问来自亚马逊弹性计算云 (EC2) 实例 Amazon CloudTrail、Amazon Route 53 和其他来源的日志文件。将日志保留至少 1 年可以帮助您遵守日志保留标准。
修复
要配置日志保留设置,请参阅《Amazon CloudWatch 用户指南》中的 “ CloudWatch 日志” 中的 “更改日志数据保留期”。
[CloudWatch.17] 应激 CloudWatch 活警报动作
类别:检测 > 检测服务
相关要求:NIST.800-53.r5 AU-6(1)、NIST.800-53.r5 AU-6(5)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-4(12)。
严重性:高
资源类型:AWS::CloudWatch::Alarm
Amazon Config 规则:cloudwatch-alarm-action-enabled-check
计划类型:已触发变更
参数:无
此控件检查 CloudWatch 警报操作是否已激活(ActionEnabled应设置为 true)。如果警报的警报动作被停用, CloudWatch 则控制失败。
注意
Security Hub 根据 CloudWatch 指标警报评估此控件。指标警报可能是已激活警报操作的复合警报的一部分。在以下情况下,该控件会生成FAILED调查结果:
未为指标警报配置指定的操作。
指标警报是已激活警报操作的复合警报的一部分。
此控件侧重于 CloudWatch 警报操作的激活状态,而 CloudWatch.15 则侧重于 CloudWatch 警报中是否配置了任何ALARM操作。
当监控的指标超出定义的阈值时,警报操作会自动向您发出警报。如果警报操作被停用,则警报状态变更时不会运行任何操作,也不会提醒您注意监控指标的变化。我们建议您激活 CloudWatch 警报操作,以帮助您快速应对安全和操作问题。
修复
激活 CloudWatch 警报操作(控制台)
打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/
。 在导航窗格中的警报下,选择所有警报。
选择要激活操作的警报。
在操作中,选择警报操作-新建,然后选择启用。
有关激活 CloudWatch 警报操作的更多信息,请参阅 Amazon CloudWatch 用户指南中的警报操作。