Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per Amazon CloudWatch
Questi AWS Security Hub CSPM controlli valutano il CloudWatch servizio e le risorse Amazon. I controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»
**Requisiti correlati:** benchmark CIS AWS Foundations v1.2.0/1.1, benchmark CIS AWS Foundations v1.2.0/3.3, benchmark CIS Foundations v1.4.0/1.7, benchmark CIS AWS Foundations v1.4.0/4.3, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/7.2.1 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::CloudWatch::Alarm``AWS::CloudTrail::Trail`Tipo di risorsa:,,** `AWS::Logs::MetricFilter` `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
L'utente root ha accesso illimitato a tutti i servizi e le risorse in un file. Account AWS Si consiglia vivamente di evitare di utilizzare l'utente root per le attività quotidiane. La riduzione al minimo dell'uso dell'utente root e l'adozione del principio del privilegio minimo per la gestione degli accessi riducono il rischio di modifiche accidentali e di divulgazione involontaria di credenziali altamente privilegiate.
[Come procedura ottimale, è consigliabile utilizzare le credenziali dell'utente root solo quando necessario per eseguire attività di gestione degli account e dei servizi.](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) Applica le policy AWS Identity and Access Management (IAM) direttamente ai gruppi e ai ruoli ma non agli utenti. Per un tutorial su come configurare un amministratore per l'uso quotidiano, consulta [Creazione del primo utente e gruppo di amministratori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente IAM*
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 1.7 nel [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso valido per tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/3.1, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo** `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le chiamate API non autorizzate. Il monitoraggio delle chiamate API non autorizzate consente di rilevare errori dell'applicazione e ridurre il tempo necessario per individuare attività malevola.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 3.1 nel [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso valido per tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.2 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**Tipo di risorsa:,,,** `AWS::Logs::MetricFilter` `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e accessi alla console di allarme non protetti da MFA. Il monitoraggio per accessi alla console a singolo fattore incrementa la visibilità negli account che non sono protetti da MFA.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 3.2 nel [CIS AWS Foundations Benchmark v1.2](https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.4, CIS AWS Foundations Benchmark v1.4.0/4.4, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Questo controllo verifica se monitorate le chiamate API in tempo reale indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche apportate alle politiche IAM. Il monitoraggio di queste modifiche garantisce che i controlli di autenticazione e autorizzazione rimangano invariati.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
**Nota**
Lo schema di filtro consigliato in queste fasi di riparazione è diverso dal modello di filtro indicato nelle linee guida CIS. I nostri filtri consigliati hanno come target solo gli eventi provenienti dalle chiamate API IAM.
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.5, CIS AWS Foundations Benchmark v1.4.0/4.5, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle impostazioni di configurazione. CloudTrail Il monitoraggio di queste modifiche garantisce visibilità sostenuta per attività dell'account.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.5 nel [CIS AWS Foundations Benchmark v1.4.0](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1). Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.6, CIS AWS Foundations Benchmark v1.4.0/4.6, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per i tentativi di autenticazione della console non riusciti. Il monitoraggio degli accessi alla console non riusciti potrebbe ridurre il lead time per rilevare un tentativo di attacco di forza bruta a una credenziale, che potrebbe fornire un indicatore, ad esempio IP di origine, utilizzabile in altre correlazioni eventi.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.6 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente
**Requisiti correlati:** CIS AWS Foundations Benchmark v1.2.0/3.7, CIS AWS Foundations Benchmark v1.4.0/4.7, NIST.800-171.r2 3.13.10, NIST.800-171.r2 3.13.16, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le chiavi gestite dai clienti che hanno cambiato stato in eliminazione disattivata o pianificata. I dati crittografati con chiavi disabilitate o eliminate non sono più accessibili.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.7 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri. Il controllo fallisce anche se contiene. `ExcludeManagementEventSources` `kms.amazonaws.com`
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.8, CIS AWS Foundations Benchmark v1.4.0/4.8, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle politiche dei bucket S3. Il monitoraggio di queste modifiche potrebbe ridurre il tempo necessario per rilevare e correggere policy permissive su bucket S3 sensibili.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.8 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.9, CIS AWS Foundations Benchmark v1.4.0/4.9, NIST.800-171.r2 3.3.8, NIST.800-171.r2 3.14.6, AWS NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo `AWS::CloudTrail::Trail` di risorsa**:**,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle impostazioni di configurazione. AWS Config Il monitoraggio di queste modifiche garantisce visibilità sostenuta per elementi di configurazione nell'account.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.9 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.10, CIS AWS Foundations Benchmark v1.4.0/4.10, NIST.800-171.r2 3.14.6, NIST.800-171.r2 AWS 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. I gruppi di sicurezza sono un filtro dei pacchetti stateful che controlla il traffico in entrata e in uscita in un VPC.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche ai gruppi di sicurezza. Il monitoraggio di tali modifiche garantisce che le risorse e i servizi non vengano involontariamente esposti.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.10 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.11, CIS AWS Foundations Benchmark v1.4.0/4.11, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. NACLs vengono utilizzati come filtro di pacchetti stateless per controllare il traffico in ingresso e in uscita per le sottoreti in un VPC.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche a. NACLs Il monitoraggio di queste modifiche aiuta a garantire che AWS risorse e servizi non vengano esposti involontariamente.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.11 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.12, CIS AWS Foundations Benchmark v1.4.0/4.12, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1 AWS
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter``AWS::CloudWatch::Alarm`Tipo** `AWS::CloudTrail::Trail` di risorsa:,, `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. I gateway di rete sono necessari per inviare e ricevere traffico a una destinazione all'esterno di un VPC.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche ai gateway di rete. Il monitoraggio di tali modifiche garantisce che tutto il traffico in entrata e in uscita attraversa il bordo del VPC tramite un percorso controllato.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire gli esatti passaggi di controllo prescritti per il controllo 4.12 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.2. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.13, CIS AWS Foundations Benchmark v1.4.0/4.13, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Questo controllo verifica se monitorate le chiamate API in tempo reale indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. Le tabelle di routing instradano il traffico di rete tra le sottoreti e i gateway di rete.
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche alle tabelle di routing. Il monitoraggio di queste modifiche garantisce che tutto il traffico VPC passi attraverso un percorso previsto.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
**Nota**
Lo schema di filtro consigliato in queste fasi di riparazione è diverso dal modello di filtro indicato nelle linee guida CIS. I nostri filtri consigliati hanno come target solo gli eventi provenienti dalle chiamate API Amazon Elastic Compute Cloud (EC2).
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC
**Requisiti correlati:** CIS Foundations Benchmark v1.2.0/3.14, CIS AWS Foundations Benchmark v1.4.0/4.14, NIST.800-171.r2 3.3.1, NIST.800-171.r2 3.13.1, AWS NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità: ** bassa
**`AWS::Logs::MetricFilter`Tipo `AWS::CloudWatch::Alarm` `AWS::CloudTrail::Trail` di risorsa:,,** `AWS::SNS::Topic`
**AWS Config regola:** Nessuna (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: periodica**
**Parametri:** nessuno
Puoi monitorare in tempo reale le chiamate API indirizzando i log verso CloudTrail Logs e stabilendo i filtri CloudWatch metrici e gli allarmi corrispondenti. Puoi avere più di un VPC in un account e puoi creare una connessione peer tra due VPCs, abilitando l'instradamento del traffico di rete tra di loro. VPCs
Il CIS consiglia di creare un filtro metrico e un allarme per le modifiche apportate a. VPCs Il monitoraggio di queste modifiche garantisce che i controlli di autenticazione e autorizzazione rimangano invariati.
Per eseguire questo controllo, Security Hub CSPM utilizza una logica personalizzata per eseguire i passaggi di controllo esatti prescritti per il controllo 4.14 nel [CIS AWS](https://acrobat.adobe.com/link/track?uri=urn:aaid:scds:US:2e5fec5c-5e99-4fb5-b08d-bb46b14754c1#pageNum=1) Foundations Benchmark v1.4.0. Questo controllo non riesce se non vengono utilizzati i filtri di parametri esatti prescritti da CIS. Non è possibile aggiungere campi o termini ulteriori ai filtri di parametri.
**Nota**
Quando Security Hub CSPM esegue il controllo per questo controllo, cerca le CloudTrail tracce utilizzate dall'account corrente. Questi percorsi potrebbero essere percorsi organizzativi che appartengono a un altro account. I percorsi multiregionali potrebbero anche avere sede in una regione diversa.
Il controllo dà `FAILED` risultati nei seguenti casi:
Nessun percorso è configurato.
I percorsi disponibili che si trovano nella regione corrente e che sono di proprietà dell'account corrente non soddisfano i requisiti di controllo.
Il controllo determina uno stato di controllo pari `NO_DATA` a nei seguenti casi:
Un percorso multiregionale ha sede in una regione diversa. Security Hub CSPM può generare risultati solo nella regione in cui si trova il percorso.
Un percorso multiregionale appartiene a un account diverso. Security Hub CSPM può generare risultati solo per l'account proprietario del percorso.
Consigliamo gli itinerari organizzativi per registrare gli eventi di molti account di un'organizzazione. Gli itinerari organizzativi sono percorsi multiregionali per impostazione predefinita e possono essere gestiti solo dall'account di AWS Organizations gestione o dall'account amministratore CloudTrail delegato. L'utilizzo di un percorso organizzativo comporta uno stato di controllo pari a `NO_DATA` per i controlli valutati negli account dei membri dell'organizzazione. Negli account dei membri, Security Hub CSPM genera risultati solo per le risorse di proprietà dei membri. I risultati relativi agli itinerari organizzativi vengono generati nell'account del proprietario della risorsa. Puoi visualizzare questi risultati nel tuo account amministratore delegato CSPM di Security Hub utilizzando l'aggregazione tra regioni.
Per l'allarme, l'account corrente deve essere proprietario dell'argomento Amazon SNS di riferimento o deve accedere all'argomento Amazon SNS chiamando. `ListSubscriptionsByTopic` Altrimenti Security Hub CSPM genera `WARNING` risultati per il controllo.
### Correzione
Per passare questo controllo, segui questi passaggi per creare un argomento Amazon SNS, un AWS CloudTrail percorso, un filtro metrico e un allarme per il filtro metrico.
1. Creazione di un argomento Amazon SNS. Per istruzioni, consulta la sezione [Guida introduttiva ad Amazon SNS nella Guida per gli sviluppatori di Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic) *Notification Service*. Crea un argomento che riceva tutti gli allarmi CIS e crea almeno un abbonamento all'argomento.
1. Crea un CloudTrail percorso che si applichi a tutti. Regioni AWS Per istruzioni, consulta [Creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html) nella *Guida AWS CloudTrail per l'utente*.
Prendi nota del nome del gruppo di log CloudWatch Logs che associ al CloudTrail percorso. Il filtro metrico per quel gruppo di log viene creato nel passaggio successivo.
1. Creazione di un filtro parametri. Per istruzioni, consulta [Creare un filtro metrico per un gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html) nella *Amazon CloudWatch User Guide*. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
1. Crea un allarme basato sul filtro. Per istruzioni, consulta [Creare un CloudWatch allarme basato su un filtro metrico del gruppo di log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Alarm-On-Logs.html) nella *Amazon CloudWatch * User Guide. Utilizzare i seguenti valori:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/cloudwatch-controls.html)
## [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate
**Requisiti correlati:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 IR-4 (1), NIST.800-53.r5 IR-4 (5), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5), NIST.800-171.r2 3.3.4, nIST .800-171r2 3,14,6
**Categoria:** Rilevamento > Servizi di rilevamento
**Gravità:** alta
**Tipo di risorsa:** `AWS::CloudWatch::Alarm`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `alarmActionRequired` | Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme ha un'azione quando lo stato dell'allarme cambia a. `ALARM` | Booleano | Non personalizzabile | `true` |
| `insufficientDataActionRequired` | Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme agisce quando lo stato dell'allarme cambia a`INSUFFICIENT_DATA`. | Booleano | `true` o `false` | `false` |
| `okActionRequired` | Il controllo rileva `PASSED` se il parametro è impostato su `true` e l'allarme agisce quando lo stato di allarme cambia a`OK`. | Booleano | `true` o `false` | `false` |
Questo controllo verifica se un CloudWatch allarme Amazon ha almeno un'azione configurata per lo `ALARM` stato. Il controllo fallisce se l'allarme non ha un'azione configurata per lo `ALARM` stato. Facoltativamente, è possibile includere valori di parametri personalizzati per richiedere anche azioni di allarme per gli `OK` stati `INSUFFICIENT_DATA` or.
**Nota**
Security Hub CSPM valuta questo controllo sulla CloudWatch base di allarmi metrici. Gli allarmi metrici possono far parte di allarmi compositi con le azioni specificate configurate. Il controllo genera `FAILED` risultati nei seguenti casi:
Le azioni specificate non sono configurate per un allarme metrico.
L'allarme metrico fa parte di un allarme composito in cui sono configurate le azioni specificate.
Questo controllo si concentra sul fatto che un CloudWatch allarme abbia un'azione di allarme configurata, mentre [CloudWatch.17](#cloudwatch-17) si concentra sullo stato di attivazione di un'azione di CloudWatch allarme.
Consigliamo azioni di CloudWatch allarme per avvisare automaticamente l'utente quando una metrica monitorata supera la soglia definita. Il monitoraggio degli allarmi consente di identificare attività insolite e di rispondere rapidamente ai problemi operativi e di sicurezza quando un allarme entra in uno stato specifico. Il tipo più comune di azione di allarme consiste nell'avvisare uno o più utenti inviando un messaggio a un argomento di Amazon Simple Notification Service (Amazon SNS).
### Correzione
Per informazioni sulle azioni supportate dagli CloudWatch allarmi, consulta [Azioni di allarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) nella *Amazon CloudWatch User Guide*.
## [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato
**Categoria:** Identificazione > Registrazione
**Requisiti correlati:**, NIST.800-53.R5 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-11, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 SI-12
**Gravità:** media
**Tipo di risorsa:** `AWS::Logs::LogGroup`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cw-loggroup-retention-period-check.html)**``
**Tipo di pianificazione:** periodica
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| `minRetentionTime` | Periodo minimo di conservazione in giorni per i gruppi di log CloudWatch | Enum | `365, 400, 545, 731, 1827, 3653` | `365` |
Questo controllo verifica se un gruppo di CloudWatch log Amazon ha un periodo di conservazione di almeno il numero di giorni specificato. Il controllo fallisce se il periodo di conservazione è inferiore al numero specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione, Security Hub CSPM utilizza un valore predefinito di 365 giorni.
CloudWatch I log centralizzano i log di tutti i sistemi e le applicazioni Servizi AWS in un unico servizio altamente scalabile. Puoi usare CloudWatch Logs per monitorare, archiviare e accedere ai tuoi file di log da istanze Amazon Elastic Compute Cloud (EC2) AWS CloudTrail, Amazon Route 53 e altre fonti. Conservare i log per almeno 1 anno può aiutarti a rispettare gli standard di conservazione dei log.
### Correzione
Per configurare le impostazioni di conservazione dei log, consulta [Change log data retention in CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) nella *Amazon CloudWatch User Guide*.
## [CloudWatch.17] le azioni di CloudWatch allarme devono essere attivate
**Categoria:** Rilevamento > Servizi di rilevamento
**Requisiti correlati:** NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-4 (12)
**Gravità:** alta
**Tipo di risorsa:** `AWS::CloudWatch::Alarm`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-enabled-check.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se le azioni di CloudWatch allarme sono attivate (`ActionEnabled`deve essere impostato su true). Il controllo fallisce se l'azione di allarme per un CloudWatch allarme è disattivata.
**Nota**
Security Hub CSPM valuta questo controllo sulla CloudWatch base di allarmi metrici. Gli allarmi metrici possono far parte di allarmi compositi che hanno le azioni di allarme attivate. Il controllo genera `FAILED` risultati nei seguenti casi:
Le azioni specificate non sono configurate per un allarme metrico.
L'allarme metrico fa parte di un allarme composito con azioni di allarme attivate.
Questo controllo si concentra sullo stato di attivazione di un'azione di CloudWatch allarme, mentre [CloudWatch.15](#cloudwatch-15) si concentra sulla configurazione di `ALARM` un'azione in un CloudWatch allarme.
Le azioni di allarme avvisano automaticamente l'utente quando una metrica monitorata supera la soglia definita. Se l'azione di allarme è disattivata, non viene eseguita alcuna azione quando l'allarme cambia stato e non sarai avvisato delle modifiche nelle metriche monitorate. Ti consigliamo di attivare le azioni di CloudWatch allarme per aiutarti a rispondere rapidamente ai problemi operativi e di sicurezza.
### Correzione
**Per attivare un'azione CloudWatch di allarme (console)**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, in **Allarmi**, scegli **Tutti gli allarmi**.
1. Seleziona l'allarme per il quale desideri attivare le azioni.
1. **Per **Azioni**, scegli **Azioni di allarme: nuove**, quindi scegli Abilita.**
Per ulteriori informazioni sull'attivazione delle azioni di CloudWatch allarme, consulta le [azioni di allarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html#alarms-and-actions) nella *Amazon CloudWatch User Guide*.