翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ASFF フィールドと値への統合の影響
AWS Security Hub Cloud Security Posture Management (CSPM) は、コントロールに 2 種類の統合を提供します。
-
統合コントロールビュー – このタイプの統合では、各コントロールにはすべての標準で単一の識別子があります。さらに、Security Hub CSPM コンソールの「コントロール」ページには、すべての標準におけるすべてのコントロールが表示されます。
-
統合されたコントロールの検出結果 – このタイプの統合では、コントロールが複数の有効な標準に適用されていても、Security Hub CSPM はコントロールに対して 1 つの検出結果を生成します。これにより、検出結果のノイズを減らすことができます。
統合コントロールビューを有効または無効にすることはできません。2023 年 2 月 23 日以降に Security Hub CSPM を有効にすると、統合コントロールの検出結果はデフォルトで有効になります。それ以外の場合は、デフォルトで無効になっています。ただし、組織の場合、Security Hub CSPM メンバーアカウントで統合コントロールの検出結果は、管理者アカウントで有効になっている場合にのみ有効になります。統合コントロールの検出結果の詳細については、「」を参照してくださいコントロールの結果を生成および更新する。
どちらのタイプの統合も、 のコントロール結果のフィールドと値に影響しますAWS Security Finding 形式 (ASFF)。
トピック
統合コントロールビュー — ASFF の変更
統合コントロールビュー機能では、ASFF のコントロール結果のフィールドと値に次の変更が導入されました。ワークフローがこれらの ASFF フィールドの値に依存していない場合、アクションは必要ありません。これらのフィールドの特定の値に依存するワークフローがある場合は、現在の値を使用するようにワークフローを更新します。
| ASFF フィールド | 統合コントロールビューのリリース前のサンプル値 | 統合コントロールビュー後のサンプル値と変更の説明 |
|---|---|---|
|
Compliance.SecurityControlId |
該当なし (新しいフィールド) |
EC2.2 標準全体で単一のコントロール ID を導入します。 |
|
Compliance.AssociatedStandards |
該当なし (新しいフィールド) |
[{「StandardsId」:「standards/aws-foundational-security-best-practices/v/1.0.0」}] コントロールが有効になっている標準を示します。 |
|
ProductFields.ArchivalReasons:0/Description |
該当なし (新しいフィールド) |
「統合統制結果がオンまたはオフになっているため、結果はアーカイブ済み状態になっています。これにより、新しい結果が生成されるときに、以前の状態の結果がアーカイブされます。」 Security Hub CSPM が既存の検出結果をアーカイブした理由について説明します。 |
|
ProductFields.ArchivalReasons:0/ReasonCode |
該当なし (新しいフィールド) |
「統合統制結果更新」 Security Hub CSPM が既存の検出結果をアーカイブした理由を示します。 |
|
ProductFields.RecommendationUrl |
https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation |
https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation このフィールドは標準を参照しないようになりました。 |
|
Remediation.Recommendation.Text |
「この問題を修正する方法については、 AWS Security Hub Cloud Security Posture Management (CSPM) PCI DSS ドキュメントを参照してください。」 |
「この問題を修正する方法については、 AWS Security Hub Cloud Security Posture Management (CSPM) コントロールのドキュメントを参照してください。」 このフィールドは標準を参照しないようになりました。 |
|
Remediation.Recommendation.Url |
https://docs.aws.amazon.com/console/securityhub/PCI.EC2.2/remediation |
https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation このフィールドは標準を参照しないようになりました。 |
統合されたコントロールの検出結果 — ASFF の変更
統合コントロールの検出結果を有効にすると、ASFF のコントロールの検出結果のフィールドと値に対する以下の変更の影響を受ける可能性があります。これらの変更は、統合コントロールビュー機能によって導入された変更に加えて行われます。ワークフローがこれらの ASFF フィールドの値に依存していない場合、アクションは必要ありません。これらのフィールドの特定の値に依存するワークフローがある場合は、現在の値を使用するようにワークフローを更新します。
ヒント
v2.0.0 AWS での自動化されたセキュリティ対応
| ASFF フィールド | 統合コントロールの検出結果を有効にする前の値の例 | 統合統制結果を有効にした後の値の例と変更の説明 |
|---|---|---|
| GeneratorId | aws-foundational-security-best-practices/v/1.0.0/Config.1 |
security-control/Config.1 このフィールドは標準を参照しないようになりました。 |
| タイトル | PCI.Config.1 AWS Config を有効にする必要があります |
AWS Config を有効にする必要があります このフィールドでは、標準固有の情報は参照されなくなりました。 |
| ID |
arn:aws:securityhub:eu-central-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.IAM.5/finding/ab6d6a26-a156-48f0-9403-115983e5a956 |
arn:aws:securityhub:eu-central-1:123456789012:security-control/iam.9/finding/ab6d6a26-a156-48f0-9403-115983e5a956 このフィールドは標準を参照しないようになりました。 |
| ProductFields.ControlId | PCI.EC2.2 |
Removed。代わりに このフィールドは削除され、標準にとらわれない単一のコントロール ID が優先されます。 |
| ProductFields.RuleId | 1.3 |
Removed。代わりに このフィールドは削除され、標準にとらわれない単一のコントロール ID が優先されます。 |
| 説明 | この PCI DSS コントロール AWS Config は、現在のアカウントとリージョンで が有効になっているかどうかをチェックします。 |
この AWS コントロール AWS Config は、現在のアカウントとリージョンで が有効になっているかどうかを確認します。 このフィールドは標準を参照しないようになりました。 |
| 緊急度 |
"Severity": { "Product": 90, "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" } |
"Severity": { "Label": "CRITICAL", "Normalized": 90, "Original": "CRITICAL" } Security Hub CSPM は、Product フィールドを使用して検出結果の重要度を記述しなくなりました。 |
| 型 | ["Software and Configuration Checks/Industry and Regulatory Standards/PCI-DSS"] | ["Software and Configuration Checks/Industry and Regulatory Standards"] このフィールドは標準を参照しないようになりました。 |
| Compliance.RelatedRequirements |
["PCI DSS 10.5.2", "PCI DSS 11.5", 「CIS AWS Foundations 2.5」〕 |
["PCI DSS v3.2.1/10.5.2", "PCI DSS v3.2.1/11.5", 「CIS AWS Foundations Benchmark v1.2.0/2.5」〕 このフィールドには、有効なすべての標準の関連要件が表示されます。 |
| CreatedAt | 2022-05-05T08:18:13.138Z |
2022-09-25T08:18:13.138Z 形式は変わりませんが、統合コントロールの検出結果を有効にすると値がリセットされます。 |
| FirstObservedAt |
2022-05-07T08:18:13.138Z |
2022-09-28T08:18:13.138Z 形式は変わりませんが、統合コントロールの検出結果を有効にすると値がリセットされます。 |
| ProductFields.RecommendationUrl | https://docs.aws.amazon.com/console/securityhub/EC2.2/remediation |
Removed。代わりに |
| ProductFields.StandardsArn |
arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0 |
Removed。代わりに |
| ProductFields.StandardsControlArn |
arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/Config.1 |
Removed。Security Hub CSPM は、標準間のセキュリティチェック用に 1 つの検出結果を生成します。 |
| ProductFields.StandardsGuideArn | arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0 |
Removed。代わりに |
| ProductFields.StandardsGuideSubscriptionArn | arn:aws:securityhub:us-east-2:123456789012:subscription/cis-aws-foundations-benchmark/v/1.2.0 |
Removed。Security Hub CSPM は、標準間のセキュリティチェック用に 1 つの検出結果を生成します。 |
| ProductFields.StandardsSubscriptionArn | arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 |
Removed。Security Hub CSPM は、標準間のセキュリティチェック用に 1 つの検出結果を生成します。 |
| ProductFields.aws/securityhub/FindingId | arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67 |
arn:aws:securityhub:us-east-1::product/aws/securityhub/arn:aws:securityhub:us-east-1:123456789012:security-control/Config.1/finding/751c2173-7372-4e12-8656-a5210dfb1d67 このフィールドは標準を参照しないようになりました。 |
[統合されたコントロールの検出結果] を有効にした後における、顧客提供の ASFF フィールドの値
統合コントロールの検出結果を有効にすると、Security Hub CSPM は標準間で 1 つの検出結果を生成し、元の検出結果 (標準ごとに個別の検出結果) をアーカイブします。
Security Hub CSPM コンソールまたは BatchUpdateFindingsオペレーションを使用して元の検出結果に加えた更新は、新しい検出結果には保持されません。必要に応じて、アーカイブされた結果を参照することで、このデータを復元できます。アーカイブされた検出結果を確認するには、Security Hub CSPM コンソールの検出結果ページを使用し、レコード状態フィルターを ARCHIVED に設定します。または、Security Hub CSPM API の GetFindingsオペレーションを使用することもできます。
| 顧客提供の ASFF フィールド | 統合コントロールの検出結果を有効にした後の変更の説明 |
|---|---|
| 信頼度 | 空の状態にリセットされます。 |
| 緊急性 | 空の状態にリセットされます。 |
| メモ | 空の状態にリセットされます。 |
| RelatedFindings | 空の状態にリセットされます。 |
| 緊急度 | 結果のデフォルトの重要度 (コントロールの重要度と同じ)。 |
| 型 | 標準に依存しない値にリセットされます。 |
| UserDefinedFields | 空の状態にリセットされます。 |
| VerificationState | 空の状態にリセットされます。 |
| ワークフロー | 新たに失敗した検出結果のデフォルト値は NEW になります。新たに成功した検出結果のデフォルト値は RESOLVED になります。 |
統合コントロールの検出結果を有効にする前後のジェネレータIDs
次の表に、統合コントロールの検出結果を有効にする際のコントロールのジェネレーター ID 値の変更を示します。これらの変更は、2023 年 2 月 15 日の時点で Security Hub CSPM がサポートしていたコントロールに適用されます。
| 統合コントロールの検出結果を有効にする前の GeneratorID | 統合コントロールの検出結果を有効にした後の GeneratorID |
|---|---|
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.1 |
security-control/CloudWatch.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.10 |
security-control/IAM.16 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.11 |
security-control/IAM.17 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.12 |
security-control/IAM.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.13 |
security-control/IAM.9 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.14 |
security-control/IAM.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.16 |
security-control/IAM.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.2 |
security-control/IAM.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.20 |
security-control/IAM.18 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.22 |
security-control/IAM.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.3 |
security-control/IAM.8 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.4 |
security-control/IAM.3 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.5 |
security-control/IAM.11 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.6 |
security-control/IAM.12 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.7 |
security-control/IAM.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.8 |
security-control/IAM.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/1.9 |
security-control/IAM.15 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.1 |
security-control/CloudTrail.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.2 |
security-control/CloudTrail.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.3 |
security-control/CloudTrail.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.4 |
security-control/CloudTrail.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.5 |
security-control/Config.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.6 |
security-control/CloudTrail.7 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.7 |
security-control/CloudTrail.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.8 |
security-control/KMS.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.9 |
security-control/EC2.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.1 |
security-control/CloudWatch.2 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.2 |
security-control/CloudWatch.3 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.3 |
security-control/CloudWatch.1 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.4 |
security-control/CloudWatch.4 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.5 |
security-control/CloudWatch.5 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.6 |
security-control/CloudWatch.6 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.7 |
security-control/CloudWatch.7 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.8 |
security-control/CloudWatch.8 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.9 |
security-control/CloudWatch.9 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.10 |
security-control/CloudWatch.10 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.11 |
security-control/CloudWatch.11 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.12 |
security-control/CloudWatch.12 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.13 |
security-control/CloudWatch.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/3.14 |
security-control/CloudWatch.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.1 |
security-control/EC2.13 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.2 |
security-control/EC2.14 |
|
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/4.3 |
security-control/EC2.2 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.10 |
security-control/IAM.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.14 |
security-control/IAM.3 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.16 |
security-control/IAM.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.17 |
security-control/IAM.18 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.4 |
security-control/IAM.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.5 |
security-control/IAM.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.6 |
security-control/IAM.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.7 |
security-control/CloudWatch.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.8 |
security-control/IAM.15 |
|
cis-aws-foundations-benchmark/v/1.4.0/1.9 |
security-control/IAM.16 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.2 |
security-control/S3.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.5.1 |
security-control/S3.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.1.5.2 |
security-control/S3.8 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.2.1 |
security-control/EC2.7 |
|
cis-aws-foundations-benchmark/v/1.4.0/2.3.1 |
security-control/RDS.3 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.1 |
security-control/CloudTrail.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.2 |
security-control/CloudTrail.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.4 |
security-control/CloudTrail.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.5 |
security-control/Config.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.6 |
security-control/S3.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.7 |
security-control/CloudTrail.2 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.8 |
security-control/KMS.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/3.9 |
security-control/EC2.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.3 |
security-control/CloudWatch.1 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.4 |
security-control/CloudWatch.4 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.5 |
security-control/CloudWatch.5 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.6 |
security-control/CloudWatch.6 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.7 |
security-control/CloudWatch.7 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.8 |
security-control/CloudWatch.8 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.9 |
security-control/CloudWatch.9 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.10 |
security-control/CloudWatch.10 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.11 |
security-control/CloudWatch.11 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.12 |
security-control/CloudWatch.12 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.13 |
security-control/CloudWatch.13 |
|
cis-aws-foundations-benchmark/v/1.4.0/4.14 |
security-control/CloudWatch.14 |
|
cis-aws-foundations-benchmark/v/1.4.0/5.1 |
security-control/EC2.21 |
|
cis-aws-foundations-benchmark/v/1.4.0/5.3 |
security-control/EC2.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Account.1 |
security-control/Account.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ACM.1 |
security-control/ACM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.1 |
security-control/APIGateway.1 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.2 |
security-control/APIGateway.2 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.3 |
security-control/APIGateway.3 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.4 |
security-control/APIGateway.4 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.5 |
security-control/APIGateway.5 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.8 |
security-control/APIGateway.8 |
|
aws-foundational-security-best-practices/v/1.0.0/APIGateway.9 |
security-control/APIGateway.9 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.1 |
security-control/AutoScaling.1 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.2 |
security-control/AutoScaling.2 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.3 |
security-control/AutoScaling.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Autoscaling.5 |
security-control/Autoscaling.5 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.6 |
security-control/AutoScaling.6 |
|
aws-foundational-security-best-practices/v/1.0.0/AutoScaling.9 |
security-control/AutoScaling.9 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.1 |
security-control/CloudFront.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.3 |
security-control/CloudFront.3 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.4 |
security-control/CloudFront.4 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.5 |
security-control/CloudFront.5 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.6 |
security-control/CloudFront.6 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.7 |
security-control/CloudFront.7 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.8 |
security-control/CloudFront.8 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.9 |
security-control/CloudFront.9 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.10 |
security-control/CloudFront.10 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudFront.12 |
security-control/CloudFront.12 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.1 |
security-control/CloudTrail.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.2 |
security-control/CloudTrail.2 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.4 |
security-control/CloudTrail.4 |
|
aws-foundational-security-best-practices/v/1.0.0/CloudTrail.5 |
security-control/CloudTrail.5 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.1 |
security-control/CodeBuild.1 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.2 |
security-control/CodeBuild.2 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.3 |
security-control/CodeBuild.3 |
|
aws-foundational-security-best-practices/v/1.0.0/CodeBuild.4 |
security-control/CodeBuild.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Config.1 |
security-control/Config.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DMS.1 |
security-control/DMS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.1 |
security-control/DynamoDB.1 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.2 |
security-control/DynamoDB.2 |
|
aws-foundational-security-best-practices/v/1.0.0/DynamoDB.3 |
security-control/DynamoDB.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.1 |
security-control/EC2.1 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.3 |
security-control/EC2.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.4 |
security-control/EC2.4 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.6 |
security-control/EC2.6 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.7 |
security-control/EC2.7 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.8 |
security-control/EC2.8 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.9 |
security-control/EC2.9 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.10 |
security-control/EC2.10 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.15 |
security-control/EC2.15 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.16 |
security-control/EC2.16 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.17 |
security-control/EC2.17 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.18 |
security-control/EC2.18 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.19 |
security-control/EC2.19 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.2 |
security-control/EC2.2 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.20 |
security-control/EC2.20 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.21 |
security-control/EC2.21 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.23 |
security-control/EC2.23 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.24 |
security-control/EC2.24 |
|
aws-foundational-security-best-practices/v/1.0.0/EC2.25 |
security-control/EC2.25 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.1 |
security-control/ECR.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.2 |
security-control/ECR.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ECR.3 |
security-control/ECR.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.1 |
security-control/ECS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.10 |
security-control/ECS.10 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.12 |
security-control/ECS.12 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.2 |
security-control/ECS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.3 |
security-control/ECS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.4 |
security-control/ECS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.5 |
security-control/ECS.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ECS.8 |
security-control/ECS.8 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.1 |
security-control/EFS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.2 |
security-control/EFS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.3 |
security-control/EFS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/EFS.4 |
security-control/EFS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/EKS.2 |
security-control/EKS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.1 |
security-control/ElasticBeanstalk.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ElasticBeanstalk.2 |
security-control/ElasticBeanstalk.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ELBv2.1 |
security-control/ELB.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.2 |
security-control/ELB.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.3 |
security-control/ELB.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.4 |
security-control/ELB.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.5 |
security-control/ELB.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.6 |
security-control/ELB.6 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.7 |
security-control/ELB.7 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.8 |
security-control/ELB.8 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.9 |
security-control/ELB.9 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.10 |
security-control/ELB.10 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.11 |
security-control/ELB.11 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.12 |
security-control/ELB.12 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.13 |
security-control/ELB.13 |
|
aws-foundational-security-best-practices/v/1.0.0/ELB.14 |
security-control/ELB.14 |
|
aws-foundational-security-best-practices/v/1.0.0/EMR.1 |
security-control/EMR.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.1 |
security-control/ES.1 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.2 |
security-control/ES.2 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.3 |
security-control/ES.3 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.4 |
security-control/ES.4 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.5 |
security-control/ES.5 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.6 |
security-control/ES.6 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.7 |
security-control/ES.7 |
|
aws-foundational-security-best-practices/v/1.0.0/ES.8 |
security-control/ES.8 |
|
aws-foundational-security-best-practices/v/1.0.0/GuardDuty.1 |
security-control/GuardDuty.1 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.1 |
security-control/IAM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.2 |
security-control/IAM.2 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.21 |
security-control/IAM.21 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.3 |
security-control/IAM.3 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.4 |
security-control/IAM.4 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.5 |
security-control/IAM.5 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.6 |
security-control/IAM.6 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.7 |
security-control/IAM.7 |
|
aws-foundational-security-best-practices/v/1.0.0/IAM.8 |
security-control/IAM.8 |
|
aws-foundational-security-best-practices/v/1.0.0/Kinesis.1 |
security-control/Kinesis.1 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.1 |
security-control/KMS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.2 |
security-control/KMS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/KMS.3 |
security-control/KMS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.1 |
security-control/Lambda.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.2 |
security-control/Lambda.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Lambda.5 |
security-control/Lambda.5 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.3 |
security-control/NetworkFirewall.3 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.4 |
security-control/NetworkFirewall.4 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.5 |
security-control/NetworkFirewall.5 |
|
aws-foundational-security-best-practices/v/1.0.0/NetworkFirewall.6 |
security-control/NetworkFirewall.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.1 |
security-control/Opensearch.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.2 |
security-control/Opensearch.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.3 |
security-control/Opensearch.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.4 |
security-control/Opensearch.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.5 |
security-control/Opensearch.5 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.6 |
security-control/Opensearch.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.7 |
security-control/Opensearch.7 |
|
aws-foundational-security-best-practices/v/1.0.0/Opensearch.8 |
security-control/Opensearch.8 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.1 |
security-control/RDS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.10 |
security-control/RDS.10 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.11 |
security-control/RDS.11 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.12 |
security-control/RDS.12 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.13 |
security-control/RDS.13 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.14 |
security-control/RDS.14 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.15 |
security-control/RDS.15 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.16 |
security-control/RDS.16 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.17 |
security-control/RDS.17 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.19 |
security-control/RDS.19 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.2 |
security-control/RDS.2 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.20 |
security-control/RDS.20 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.21 |
security-control/RDS.21 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.22 |
security-control/RDS.22 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.23 |
security-control/RDS.23 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.24 |
security-control/RDS.24 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.25 |
security-control/RDS.25 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.3 |
security-control/RDS.3 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.4 |
security-control/RDS.4 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.5 |
security-control/RDS.5 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.6 |
security-control/RDS.6 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.7 |
security-control/RDS.7 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.8 |
security-control/RDS.8 |
|
aws-foundational-security-best-practices/v/1.0.0/RDS.9 |
security-control/RDS.9 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.1 |
security-control/Redshift.1 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.2 |
security-control/Redshift.2 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.3 |
security-control/Redshift.3 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.4 |
security-control/Redshift.4 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.6 |
security-control/Redshift.6 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.7 |
security-control/Redshift.7 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.8 |
security-control/Redshift.8 |
|
aws-foundational-security-best-practices/v/1.0.0/Redshift.9 |
security-control/Redshift.9 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.1 |
security-control/S3.1 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.12 |
security-control/S3.12 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.13 |
security-control/S3.13 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.2 |
security-control/S3.2 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.3 |
security-control/S3.3 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.5 |
security-control/S3.5 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.6 |
security-control/S3.6 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.8 |
security-control/S3.8 |
|
aws-foundational-security-best-practices/v/1.0.0/S3.9 |
security-control/S3.9 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.1 |
security-control/SageMaker.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.2 |
security-control/SageMaker.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SageMaker.3 |
security-control/SageMaker.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.1 |
security-control/SecretsManager.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.2 |
security-control/SecretsManager.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.3 |
security-control/SecretsManager.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SecretsManager.4 |
security-control/SecretsManager.4 |
|
aws-foundational-security-best-practices/v/1.0.0/SQS.1 |
security-control/SQS.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.1 |
security-control/SSM.1 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.2 |
security-control/SSM.2 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.3 |
security-control/SSM.3 |
|
aws-foundational-security-best-practices/v/1.0.0/SSM.4 |
security-control/SSM.4 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.1 |
security-control/WAF.1 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.2 |
security-control/WAF.2 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.3 |
security-control/WAF.3 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.4 |
security-control/WAF.4 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.6 |
security-control/WAF.6 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.7 |
security-control/WAF.7 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.8 |
security-control/WAF.8 |
|
aws-foundational-security-best-practices/v/1.0.0/WAF.10 |
security-control/WAF.10 |
|
pci-dss/v/3.2.1/PCI.AutoScaling.1 |
security-control/AutoScaling.1 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.1 |
security-control/CloudTrail.2 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.2 |
security-control/CloudTrail.3 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.3 |
security-control/CloudTrail.4 |
|
pci-dss/v/3.2.1/PCI.CloudTrail.4 |
security-control/CloudTrail.5 |
|
pci-dss/v/3.2.1/PCI.CodeBuild.1 |
security-control/CodeBuild.1 |
|
pci-dss/v/3.2.1/PCI.CodeBuild.2 |
security-control/CodeBuild.2 |
|
pci-dss/v/3.2.1/PCI.Config.1 |
security-control/Config.1 |
|
pci-dss/v/3.2.1/PCI.CW.1 |
security-control/CloudWatch.1 |
|
pci-dss/v/3.2.1/PCI.DMS.1 |
security-control/DMS.1 |
|
pci-dss/v/3.2.1/PCI.EC2.1 |
security-control/EC2.1 |
|
pci-dss/v/3.2.1/PCI.EC2.2 |
security-control/EC2.2 |
|
pci-dss/v/3.2.1/PCI.EC2.4 |
security-control/EC2.12 |
|
pci-dss/v/3.2.1/PCI.EC2.5 |
security-control/EC2.13 |
|
pci-dss/v/3.2.1/PCI.EC2.6 |
security-control/EC2.6 |
|
pci-dss/v/3.2.1/PCI.ELBv2.1 |
security-control/ELB.1 |
|
pci-dss/v/3.2.1/PCI.ES.1 |
security-control/ES.2 |
|
pci-dss/v/3.2.1/PCI.ES.2 |
security-control/ES.1 |
|
pci-dss/v/3.2.1/PCI.GuardDuty.1 |
security-control/GuardDuty.1 |
|
pci-dss/v/3.2.1/PCI.IAM.1 |
security-control/IAM.4 |
|
pci-dss/v/3.2.1/PCI.IAM.2 |
security-control/IAM.2 |
|
pci-dss/v/3.2.1/PCI.IAM.3 |
security-control/IAM.1 |
|
pci-dss/v/3.2.1/PCI.IAM.4 |
security-control/IAM.6 |
|
pci-dss/v/3.2.1/PCI.IAM.5 |
security-control/IAM.9 |
|
pci-dss/v/3.2.1/PCI.IAM.6 |
security-control/IAM.19 |
|
pci-dss/v/3.2.1/PCI.IAM.7 |
security-control/IAM.8 |
|
pci-dss/v/3.2.1/PCI.IAM.8 |
security-control/IAM.10 |
|
pci-dss/v/3.2.1/PCI.KMS.1 |
security-control/KMS.4 |
|
pci-dss/v/3.2.1/PCI.Lambda.1 |
security-control/Lambda.1 |
|
pci-dss/v/3.2.1/PCI.Lambda.2 |
security-control/Lambda.3 |
|
pci-dss/v/3.2.1/PCI.Opensearch.1 |
security-control/Opensearch.2 |
|
pci-dss/v/3.2.1/PCI.Opensearch.2 |
security-control/Opensearch.1 |
|
pci-dss/v/3.2.1/PCI.RDS.1 |
security-control/RDS.1 |
|
pci-dss/v/3.2.1/PCI.RDS.2 |
security-control/RDS.2 |
|
pci-dss/v/3.2.1/PCI.Redshift.1 |
security-control/Redshift.1 |
|
pci-dss/v/3.2.1/PCI.S3.1 |
security-control/S3.3 |
|
pci-dss/v/3.2.1/PCI.S3.2 |
security-control/S3.2 |
|
pci-dss/v/3.2.1/PCI.S3.3 |
security-control/S3.7 |
|
pci-dss/v/3.2.1/PCI.S3.5 |
security-control/S3.5 |
|
pci-dss/v/3.2.1/PCI.S3.6 |
security-control/S3.1 |
|
pci-dss/v/3.2.1/PCI.SageMaker.1 |
security-control/SageMaker.1 |
|
pci-dss/v/3.2.1/PCI.SSM.1 |
security-control/SSM.2 |
|
pci-dss/v/3.2.1/PCI.SSM.2 |
security-control/SSM.3 |
|
pci-dss/v/3.2.1/PCI.SSM.3 |
security-control/SSM.1 |
|
service-managed-aws-control-tower/v/1.0.0/ACM.1 |
security-control/ACM.1 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.1 |
security-control/APIGateway.1 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.2 |
security-control/APIGateway.2 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.3 |
security-control/APIGateway.3 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.4 |
security-control/APIGateway.4 |
|
service-managed-aws-control-tower/v/1.0.0/APIGateway.5 |
security-control/APIGateway.5 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.1 |
security-control/AutoScaling.1 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.2 |
security-control/AutoScaling.2 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.3 |
security-control/AutoScaling.3 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.4 |
security-control/AutoScaling.4 |
|
service-managed-aws-control-tower/v/1.0.0/Autoscaling.5 |
security-control/Autoscaling.5 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.6 |
security-control/AutoScaling.6 |
|
service-managed-aws-control-tower/v/1.0.0/AutoScaling.9 |
security-control/AutoScaling.9 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.1 |
security-control/CloudTrail.1 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.2 |
security-control/CloudTrail.2 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.4 |
security-control/CloudTrail.4 |
|
service-managed-aws-control-tower/v/1.0.0/CloudTrail.5 |
security-control/CloudTrail.5 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1 |
security-control/CodeBuild.1 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.2 |
security-control/CodeBuild.2 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.4 |
security-control/CodeBuild.4 |
|
service-managed-aws-control-tower/v/1.0.0/CodeBuild.5 |
security-control/CodeBuild.5 |
|
service-managed-aws-control-tower/v/1.0.0/DMS.1 |
security-control/DMS.1 |
|
service-managed-aws-control-tower/v/1.0.0/DynamoDB.1 |
security-control/DynamoDB.1 |
|
service-managed-aws-control-tower/v/1.0.0/DynamoDB.2 |
security-control/DynamoDB.2 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.1 |
security-control/EC2.1 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.2 |
security-control/EC2.2 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.3 |
security-control/EC2.3 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.4 |
security-control/EC2.4 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.6 |
security-control/EC2.6 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.7 |
security-control/EC2.7 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.8 |
security-control/EC2.8 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.9 |
security-control/EC2.9 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.10 |
security-control/EC2.10 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.15 |
security-control/EC2.15 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.16 |
security-control/EC2.16 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.17 |
security-control/EC2.17 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.18 |
security-control/EC2.18 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.19 |
security-control/EC2.19 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.20 |
security-control/EC2.20 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.21 |
security-control/EC2.21 |
|
service-managed-aws-control-tower/v/1.0.0/EC2.22 |
security-control/EC2.22 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.1 |
security-control/ECR.1 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.2 |
security-control/ECR.2 |
|
service-managed-aws-control-tower/v/1.0.0/ECR.3 |
security-control/ECR.3 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.1 |
security-control/ECS.1 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.2 |
security-control/ECS.2 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.3 |
security-control/ECS.3 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.4 |
security-control/ECS.4 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.5 |
security-control/ECS.5 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.8 |
security-control/ECS.8 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.10 |
security-control/ECS.10 |
|
service-managed-aws-control-tower/v/1.0.0/ECS.12 |
security-control/ECS.12 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.1 |
security-control/EFS.1 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.2 |
security-control/EFS.2 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.3 |
security-control/EFS.3 |
|
service-managed-aws-control-tower/v/1.0.0/EFS.4 |
security-control/EFS.4 |
|
service-managed-aws-control-tower/v/1.0.0/EKS.2 |
security-control/EKS.2 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.2 |
security-control/ELB.2 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.3 |
security-control/ELB.3 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.4 |
security-control/ELB.4 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.5 |
security-control/ELB.5 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.6 |
security-control/ELB.6 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.7 |
security-control/ELB.7 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.8 |
security-control/ELB.8 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.9 |
security-control/ELB.9 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.10 |
security-control/ELB.10 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.12 |
security-control/ELB.12 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.13 |
security-control/ELB.13 |
|
service-managed-aws-control-tower/v/1.0.0/ELB.14 |
security-control/ELB.14 |
|
service-managed-aws-control-tower/v/1.0.0/ELBv2.1 |
security-control/ELBv2.1 |
|
service-managed-aws-control-tower/v/1.0.0/EMR.1 |
security-control/EMR.1 |
|
service-managed-aws-control-tower/v/1.0.0/ES.1 |
security-control/ES.1 |
|
service-managed-aws-control-tower/v/1.0.0/ES.2 |
security-control/ES.2 |
|
service-managed-aws-control-tower/v/1.0.0/ES.3 |
security-control/ES.3 |
|
service-managed-aws-control-tower/v/1.0.0/ES.4 |
security-control/ES.4 |
|
service-managed-aws-control-tower/v/1.0.0/ES.5 |
security-control/ES.5 |
|
service-managed-aws-control-tower/v/1.0.0/ES.6 |
security-control/ES.6 |
|
service-managed-aws-control-tower/v/1.0.0/ES.7 |
security-control/ES.7 |
|
service-managed-aws-control-tower/v/1.0.0/ES.8 |
security-control/ES.8 |
|
service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.1 |
security-control/ElasticBeanstalk.1 |
|
service-managed-aws-control-tower/v/1.0.0/ElasticBeanstalk.2 |
security-control/ElasticBeanstalk.2 |
|
service-managed-aws-control-tower/v/1.0.0/GuardDuty.1 |
security-control/GuardDuty.1 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.1 |
security-control/IAM.1 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.2 |
security-control/IAM.2 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.3 |
security-control/IAM.3 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.4 |
security-control/IAM.4 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.5 |
security-control/IAM.5 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.6 |
security-control/IAM.6 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.7 |
security-control/IAM.7 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.8 |
security-control/IAM.8 |
|
service-managed-aws-control-tower/v/1.0.0/IAM.21 |
security-control/IAM.21 |
|
service-managed-aws-control-tower/v/1.0.0/Kinesis.1 |
security-control/Kinesis.1 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.1 |
security-control/KMS.1 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.2 |
security-control/KMS.2 |
|
service-managed-aws-control-tower/v/1.0.0/KMS.3 |
security-control/KMS.3 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.1 |
security-control/Lambda.1 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.2 |
security-control/Lambda.2 |
|
service-managed-aws-control-tower/v/1.0.0/Lambda.5 |
security-control/Lambda.5 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.3 |
security-control/NetworkFirewall.3 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.4 |
security-control/NetworkFirewall.4 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.5 |
security-control/NetworkFirewall.5 |
|
service-managed-aws-control-tower/v/1.0.0/NetworkFirewall.6 |
security-control/NetworkFirewall.6 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.1 |
security-control/Opensearch.1 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.2 |
security-control/Opensearch.2 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.3 |
security-control/Opensearch.3 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.4 |
security-control/Opensearch.4 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.5 |
security-control/Opensearch.5 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.6 |
security-control/Opensearch.6 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.7 |
security-control/Opensearch.7 |
|
service-managed-aws-control-tower/v/1.0.0/Opensearch.8 |
security-control/Opensearch.8 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.1 |
security-control/RDS.1 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.2 |
security-control/RDS.2 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.3 |
security-control/RDS.3 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.4 |
security-control/RDS.4 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.5 |
security-control/RDS.5 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.6 |
security-control/RDS.6 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.8 |
security-control/RDS.8 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.9 |
security-control/RDS.9 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.10 |
security-control/RDS.10 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.11 |
security-control/RDS.11 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.13 |
security-control/RDS.13 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.17 |
security-control/RDS.17 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.18 |
security-control/RDS.18 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.19 |
security-control/RDS.19 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.20 |
security-control/RDS.20 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.21 |
security-control/RDS.21 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.22 |
security-control/RDS.22 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.23 |
security-control/RDS.23 |
|
service-managed-aws-control-tower/v/1.0.0/RDS.25 |
security-control/RDS.25 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.1 |
security-control/Redshift.1 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.2 |
security-control/Redshift.2 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.4 |
security-control/Redshift.4 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.6 |
security-control/Redshift.6 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.7 |
security-control/Redshift.7 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.8 |
security-control/Redshift.8 |
|
service-managed-aws-control-tower/v/1.0.0/Redshift.9 |
security-control/Redshift.9 |
|
service-managed-aws-control-tower/v/1.0.0/S3.1 |
security-control/S3.1 |
|
service-managed-aws-control-tower/v/1.0.0/S3.2 |
security-control/S3.2 |
|
service-managed-aws-control-tower/v/1.0.0/S3.3 |
security-control/S3.3 |
|
service-managed-aws-control-tower/v/1.0.0/S3.5 |
security-control/S3.5 |
|
service-managed-aws-control-tower/v/1.0.0/S3.6 |
security-control/S3.6 |
|
service-managed-aws-control-tower/v/1.0.0/S3.8 |
security-control/S3.8 |
|
service-managed-aws-control-tower/v/1.0.0/S3.9 |
security-control/S3.9 |
|
service-managed-aws-control-tower/v/1.0.0/S3.12 |
security-control/S3.12 |
|
service-managed-aws-control-tower/v/1.0.0/S3.13 |
security-control/S3.13 |
|
service-managed-aws-control-tower/v/1.0.0/SageMaker.1 |
security-control/SageMaker.1 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.1 |
security-control/SecretsManager.1 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.2 |
security-control/SecretsManager.2 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.3 |
security-control/SecretsManager.3 |
|
service-managed-aws-control-tower/v/1.0.0/SecretsManager.4 |
security-control/SecretsManager.4 |
|
service-managed-aws-control-tower/v/1.0.0/SQS.1 |
security-control/SQS.1 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.1 |
security-control/SSM.1 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.2 |
security-control/SSM.2 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.3 |
security-control/SSM.3 |
|
service-managed-aws-control-tower/v/1.0.0/SSM.4 |
security-control/SSM.4 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.2 |
security-control/WAF.2 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.3 |
security-control/WAF.3 |
|
service-managed-aws-control-tower/v/1.0.0/WAF.4 |
security-control/WAF.4 |
統合がコントロール ID とタイトルに与える影響
統合されたコントロールビューと統合されたコントロールの検出結果は、コントロール ID とタイトルを標準間で標準化します。セキュリティコントロール ID とセキュリティコントロールタイトルという用語は、これらの標準にとらわれない値を指します。
Security Hub CSPM コンソールには、アカウントで統合コントロールIDs とセキュリティコントロールタイトルが表示されます。ただし、アカウントで統合コントロールの検出結果が無効になっている場合、Security Hub CSPM の検出結果には PCI DSS および CIS v1.2.0 の標準固有のコントロールタイトルが含まれています。さらに、Security Hub CSPM の検出結果には、標準固有のコントロール ID とセキュリティコントロール ID が含まれます。統合がコントロールの検出結果にどのように影響するかの例については、「」を参照してくださいコントロールの検出結果のサンプル。
AWS Control Tower サービスマネージド標準の一部であるコントロールの場合、統合コントロールの検出結果が有効になっていると、検出結果のコントロール ID とタイトルからプレフィックスがCT.削除されます。
Security Hub CSPM でセキュリティコントロールを無効にするには、セキュリティコントロールに対応するすべての標準コントロールを無効にする必要があります。次の表に、セキュリティコントロール ID とタイトルを標準固有のコントロール ID とタイトルにマッピングする方法について示します。 AWS Foundational Security Best Practices (FSBP) 標準に属するコントロールの IDs とタイトルは、既に標準に依存しません。コントロールと Center for Internet Security (CIS) v3.0.0 の要件のマッピングについては、「各バージョンの CIS 要件に対するコントロールのマッピング」を参照してください。このテーブルで独自のスクリプトを実行するには、.csv ファイルとしてダウンロードできます。
| 規格 | 標準コントロール ID とタイトル | セキュリティコントロール ID とタイトル |
|---|---|---|
|
CIS v1.2.0 |
1.1 ルートユーザーの使用を避ける |
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります |
|
CIS v1.2.0 |
1.10 IAM パスワードポリシーでパスワードの再使用を防止していることを確認する |
|
|
CIS v1.2.0 |
1.11 IAM パスワードポリシーでパスワードが 90 日以内に有効期限切れとなることを確認する |
|
|
CIS v1.2.0 |
1.12 ルートユーザーのアクセスキーが存在しないことを確認する |
|
|
CIS v1.2.0 |
1.13 MFA がルートユーザーで有効になっていることを確認する |
|
|
CIS v1.2.0 |
1.14 ハードウェア MFA がルートユーザーで有効になっていることを確認する |
|
|
CIS v1.2.0 |
1.16 IAM ポリシーがグループまたはロールだけにアタッチされていることを確認する |
|
|
CIS v1.2.0 |
1.2 コンソールパスワードを持つすべての IAM ユーザーに対して多要素認証 (MFA) が有効であることを確認する |
|
|
CIS v1.2.0 |
1.20 サポートでインシデントを管理するためのサポートロールが作成されていることを確認する |
|
|
CIS v1.2.0 |
1.22 完全な「*:*」管理者権限を許可する IAM ポリシーが作成されていないことを確認する |
|
|
CIS v1.2.0 |
1.3 90 日間以上使用されていない認証情報は無効にします。 |
|
|
CIS v1.2.0 |
1.4 アクセスキーは 90 日ごとに更新します。 |
|
|
CIS v1.2.0 |
1.5 IAM パスワードポリシーで少なくとも 1 文字の大文字が要求されていることを確認する |
|
|
CIS v1.2.0 |
1.6 IAM パスワードポリシーで少なくとも 1 文字の小文字が要求されていることを確認する |
|
|
CIS v1.2.0 |
1.7 IAM パスワードポリシーで少なくとも 1 文字の記号が要求されていることを確認する |
|
|
CIS v1.2.0 |
1.8 IAM パスワードポリシーで少なくとも 1 文字の数字が要求されていることを確認する |
|
|
CIS v1.2.0 |
1.9 IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認する |
|
|
CIS v1.2.0 |
2.1 CloudTrail がすべてのリージョンで有効であることを確認する |
[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。 |
|
CIS v1.2.0 |
2.2 CloudTrail ログファイル検証が有効であることを確認する |
|
|
CIS v1.2.0 |
2.3 CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認する |
[CloudTrail.6] CloudTrail ログの保存に使用される S3 バケットが一般公開されていないことを確認します |
|
CIS v1.2.0 |
2.4 CloudTrail 証跡が CloudWatch ログと統合されていることを確認する |
[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります |
|
CIS v1.2.0 |
2.5 AWS Config が有効になっていることを確認する |
[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります |
|
CIS v1.2.0 |
2.6 CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認する |
[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します |
|
CIS v1.2.0 |
2.7 CloudTrail ログは保管時に KMS CMK を使用して暗号化されていることを確認する |
|
|
CIS v1.2.0 |
2.8 カスタマー作成の CMK のローテーションが有効になっていることを確認します |
|
|
CIS v1.2.0 |
2.9 すべての VPC で VPC フローログ記録が有効になっていることを確認します |
|
|
CIS v1.2.0 |
3.1 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します |
[CloudWatch.2] 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.10 セキュリティグループの変更に対するメトリクスフィルターとアラームが存在することを確認します |
[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.11 ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します |
[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.12 ネットワークゲートウェイへの変更に対するログメトリクスとアラームが存在することを確認します |
[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.13 ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します |
[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.14 VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します |
|
|
CIS v1.2.0 |
3.2 MFA を使用しないマネジメントコンソールサインインに対してログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.3] MFA を使用しないマネジメントコンソールサインインに対してログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.3 ルートユーザーに使用するログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります |
|
CIS v1.2.0 |
3.4 IAM ポリシーの変更に対するログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.5 CloudTrail 設定の変更に対するログ メトリックフィルターとアラームが存在することを確認する |
[CloudWatch.5] CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する |
|
CIS v1.2.0 |
3.6 AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する |
[CloudWatch.6] AWS Management Console 認証失敗のログメトリクスフィルターとアラームが存在することを確認する |
|
CIS v1.2.0 |
3.7 カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリクスフィルターとアラームが存在することを確認します |
[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.8 S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します |
[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.2.0 |
3.9 AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する |
[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する |
|
CIS v1.2.0 |
4.1 どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします |
[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります |
|
CIS v1.2.0 |
4.2 どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします |
[EC2.14] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 3389 への入力を許可しないようにする必要があります |
|
CIS v1.2.0 |
4.3 すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限するようにします。 |
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします |
|
CIS v1.4.0 |
1.10 コンソールパスワードを持つすべての IAM ユーザーに対して多要素認証 (MFA) が有効であることを確認する |
|
|
CIS v1.4.0 |
1.14 アクセスキーは 90 日以内ごとに更新されているのを確認する |
|
|
CIS v1.4.0 |
1.16 完全な「*:*」管理権限を許可する IAM ポリシーがアタッチされていないことを確認する |
|
|
CIS v1.4.0 |
1.17 サポートでインシデントを管理するためのサポートロールが作成されていることを確認する |
|
|
CIS v1.4.0 |
1.4 ルートユーザーアカウントのアクセスキーが存在しないことを確認する |
|
|
CIS v1.4.0 |
1.5 ルートユーザーアカウントで MFA が有効であることを確認する |
|
|
CIS v1.4.0 |
1.6 ルートユーザーアカウントでハードウェア MFA が有効であることを確認する |
|
|
CIS v1.4.0 |
1.7 管理および日常のタスクでのルートユーザーの使用を排除する |
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります |
|
CIS v1.4.0 |
1.8 IAM パスワードポリシーで 14 文字以上の長さが要求されていることを確認する |
|
|
CIS v1.4.0 |
1.9 IAM パスワードポリシーでパスワードの再使用を防止していることを確認する |
|
|
CIS v1.4.0 |
2.1.2 S3 バケットポリシーが HTTP リクエストを拒否するように設定されていることを確認する |
|
|
CIS v1.4.0 |
2.1.5.1 S3 ブロックパブリックアクセス設定を有効にする必要があります |
|
|
CIS v1.4.0 |
2.1.5.2 S3 ブロックパブリックアクセス設定は、バケットレベルで有効にする必要があります |
|
|
CIS v1.4.0 |
2.2.1 EBS ボリュームの暗号化が有効であることを確認する |
|
|
CIS v1.4.0 |
2.3.1 RDS インスタンスで暗号化が有効であることを確認する |
|
|
CIS v1.4.0 |
3.1 CloudTrail がすべてのリージョンで有効であることを確認する |
[CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチリージョンの追跡で、読み取りと書き込みの管理イベントを含めた設定をする必要があります。 |
|
CIS v1.4.0 |
3.2 CloudTrail ログファイル検証が有効であることを確認する |
|
|
CIS v1.4.0 |
3.4 CloudTrail 証跡が CloudWatch ログと統合されていることを確認する |
[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります |
|
CIS v1.4.0 |
3.5 すべてのリージョンで AWS Config が有効になっていることを確認する |
[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります |
|
CIS v1.4.0 |
3.6 CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認する |
[CloudTrail.7] CloudTrail S3 バケットで、S3 バケットアクセスログ記録が有効であることを確認します |
|
CIS v1.4.0 |
3.7 CloudTrail ログは保管時に KMS CMK を使用して暗号化されていることを確認する |
|
|
CIS v1.4.0 |
3.8 カスタマー作成の CMK のローテーションが有効になっていることを確認する |
|
|
CIS v1.4.0 |
3.9 すべての VPC で VPC フローログ記録が有効になっていることを確認する |
|
|
CIS v1.4.0 |
4.4 IAM ポリシーの変更に対するログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.4] IAM ポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.4.0 |
4.5 CloudTrail 設定の変更に対するログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.5] CloudTrail 設定変更のログメトリクスフィルターとアラームが存在することを確認する |
|
CIS v1.4.0 |
4.6 AWS Management Console 認証の失敗に対してログメトリクスフィルターとアラームが存在することを確認する |
[CloudWatch.6] AWS Management Console 認証失敗のログメトリクスフィルターとアラームが存在することを確認する |
|
CIS v1.4.0 |
4.7 カスタマー作成の CMK の無効化またはスケジュールされた削除に対してログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.7] カスタマーマネージドキーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.4.0 |
4.8 S3 バケットの変更に対してログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.8] S3 バケットポリシーの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.4.0 |
4.9 AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する |
[CloudWatch.9] AWS Config 設定変更のログメトリクスフィルターとアラームが存在することを確認する |
|
CIS v1.4.0 |
4.10 セキュリティグループの変更に対するログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.10] セキュリティグループの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.4.0 |
4.11 ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.11] ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.4.0 |
4.12 ネットワークゲートウェイへの変更に対するログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.12] ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.4.0 |
4.13 ルートテーブルの変更に対してログメトリックフィルターとアラームが存在することを確認する |
[CloudWatch.13] ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します |
|
CIS v1.4.0 |
4.14 VPC の変更に対してログメトリックフィルターとアラームが存在することを確認する |
|
|
CIS v1.4.0 |
5.1 ネットワーク ACL が 0.0.0.0/0 からリモートサーバー管理ポートへの侵入を許可していないことを確認する |
[EC2.21] ネットワーク ACL は、0.0.0.0/0 からポート 22、またはポート 3389 への侵入を許可しないようにする必要があります |
|
CIS v1.4.0 |
5.3 すべての VPC のデフォルトセキュリティグループがすべてのトラフィックを制限するようにします |
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします |
|
PCI DSS v3.2.1 |
PCI.AutoScaling.1 ロードバランサーに関連付けられた Auto Scaling グループは、ロードバランサーのヘルスチェックを使用する必要があります |
[AutoScaling.1] ロードバランサーに関連付けられた Auto Scaling グループは ELB ヘルスチェックを使用する必要がある |
|
PCI DSS v3.2.1 |
PCI.CloudTrail.1 CloudTrail ログは、 AWS KMS CMKs を使用して保管時に暗号化する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.CloudTrail.2 CloudTrail を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.CloudTrail.3 CloudTrail ログファイルの検証を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.CloudTrail.4 CloudTrail 証跡は Amazon CloudWatch Logs と統合する必要があります |
[CloudTrail.5] CloudTrail 追跡は Amazon CloudWatch Logs と統合する必要があります |
|
PCI DSS v3.2.1 |
PCI.CodeBuild.1 CodeBuild GitHub または Bitbucket のソースリポジトリの URL は、OAuth を使用する必要があります |
[CodeBuild.1] CodeBuild Bitbucket ソースリポジトリの URL には機密認証情報を含めないでください |
|
PCI DSS v3.2.1 |
PCI.CodeBuild.2 CodeBuild プロジェクト環境変数に、クリアテキストの認証情報を含めるべきではない |
|
|
PCI DSS v3.2.1 |
PCI.Config.1 AWS Config を有効にする必要があります |
[Config.1] を有効にし、サービスにリンクされたロールをリソース記録に使用 AWS Config する必要があります |
|
PCI DSS v3.2.1 |
PCI.CW.1「ルート」ユーザーの使用に対するログメトリックフィルターとアラームが存在する必要があります |
[CloudWatch.1] 「ルート」ユーザーの使用に対するログメトリクスフィルターとアラームが存在する必要があります |
|
PCI DSS v3.2.1 |
PCI.DMS.1 Database Migration Service のレプリケーションインスタンスはパブリックではない必要があります |
[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります |
|
PCI DSS v3.2.1 |
PCI.EC2.1 EBS スナップショットをパブリックに復元可能であってはなりません |
|
|
PCI DSS v3.2.1 |
PCI.EC2.2 VPC のデフォルトのセキュリティグループで、インバウンドトラフィックとアウトバウンドトラフィックを禁止する必要があります |
[EC2.2] VPC のデフォルトのセキュリティグループでは、インバウンドトラフィックまたはアウトバウンドトラフィックを許可しないようにすることをお勧めします |
|
PCI DSS v3.2.1 |
PCI.EC2.4 未使用の EC2 EIP を削除する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.EC2.5 セキュリティグループは、0.0.0.0/0 からポート 22 への入力を許可しないようにする必要があります |
[EC2.13] セキュリティグループは、0.0.0.0/0 または ::/0 からポート 22 への入力を許可しないようにする必要があります |
|
PCI DSS v3.2.1 |
PCI.EC2.6 VPC フローログ記録をすべての VPC で有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.ELBV2.1 Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります |
[ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります |
|
PCI DSS v3.2.1 |
PCI.ES.1 Elasticsearch ドメインは VPC 内に存在する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.ES.2 Elasticsearch ドメインで保管中の暗号化を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.GuardDuty.1 GuardDuty を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.IAM.1 IAM ルートユーザーのアクセスキーが存在していてはなりません |
|
|
PCI DSS v3.2.1 |
PCI.IAM.2 IAM ユーザーには IAM ポリシーをアタッチしてはなりません |
|
|
PCI DSS v3.2.1 |
PCI.IAM.3 IAM ポリシーで、完全な「*」管理者権限を許可してはなりません |
|
|
PCI DSS v3.2.1 |
PCI.IAM.4 ルートユーザーに対してハードウェア MFA を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.IAM.5 ルートユーザーに対して仮想 MFA を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.IAM.6 すべての IAM ユーザーに対して MFA を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.IAM.7 IAM ユーザー認証情報が事前定義された日数以内に使用されない場合、認証情報を無効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.IAM.8 IAM ユーザーのパスワードポリシーには強力な設定が必要です |
|
|
PCI DSS v3.2.1 |
PCI.KMS.1 カスタマーマスターキー (CMK) ローテーションを有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.Lambda.1 Lambda 関数は、パブリックアクセスを禁止する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.Lambda.2 Lambda 関数は VPC 内に存在する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.Opensearch.1 OpenSearch ドメインは VPC 内に含まれている必要があります |
|
|
PCI DSS v3.2.1 |
PCI.Opensearch.2 EBS スナップショットをパブリックに復元可能であってはなりません |
|
|
PCI DSS v3.2.1 |
PCI.RDS.1 RDS スナップショットはプライベートである必要があります |
|
|
PCI DSS v3.2.1 |
PCI.RDS.2 RDS DB インスタンスでパブリックアクセスを禁止する必要があります |
[RDS.2] RDS DB インスタンスは、PubliclyAccessible 設定によって判断される、パブリックアクセスを禁止する必要があります |
|
PCI DSS v3.2.1 |
PCI.Redshift.1 Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります |
[PCI.Redshift.1] Amazon Redshift クラスターはパブリックアクセスを禁止する必要があります |
|
PCI DSS v3.2.1 |
PCI.S3.1 S3 バケットはパブリック書き込みアクセスを禁止する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.S3.2 S3 バケットではパブリック読み取りアクセスを禁止する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.S3.3 S3 バケットでクロスリージョンレプリケーションを有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.S3.5 S3 バケットは Secure Socket Layer を使用するリクエストを要求する必要があります |
|
|
PCI DSS v3.2.1 |
PCI.S3.6 S3 パブリックアクセスブロック設定を有効にする必要があります |
|
|
PCI DSS v3.2.1 |
PCI.SageMaker.1 Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります |
[SageMaker.1] Amazon SageMaker ノートブックインスタンスは、インターネットに直接アクセスできないようにする必要があります |
|
PCI DSS v3.2.1 |
PCI.SSM.1 Systems Manager によって管理される EC2 インスタンスは、パッチのインストール後に、パッチコンプライアンスのステータスが COMPLIANT である必要があります |
|
|
PCI DSS v3.2.1 |
PCI.SSM.2 Systems Manager によって管理される EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります |
[SSM.3] Systems Manager によって管理される Amazon EC2 インスタンスの関連付けコンプライアンスのステータスは COMPLIANT である必要があります |
|
PCI DSS v3.2.1 |
PCI.SSM.3 EC2 インスタンスは によって管理する必要があります AWS Systems Manager |
[SSM.1] Amazon EC2 インスタンスは によって管理する必要があります AWS Systems Manager |
統合に向けたワークフローの更新
ワークフローがコントロールの検出結果のフィールドの特定形式に依存していない場合、アクションは必要ありません。
前の表で説明したように、ワークフローがコントロール結果の 1 つ以上のフィールドの特定形式に依存している場合は、ワークフローを更新する必要があります。たとえば、コントロール ID が CIS 2.7 と等しい場合に AWS Lambda 関数を呼び出すなど、特定のコントロール ID のアクションをトリガーする Amazon EventBridge ルールを作成した場合は、そのコントロールの Compliance.SecurityControlIdフィールドの値である CloudTrail.2, を使用するようにルールを更新します。
変更されたフィールドまたは値のいずれかを使用するカスタムインサイトを作成した場合は、それらのインサイトを更新して新しいフィールドまたは値を使用します。
