Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

有关Security Hub日志发现与CIS基准的问题

0

【以下的问题经过翻译处理】 在同一组织内子账户将日志转发到一个专用的子账户,如果日志配置不适当,CIS基准会标记这些子账户。在这种情况下,最佳实践是不是摒弃掉日志相关的发现(findings),然后创建一个自定义规则来查找没有配置日志转发的子账户?

第二个问题:

是否可以修改CIS基准SNS通知,以包含更详细的日志数据?或者这是否需要一个Security Hub Findings Custom Action事件?特别是当客户需要日志数据触发时间到邮件中,而非到Security Hub的面板。例如,CIS-3.1-UnauthorizedAPICalls,是否可以在SNS消息中包含触发阈值的日志?在Security Hub文档中,我找不到在不使用CloudWatch 事件自定义发现的情况下实现此功能的办法。

Themen
Sicherheit, Identität & KonformitätManagement & Unternehmensführung
Tags
AWS Sicherheits-HubAmazon CloudWatch
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 6 Monaten17 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 请查看下面关于您问题的回答:

Q1. 对于使用中央日志的客户,他们可以在所有推送日志到中央帐户的子帐户中禁用CIS 3.x检查,并仅在中央帐户中进行这些检查。详情请参阅-https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-cis-to-disable.html

CIS 2.1和FSBP [Cloudtrail.1]-检查是否在所有区域启用了CloudTrail以及是否存在多区域CloudTrail。客户应遵循最佳实践,使用organization trail(默认情况下在组织中的所有帐户上是启用的)。如果客户没有使用organization trail,即他们配置了中央日志记录并且有可能手动向central trail添加帐户,那么他们将需要一种方法来审计使用自定义规则不转发到central trail的帐户。

Q2. 对于CIS 3.x,这仅检查筛选器/警报是否已设置。据我所知,如果客户想要详细了解触发警报的活动,他们将需要使用CloudWatch Events custom findings 并转换。希望这可以帮助到你!

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 6 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt