有关Security Hub日志发现与CIS基准的问题
【以下的问题经过翻译处理】 在同一组织内子账户将日志转发到一个专用的子账户,如果日志配置不适当,CIS基准会标记这些子账户。在这种情况下,最佳实践是不是摒弃掉日志相关的发现(findings),然后创建一个自定义规则来查找没有配置日志转发的子账户?
第二个问题:
是否可以修改CIS基准SNS通知,以包含更详细的日志数据?或者这是否需要一个Security Hub Findings Custom Action事件?特别是当客户需要日志数据触发时间到邮件中,而非到Security Hub的面板。例如,CIS-3.1-UnauthorizedAPICalls,是否可以在SNS消息中包含触发阈值的日志?在Security Hub文档中,我找不到在不使用CloudWatch 事件自定义发现的情况下实现此功能的办法。
- 최신
- 최다 투표
- 가장 많은 댓글
【以下的回答经过翻译处理】 请查看下面关于您问题的回答:
Q1. 对于使用中央日志的客户,他们可以在所有推送日志到中央帐户的子帐户中禁用CIS 3.x检查,并仅在中央帐户中进行这些检查。详情请参阅-https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-cis-to-disable.html
CIS 2.1和FSBP [Cloudtrail.1]-检查是否在所有区域启用了CloudTrail以及是否存在多区域CloudTrail。客户应遵循最佳实践,使用organization trail(默认情况下在组织中的所有帐户上是启用的)。如果客户没有使用organization trail,即他们配置了中央日志记录并且有可能手动向central trail添加帐户,那么他们将需要一种方法来审计使用自定义规则不转发到central trail的帐户。
Q2. 对于CIS 3.x,这仅检查筛选器/警报是否已设置。据我所知,如果客户想要详细了解触发警报的活动,他们将需要使用CloudWatch Events custom findings 并转换。希望这可以帮助到你!