~~NOCACHE~~
~~DISCUSSION~~

## 01.SecurityHub設定および準拠方針
SecurityHub設定および準拠方針を記載する。

[[https://pg.mnztech.work/dokuwiki/_media/securityhub.zip|検討資料]]

### 準拠方針
①SecurityHubを全リージョンで有効化し、以下の項目を有効化する。
AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効化

②全リージョンのConfigルールに[[Aws:SecurityManagement:SecurityHubSettingsAndCompliancePolicy#Configルール設定方針|Configルール設定方針]]に従いルール追加を行う。

③[[Aws:SecurityManagement:SecurityHubSettingsAndCompliancePolicy#EventBridgeルール設定項目|EventBridgeルール設定項目]]について、以下の方針に従い全リージョンでEventBridgeルールを設定する。
・メインリージョンのみSNS連携する。
・その他リージョンはメインリージョンのイベントバスへ、該当イベントを転送する設定とする。

#### Configルール設定方針
①[AWS の基本的なセキュリティのベストプラクティス標準]を有効化して、個別に以下のルールを追加する。
^ 種別     ^ タイトル                                                                                               ^ 緊急度  ^ AWS Config ルール                 ^ 備考          ^
| CIS      | [CIS 1.13] —「ルート」アカウントで MFA を有効にします。                                                | 最高    | root-account-mfa-enabled          | PCIDSSと重複  |
| CIS      | [CIS 1.20] - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。        | 低      | iam-policy-in-use                 |               |
| CIS      | [CIS 2.8] — カスタマー作成の KMS キーのローテーションが有効になっていることを確認します                | 中      | cmk-backing-key-rotation-enabled  | PCIDSSと重複  |
| CIS      | [CIS 4.1] — どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします      | 高      | restricted-ssh                    | PCIDSSと重複  |
| CIS      | [CIS 4.2] — どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします。  | 高      | restricted-common-ports           |               |
| PCI DSS  | [PCI.CloudTrail.2] CloudTrail を有効にする必要があります                                               | 高      | cloudtrail-enabled                |               |
| PCI DSS  | [PCI.EC2.3] 未使用の EC2 セキュリティグループを削除する必要があります (リタイア)                       | 低      | eip-attached                      |               |
| PCI DSS  | [PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります                                                  | 低      | eip-attached                      |               |
| PCI DSS  | [PCI.IAM.6] すべての IAM ユーザーに対して MFA を有効にする必要があります                               | 中      | iam-user-mfa-enabled              |               |
| PCI DSS  | [PCI.Lambda.2] ラムダ関数は VPC にある必要があります                                                   | 低      | lambda-inside-vpc                 |               |

②以下項目は必須項目としない為、個別要件がある場合のみルールを有効とする。
^ 種別     ^ タイトル                                                                                        ^ 緊急度  ^ AWS Config ルール                     ^ 根拠                                       ^
| PCI DSS  | [PCI.S3.3] S3 バケットでクロスリージョンレプリケーションを有効にする必要があります              | 低      | s3-bucket-replication-enabled         | 遠隔地保管は、業務要件によるため           |
| AWS      | [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります                       | 最高    | root-account-hardware-mfa-enabled     | 仮想MFAを利用することとするため            |
| AWS      | [CloudTrail.5] CloudTrail トレイルが Amazon CloudWatch Logs と統合されていることを確認します。  | 低      | cloud-trail-cloud-watch-logs-enabled  | EventBridgeルールで検知する対応とするため  |

#### EventBridgeルール設定項目
[CIS 3.1] — 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.2] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management ConsoleMFA なしでサインイン
[CIS 3.3] —「ルート」アカウントに対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.4] — IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.5] — CloudTrail の設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.6] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management Console認証エラー
[CIS 3.7] — カスタマー管理キーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.8] — S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.9] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Config設定変更
[CIS 3.10] — セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.11] — ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します
[CIS 3.12] — ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.13] — ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します
[CIS 3.14] — VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します

{{tag>AWS SecurityHub Config EventBridge}}