~~NOCACHE~~ ~~DISCUSSION~~ ## 01.SecurityHub設定および準拠方針 SecurityHub設定および準拠方針を記載する。 [[https://pg.mnztech.work/dokuwiki/_media/securityhub.zip|検討資料]] ### 準拠方針 ①SecurityHubを全リージョンで有効化し、以下の項目を有効化する。 AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効化 ②全リージョンのConfigルールに[[Aws:SecurityManagement:SecurityHubSettingsAndCompliancePolicy#Configルール設定方針|Configルール設定方針]]に従いルール追加を行う。 ③[[Aws:SecurityManagement:SecurityHubSettingsAndCompliancePolicy#EventBridgeルール設定項目|EventBridgeルール設定項目]]について、以下の方針に従い全リージョンでEventBridgeルールを設定する。 ・メインリージョンのみSNS連携する。 ・その他リージョンはメインリージョンのイベントバスへ、該当イベントを転送する設定とする。 #### Configルール設定方針 ①[AWS の基本的なセキュリティのベストプラクティス標準]を有効化して、個別に以下のルールを追加する。 ^ 種別 ^ タイトル ^ 緊急度 ^ AWS Config ルール ^ 備考 ^ | CIS | [CIS 1.13] —「ルート」アカウントで MFA を有効にします。 | 最高 | root-account-mfa-enabled | PCIDSSと重複 | | CIS | [CIS 1.20] - AWS でインシデントを管理するためのサポートロールが作成されていることを確認します。 | 低 | iam-policy-in-use | | | CIS | [CIS 2.8] — カスタマー作成の KMS キーのローテーションが有効になっていることを確認します | 中 | cmk-backing-key-rotation-enabled | PCIDSSと重複 | | CIS | [CIS 4.1] — どのセキュリティグループでも 0.0.0.0/0 からポート 22 への入力を許可しないようにします | 高 | restricted-ssh | PCIDSSと重複 | | CIS | [CIS 4.2] — どのセキュリティグループでも 0.0.0.0/0 からポート 3389 への入力を許可しないようにします。 | 高 | restricted-common-ports | | | PCI DSS | [PCI.CloudTrail.2] CloudTrail を有効にする必要があります | 高 | cloudtrail-enabled | | | PCI DSS | [PCI.EC2.3] 未使用の EC2 セキュリティグループを削除する必要があります (リタイア) | 低 | eip-attached | | | PCI DSS | [PCI.EC2.4] 未使用の EC2 EIP を削除する必要があります | 低 | eip-attached | | | PCI DSS | [PCI.IAM.6] すべての IAM ユーザーに対して MFA を有効にする必要があります | 中 | iam-user-mfa-enabled | | | PCI DSS | [PCI.Lambda.2] ラムダ関数は VPC にある必要があります | 低 | lambda-inside-vpc | | ②以下項目は必須項目としない為、個別要件がある場合のみルールを有効とする。 ^ 種別 ^ タイトル ^ 緊急度 ^ AWS Config ルール ^ 根拠 ^ | PCI DSS | [PCI.S3.3] S3 バケットでクロスリージョンレプリケーションを有効にする必要があります | 低 | s3-bucket-replication-enabled | 遠隔地保管は、業務要件によるため | | AWS | [IAM.6] ルートユーザーに対してハードウェア MFA を有効にする必要があります | 最高 | root-account-hardware-mfa-enabled | 仮想MFAを利用することとするため | | AWS | [CloudTrail.5] CloudTrail トレイルが Amazon CloudWatch Logs と統合されていることを確認します。 | 低 | cloud-trail-cloud-watch-logs-enabled | EventBridgeルールで検知する対応とするため | #### EventBridgeルール設定項目 [CIS 3.1] — 不正な API 呼び出しに対してログメトリクスフィルターとアラームが存在することを確認します [CIS 3.2] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management ConsoleMFA なしでサインイン [CIS 3.3] —「ルート」アカウントに対してログメトリクスフィルターとアラームが存在することを確認します [CIS 3.4] — IAM ポリシーの変更に対してログメトリクスフィルターとアラームが存在することを確認します [CIS 3.5] — CloudTrail の設定の変更に対するログメトリクスフィルターとアラームが存在することを確認します [CIS 3.6] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Management Console認証エラー [CIS 3.7] — カスタマー管理キーの無効化またはスケジュールされた削除に対するログメトリクスフィルターとアラームが存在することを確認します [CIS 3.8] — S3 バケットの変更に対してログメトリクスフィルターとアラームが存在することを確認します [CIS 3.9] — に対してログメトリクスフィルターとアラームが存在することを確認しますAWS Config設定変更 [CIS 3.10] — セキュリティグループの変更に対してログメトリクスフィルターとアラームが存在することを確認します [CIS 3.11] — ネットワークアクセスコントロールリスト (NACL) への変更に対するログメトリクスとアラームが存在することを確認します [CIS 3.12] — ネットワークゲートウェイへの変更に対するログメトリクスフィルターとアラームが存在することを確認します [CIS 3.13] — ルートテーブルの変更に対してログメトリクスフィルターとアラームが存在することを確認します [CIS 3.14] — VPC の変更に対してログメトリクスフィルターとアラームが存在することを確認します {{tag>AWS SecurityHub Config EventBridge}}