WAF-SEC-080 – Security Monitoring & Threat Detection

Pillar: Security | Severity: High | Kategorie: Monitoring | Automatisierbar: Hoch

Beschreibung

AWS CloudTrail MUSS als Multi-Region-Trail mit Log-File-Validierung und Global-Service-Event-Inklusion aktiviert sein. GuardDuty MUSS in allen aktiven AWS-Regionen aktiviert sein. AWS Security Hub oder ein äquivalentes SIEM MUSS aktiviert sein, um Security-Findings zentral zu aggregieren. CloudTrail-Logs MÜSSEN in einem dedizierten S3-Bucket mit Server-Side-Encryption gespeichert werden. Alerts MÜSSEN für kritische Security-Hub-Findings und GuardDuty-HIGH/CRITICAL-Findings konfiguriert sein.

Rationale

Ohne zentralisiertes Security Monitoring können Angreifende über Monate unentdeckt in Cloud-Umgebungen operieren. Die durchschnittliche Dwell-Time eines Cloud-Breaches ohne Monitoring übersteigt 200 Tage. CloudTrail liefert das fundamentale Audit-Log aller AWS-API-Aktivitäten; ohne es ist eine forensische Untersuchung nach einem Incident unmöglich. GuardDuty nutzt Machine Learning zur Erkennung anomaler Muster, die regelbasierte Systeme verpassen – Cryptomining, Credential-Exfiltration, ungewöhnliche API-Muster.

Bedrohungskontext

Risiko	Beschreibung
Unentdeckte Datenexfiltration	Angreifende können Wochen oder Monate im AWS-Account operieren, ohne dass Alerts ausgelöst werden.
Kompromittierte IAM-Credentials	Gestohlene Credentials für Lateral Movement bleiben ohne GuardDuty vollständig unsichtbar.
Cryptomining in nicht-überwachten Regionen	In wenig genutzten Regionen gestartete Workloads verursachen Kosten und signalisieren einen Breach.
DSGVO-Breach-Meldepflicht verfehlt	Ohne SIEM-Erkennung wird die 72-Stunden-Meldepflicht nach Art. 33 DSGVO nicht eingehalten.

Risiko

Beschreibung

Unentdeckte Datenexfiltration

Angreifende können Wochen oder Monate im AWS-Account operieren, ohne dass Alerts ausgelöst werden.

Kompromittierte IAM-Credentials

Gestohlene Credentials für Lateral Movement bleiben ohne GuardDuty vollständig unsichtbar.

Cryptomining in nicht-überwachten Regionen

In wenig genutzten Regionen gestartete Workloads verursachen Kosten und signalisieren einen Breach.

DSGVO-Breach-Meldepflicht verfehlt

Ohne SIEM-Erkennung wird die 72-Stunden-Meldepflicht nach Art. 33 DSGVO nicht eingehalten.

Anforderung

AWS CloudTrail MUSS als Multi-Region-Trail mit is_multi_region_trail = true und enable_log_file_validation = true konfiguriert sein.
GuardDuty MUSS in allen aktiven Regionen via aws_guardduty_detector mit enable = true aktiviert sein.
AWS Security Hub MUSS via aws_securityhub_account aktiviert sein.
CloudTrail-Logs MÜSSEN in einem dedizierten, verschlüsselten S3-Bucket (CMK) gespeichert werden.
SNS-Alerts MÜSSEN für GuardDuty-Findings der Severity HIGH und CRITICAL konfiguriert sein.
Log-Retention MUSS mindestens 12 Monate für CloudTrail-Logs und 90 Tage für Security-Hub-Findings betragen.

Implementierungsanleitung

CloudTrail aktivieren: aws_cloudtrail mit is_multi_region_trail = true, enable_log_file_validation = true, include_global_service_events = true.
Dedizierter CloudTrail-S3-Bucket: Separater Bucket mit KMS-Verschlüsselung, MFA-Delete, Block-Public-Access.
GuardDuty aktivieren: aws_guardduty_detector mit enable = true in allen genutzten Regionen (idealerweise via Terraform for_each über Region-Liste).
Security Hub aktivieren: aws_securityhub_account und relevante Standards aktivieren (AWS Foundational Security, CIS AWS Benchmark).
EventBridge-Regel für GuardDuty: EventBridge-Rule auf GuardDuty-Findings mit Severity >= 4.0 und SNS-Topic als Target.
SNS → Slack/PagerDuty: SNS-Topic mit Lambda oder direkt zu PagerDuty/Opsgenie für On-Call-Alerting.
Log-Retention: CloudWatch-Log-Groups mit Retention-Policy (90d–365d je nach Compliance-Anforderung).

Reifegrad-Abstufung

Level	Bezeichnung	Kriterien
1	Kein oder partielles Logging	CloudTrail nicht oder nur in einer Region aktiv; GuardDuty deaktiviert; kein SIEM; keine Alerting-Regeln.
2	Grundlegendes Logging vorhanden	CloudTrail in Hauptregion aktiv; GuardDuty aktiviert; monatliche manuelle Log-Review; keine Echtzeit-Alerts.
3	Multi-Region-Monitoring mit Alerting	CloudTrail multi-region, log validation, CMK-Verschlüsselung; GuardDuty in allen Regionen; Security Hub aktiv; SNS-Alerts auf HIGH/CRITICAL.
4	Korreliertes SIEM mit automatischer Triage	Findings in SIEM korreliert; automatische Ticket-Erstellung für HIGH/CRITICAL; MTTD < 1 Stunde dokumentiert.
5	Vollautomatisierte Erkennung und Response	SOAR-Integration für automatisierte Playbooks; Threat-Intelligence-Feed-Integration; Continuous Compliance Attestation.

Level

Bezeichnung

Kriterien

Kein oder partielles Logging

CloudTrail nicht oder nur in einer Region aktiv; GuardDuty deaktiviert; kein SIEM; keine Alerting-Regeln.

Grundlegendes Logging vorhanden

CloudTrail in Hauptregion aktiv; GuardDuty aktiviert; monatliche manuelle Log-Review; keine Echtzeit-Alerts.

Multi-Region-Monitoring mit Alerting

CloudTrail multi-region, log validation, CMK-Verschlüsselung; GuardDuty in allen Regionen; Security Hub aktiv; SNS-Alerts auf HIGH/CRITICAL.

Korreliertes SIEM mit automatischer Triage

Findings in SIEM korreliert; automatische Ticket-Erstellung für HIGH/CRITICAL; MTTD < 1 Stunde dokumentiert.

Vollautomatisierte Erkennung und Response

SOAR-Integration für automatisierte Playbooks; Threat-Intelligence-Feed-Integration; Continuous Compliance Attestation.

Terraform Checks

waf-sec-080.tf.aws.cloudtrail-multiregion

Prüft: CloudTrail muss als Multi-Region-Trail mit Log-File-Validierung konfiguriert sein.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_cloudtrail" "main" { name = "prod-cloudtrail" s3_bucket_name = aws_s3_bucket.cloudtrail.id is_multi_region_trail = true enable_log_file_validation = true include_global_service_events = true kms_key_id = aws_kms_key.cloudtrail.arn }`	`resource "aws_cloudtrail" "main" { name = "prod-cloudtrail" s3_bucket_name = aws_s3_bucket.cloudtrail.id # is_multi_region_trail fehlt (default: false) # enable_log_file_validation fehlt # WAF-SEC-080 Violation }`

resource "aws_cloudtrail" "main" {
  name                          = "prod-cloudtrail"
  s3_bucket_name                = aws_s3_bucket.cloudtrail.id
  is_multi_region_trail         = true
  enable_log_file_validation    = true
  include_global_service_events = true
  kms_key_id                    = aws_kms_key.cloudtrail.arn
}

resource "aws_cloudtrail" "main" {
  name           = "prod-cloudtrail"
  s3_bucket_name = aws_s3_bucket.cloudtrail.id
  # is_multi_region_trail fehlt (default: false)
  # enable_log_file_validation fehlt
  # WAF-SEC-080 Violation
}

Remediation: is_multi_region_trail = true und enable_log_file_validation = true zu allen aws_cloudtrail-Ressourcen hinzufügen.

waf-sec-080.tf.aws.guardduty-enabled

Prüft: GuardDuty-Detector muss aktiviert sein.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_guardduty_detector" "main" { enable = true datasources { s3_logs { enable = true } kubernetes { audit_logs { enable = true } } } }`	`resource "aws_guardduty_detector" "main" { enable = false # WAF-SEC-080 Violation: GuardDuty deaktiviert }`

resource "aws_guardduty_detector" "main" {
  enable = true
  datasources {
    s3_logs { enable = true }
    kubernetes {
      audit_logs { enable = true }
    }
  }
}

resource "aws_guardduty_detector" "main" {
  enable = false
  # WAF-SEC-080 Violation: GuardDuty deaktiviert
}

Remediation: enable = true im aws_guardduty_detector setzen. GuardDuty sollte in allen Regionen aktiviert werden, in denen AWS-Ressourcen betrieben werden.

Evidenz

Typ Pflicht Beschreibung

Typ	Pflicht	Beschreibung
IaC	✅ Pflicht	Terraform-Konfiguration von CloudTrail (multi-region, log validation) und GuardDuty-Detector (enable=true).
Config	✅ Pflicht	Security Hub Findings Summary oder AWS Config Rule `cloud-trail-enabled` Compliance-Status.
Process	Optional	Alerting-Konfiguration (EventBridge-Regel + SNS-Topic) mit Test-Trigger und Nachweis der Benachrichtigungszustellung.
Config	Optional	GuardDuty-Sample-Findings-Bericht der letzten 30 Tage mit Triage-Nachweis.

IaC

✅ Pflicht

Terraform-Konfiguration von CloudTrail (multi-region, log validation) und GuardDuty-Detector (enable=true).

Config

✅ Pflicht

Security Hub Findings Summary oder AWS Config Rule cloud-trail-enabled Compliance-Status.

Process

Optional

Alerting-Konfiguration (EventBridge-Regel + SNS-Topic) mit Test-Trigger und Nachweis der Benachrichtigungszustellung.

Config

Optional

GuardDuty-Sample-Findings-Bericht der letzten 30 Tage mit Triage-Nachweis.

Regulatorisches Mapping

Framework	Controls
ISO 27001:2022	A.5.15 – Threat intelligence; A.5.16 – Threat classification; A.5.24 – Information security incident management; A.5.25 – Assessment and decision on information security events; A.5.26 – Response to information security incidents; A.5.27 – Learning from information security incidents; A.8.2 – Privileged access rights; A.8.5 – Secure authentication; A.8.8 – Management of technical vulnerabilities; A.8.10 – Information deletion; A.8.11 – Data masking; A.8.22 – Segregation of networks; A.8.23 – Network security; A.8.24 – Use of cryptography
ISO 27017	CLD.5.1 – Information security in cloud services; CLD.5.2 – Access control in cloud services; CLD.6.3 – Shared roles and responsibilities
ISO 27018	A.2 – Purpose legitimacy and PII protection; A.10 – Confidentiality and security of PII
GDPR	Art. 5(1)(c) – Data minimisation; Art. 5(1)(f) – Integrity and confidentiality; Art. 9 – Special categories of personal data; Art. 25 – Data protection by design and by default; Art. 32 – Security of processing; Art. 44 – General principles for transfers; Art. 46 – Appropriate safeguards; Art. 30 – Records of processing activities
BSI C5:2020	IDM-01 – Identity and access management policy; IDM-02 – Role management; IDM-03 – User lifecycle management; COM-01 – Network and service security; COM-02 – Cloud monitoring; COM-03 – Cloud logging
EUCS (ENISA)	IAM-01 – Identity and access management; IAM-02 – Access rights management; IAM-03 – Privileged access management; IAM-04 – Access control policy
NIST SP 800-53	AC-1 – Policy and procedures; AC-2 – Account management; AC-3 – Access enforcement; AC-6 – Least privilege; IA-2 – Identification and authentication; IA-5 – Authenticator management; SI-4 – Information system monitoring; SI-5 – Malicious code protection
FedRAMP	AC-1, AC-2, AC-3, AC-6, IA-2, IA-5, SI-4, SI-5 (Moderate/High baseline)
HIPAA	§ 164.308(a)(4) – Access management; § 164.312(a) – Access control; § 164.312(d) – Information system activity review; § 164.312(e)(1) – Transmission security
PCI DSS v4.0	Req 7 – Restrict access to cardholder data; Req 8 – Identify and authenticate access; Req 8.3 – Non-service accounts; Req 8.6 – Password policy; Req 8.2.4 – MFA
SOC 2 Type II	CC6.1 – Logical access security software; CC6.2 – Logical access security management; CC6.6 – Secure configuration; CC6.7 – Network security
CSRD	ESRS E1 – Climate change – Disclosure of information; ESRS G1 – Governance – Disclosure of information
NIST CSF 2.0	GV.AC – Identity management and access control; DE.CM – Configuration management; DE.AE – Anomaly detection
CIS Controls v8	CIS 4 – Secure Configuration; CIS 4.1 – Inventory and control of enterprise assets; CIS 4.4 – Access control; CIS 4.5 – Least privilege; CIS 4.8 – Audit log management
TISAX	Information security – Access rights management; Prototype protection – Sensitive data handling
ANSSI SecNumCloud	Domain – Identity and access management; Domain – Security monitoring
BIO	BIO – Identificatie en authenticatie; BIO – Toegangsbeheer
ENS High	org.3 – Políticas de acceso; op.exp.5 – Monitorización de la configuración
UK NCSC CAF	B1 – Access control; B2 – Secure configuration
CMMC 2.0	AC.L2-3.1.1 – Access control policy; AC.L2-3.5.1 – Access enforcement
IRAP	ISM – Identity and access management; ISM – Access control
CCCS PBMM	AC-6 – Least privilege; AC-7 – Unsuccessful logon attempts
MAS TRM	Ch.4 – Identity and access management; Ch.8 – Security monitoring
ISMAP	Access control and identity management
FISC	Operational measures – Access control

Framework

Controls

ISO 27001:2022

A.5.15 – Threat intelligence; A.5.16 – Threat classification; A.5.24 – Information security incident management; A.5.25 – Assessment and decision on information security events; A.5.26 – Response to information security incidents; A.5.27 – Learning from information security incidents; A.8.2 – Privileged access rights; A.8.5 – Secure authentication; A.8.8 – Management of technical vulnerabilities; A.8.10 – Information deletion; A.8.11 – Data masking; A.8.22 – Segregation of networks; A.8.23 – Network security; A.8.24 – Use of cryptography

ISO 27017

CLD.5.1 – Information security in cloud services; CLD.5.2 – Access control in cloud services; CLD.6.3 – Shared roles and responsibilities

ISO 27018

A.2 – Purpose legitimacy and PII protection; A.10 – Confidentiality and security of PII

GDPR

Art. 5(1)(c) – Data minimisation; Art. 5(1)(f) – Integrity and confidentiality; Art. 9 – Special categories of personal data; Art. 25 – Data protection by design and by default; Art. 32 – Security of processing; Art. 44 – General principles for transfers; Art. 46 – Appropriate safeguards; Art. 30 – Records of processing activities

BSI C5:2020

IDM-01 – Identity and access management policy; IDM-02 – Role management; IDM-03 – User lifecycle management; COM-01 – Network and service security; COM-02 – Cloud monitoring; COM-03 – Cloud logging

EUCS (ENISA)

IAM-01 – Identity and access management; IAM-02 – Access rights management; IAM-03 – Privileged access management; IAM-04 – Access control policy

NIST SP 800-53

AC-1 – Policy and procedures; AC-2 – Account management; AC-3 – Access enforcement; AC-6 – Least privilege; IA-2 – Identification and authentication; IA-5 – Authenticator management; SI-4 – Information system monitoring; SI-5 – Malicious code protection

FedRAMP

AC-1, AC-2, AC-3, AC-6, IA-2, IA-5, SI-4, SI-5 (Moderate/High baseline)

HIPAA

§ 164.308(a)(4) – Access management; § 164.312(a) – Access control; § 164.312(d) – Information system activity review; § 164.312(e)(1) – Transmission security

PCI DSS v4.0

Req 7 – Restrict access to cardholder data; Req 8 – Identify and authenticate access; Req 8.3 – Non-service accounts; Req 8.6 – Password policy; Req 8.2.4 – MFA

SOC 2 Type II

CC6.1 – Logical access security software; CC6.2 – Logical access security management; CC6.6 – Secure configuration; CC6.7 – Network security

CSRD

ESRS E1 – Climate change – Disclosure of information; ESRS G1 – Governance – Disclosure of information

NIST CSF 2.0

GV.AC – Identity management and access control; DE.CM – Configuration management; DE.AE – Anomaly detection

CIS Controls v8

CIS 4 – Secure Configuration; CIS 4.1 – Inventory and control of enterprise assets; CIS 4.4 – Access control; CIS 4.5 – Least privilege; CIS 4.8 – Audit log management

TISAX

Information security – Access rights management; Prototype protection – Sensitive data handling

ANSSI SecNumCloud

Domain – Identity and access management; Domain – Security monitoring

BIO

BIO – Identificatie en authenticatie; BIO – Toegangsbeheer

ENS High

org.3 – Políticas de acceso; op.exp.5 – Monitorización de la configuración

UK NCSC CAF

B1 – Access control; B2 – Secure configuration

CMMC 2.0

AC.L2-3.1.1 – Access control policy; AC.L2-3.5.1 – Access enforcement

IRAP

ISM – Identity and access management; ISM – Access control

CCCS PBMM

AC-6 – Least privilege; AC-7 – Unsuccessful logon attempts

MAS TRM

Ch.4 – Identity and access management; Ch.8 – Security monitoring

ISMAP

Access control and identity management

FISC

Operational measures – Access control

WAF-SEC-080 – Security Monitoring & Threat Detection

Beschreibung

Rationale

Bedrohungskontext

Anforderung

Implementierungsanleitung

Reifegrad-Abstufung

Terraform Checks

waf-sec-080.tf.aws.cloudtrail-multiregion

waf-sec-080.tf.aws.guardduty-enabled

Evidenz

Regulatorisches Mapping

Verwandte Controls