WAF-SEC-080 – Security Monitoring & Threat Detection
Beschreibung
AWS CloudTrail MUSS als Multi-Region-Trail mit Log-File-Validierung und Global-Service-Event-Inklusion aktiviert sein. GuardDuty MUSS in allen aktiven AWS-Regionen aktiviert sein. AWS Security Hub oder ein äquivalentes SIEM MUSS aktiviert sein, um Security-Findings zentral zu aggregieren. CloudTrail-Logs MÜSSEN in einem dedizierten S3-Bucket mit Server-Side-Encryption gespeichert werden. Alerts MÜSSEN für kritische Security-Hub-Findings und GuardDuty-HIGH/CRITICAL-Findings konfiguriert sein.
Rationale
Ohne zentralisiertes Security Monitoring können Angreifende über Monate unentdeckt in Cloud-Umgebungen operieren. Die durchschnittliche Dwell-Time eines Cloud-Breaches ohne Monitoring übersteigt 200 Tage. CloudTrail liefert das fundamentale Audit-Log aller AWS-API-Aktivitäten; ohne es ist eine forensische Untersuchung nach einem Incident unmöglich. GuardDuty nutzt Machine Learning zur Erkennung anomaler Muster, die regelbasierte Systeme verpassen – Cryptomining, Credential-Exfiltration, ungewöhnliche API-Muster.
Bedrohungskontext
| Risiko | Beschreibung |
|---|---|
Unentdeckte Datenexfiltration |
Angreifende können Wochen oder Monate im AWS-Account operieren, ohne dass Alerts ausgelöst werden. |
Kompromittierte IAM-Credentials |
Gestohlene Credentials für Lateral Movement bleiben ohne GuardDuty vollständig unsichtbar. |
Cryptomining in nicht-überwachten Regionen |
In wenig genutzten Regionen gestartete Workloads verursachen Kosten und signalisieren einen Breach. |
DSGVO-Breach-Meldepflicht verfehlt |
Ohne SIEM-Erkennung wird die 72-Stunden-Meldepflicht nach Art. 33 DSGVO nicht eingehalten. |
Anforderung
-
AWS CloudTrail MUSS als Multi-Region-Trail mit
is_multi_region_trail = trueundenable_log_file_validation = truekonfiguriert sein. -
GuardDuty MUSS in allen aktiven Regionen via
aws_guardduty_detectormitenable = trueaktiviert sein. -
AWS Security Hub MUSS via
aws_securityhub_accountaktiviert sein. -
CloudTrail-Logs MÜSSEN in einem dedizierten, verschlüsselten S3-Bucket (CMK) gespeichert werden.
-
SNS-Alerts MÜSSEN für GuardDuty-Findings der Severity HIGH und CRITICAL konfiguriert sein.
-
Log-Retention MUSS mindestens 12 Monate für CloudTrail-Logs und 90 Tage für Security-Hub-Findings betragen.
Implementierungsanleitung
-
CloudTrail aktivieren:
aws_cloudtrailmitis_multi_region_trail = true,enable_log_file_validation = true,include_global_service_events = true. -
Dedizierter CloudTrail-S3-Bucket: Separater Bucket mit KMS-Verschlüsselung, MFA-Delete, Block-Public-Access.
-
GuardDuty aktivieren:
aws_guardduty_detectormitenable = truein allen genutzten Regionen (idealerweise via Terraform for_each über Region-Liste). -
Security Hub aktivieren:
aws_securityhub_accountund relevante Standards aktivieren (AWS Foundational Security, CIS AWS Benchmark). -
EventBridge-Regel für GuardDuty: EventBridge-Rule auf GuardDuty-Findings mit Severity >= 4.0 und SNS-Topic als Target.
-
SNS → Slack/PagerDuty: SNS-Topic mit Lambda oder direkt zu PagerDuty/Opsgenie für On-Call-Alerting.
-
Log-Retention: CloudWatch-Log-Groups mit Retention-Policy (90d–365d je nach Compliance-Anforderung).
Reifegrad-Abstufung
| Level | Bezeichnung | Kriterien |
|---|---|---|
1 |
Kein oder partielles Logging |
CloudTrail nicht oder nur in einer Region aktiv; GuardDuty deaktiviert; kein SIEM; keine Alerting-Regeln. |
2 |
Grundlegendes Logging vorhanden |
CloudTrail in Hauptregion aktiv; GuardDuty aktiviert; monatliche manuelle Log-Review; keine Echtzeit-Alerts. |
3 |
Multi-Region-Monitoring mit Alerting |
CloudTrail multi-region, log validation, CMK-Verschlüsselung; GuardDuty in allen Regionen; Security Hub aktiv; SNS-Alerts auf HIGH/CRITICAL. |
4 |
Korreliertes SIEM mit automatischer Triage |
Findings in SIEM korreliert; automatische Ticket-Erstellung für HIGH/CRITICAL; MTTD < 1 Stunde dokumentiert. |
5 |
Vollautomatisierte Erkennung und Response |
SOAR-Integration für automatisierte Playbooks; Threat-Intelligence-Feed-Integration; Continuous Compliance Attestation. |
Terraform Checks
waf-sec-080.tf.aws.cloudtrail-multiregion
Prüft: CloudTrail muss als Multi-Region-Trail mit Log-File-Validierung konfiguriert sein.
| Compliant | Non-Compliant |
|---|---|
|
|
Remediation: is_multi_region_trail = true und enable_log_file_validation = true zu allen aws_cloudtrail-Ressourcen hinzufügen.
waf-sec-080.tf.aws.guardduty-enabled
Prüft: GuardDuty-Detector muss aktiviert sein.
| Compliant | Non-Compliant |
|---|---|
|
|
Remediation: enable = true im aws_guardduty_detector setzen. GuardDuty sollte in allen Regionen aktiviert werden, in denen AWS-Ressourcen betrieben werden.
Evidenz
| Typ | Pflicht | Beschreibung |
|---|---|---|
IaC |
✅ Pflicht |
Terraform-Konfiguration von CloudTrail (multi-region, log validation) und GuardDuty-Detector (enable=true). |
Config |
✅ Pflicht |
Security Hub Findings Summary oder AWS Config Rule |
Process |
Optional |
Alerting-Konfiguration (EventBridge-Regel + SNS-Topic) mit Test-Trigger und Nachweis der Benachrichtigungszustellung. |
Config |
Optional |
GuardDuty-Sample-Findings-Bericht der letzten 30 Tage mit Triage-Nachweis. |
Regulatorisches Mapping
| Framework | Controls |
|---|---|
ISO 27001:2022 |
A.5.15 – Threat intelligence; A.5.16 – Threat classification; A.5.24 – Information security incident management; A.5.25 – Assessment and decision on information security events; A.5.26 – Response to information security incidents; A.5.27 – Learning from information security incidents; A.5.28 – Collection of evidence; A.8.16 – Technology use identification and monitoring; A.8.21 – Telecommunications and network security |
ISO 27017 |
CLD.5.1 – Information security in cloud services; CLD.5.2 – Access control in cloud services |
ISO 27018 |
A.2 – Purpose legitimacy and PII protection; A.10 – Confidentiality and security of PII |
GDPR |
Art. 5(1)(c) – Data minimisation; Art. 5(1)(f) – Integrity and confidentiality; Art. 9 – Special categories of personal data; Art. 25 – Data protection by design and by default; Art. 32 – Security of processing |
BSI C5:2020 |
IDM-01 – Identity and access management policy; IDM-02 – Role management; IDM-03 – User lifecycle management; COM-01 – Network and service security; COM-02 – Cloud monitoring |
EUCS (ENISA) |
IAM-01 – Identity and access management; IAM-02 – Access rights management; IAM-03 – Privileged access management |
NIST SP 800-53 |
AC-1 – Policy and procedures; AC-2 – Account management; AC-3 – Access enforcement; AC-6 – Least privilege; IA-2 – Identification and authentication; SI-4 – Information system monitoring |
FedRAMP |
AC-1, AC-2, AC-3, AC-6, IA-2 (Moderate/High baseline) |
HIPAA |
§ 164.308(a)(4) – Access management; § 164.312(a) – Access control; § 164.312(d) – Information system activity review |
PCI DSS v4.0 |
Req 7 – Restrict access to cardholder data; Req 8 – Identify and authenticate access; Req 8.3 – Non-service accounts |
SOC 2 Type II |
CC6.1 – Logical access security software; CC6.2 – Logical access security management; CC6.6 – Secure configuration |
CSRD |
ESRS E1 – Climate change; ESRS G1 – Governance |
NIST CSF 2.0 |
GV.AC – Identity management and access control; DE.CM – Configuration management |
CIS Controls v8 |
CIS 4 – Secure Configuration; CIS 4.4 – Access control; CIS 4.5 – Least privilege |
TISAX |
Information security – Access rights management |
ANSSI SecNumCloud |
Domain – Identity and access management; Domain – Security monitoring |
BIO |
BIO – Identificatie en authenticatie; BIO – Toegangsbeheer |
ENS High |
org.3 – Políticas de acceso; op.exp.5 – Monitorización de la configuración |
UK NCSC CAF |
B1 – Access control; B2 – Secure configuration |
CMMC 2.0 |
AC.L2-3.1.1 – Access control policy; AC.L2-3.5.1 – Access enforcement |
IRAP |
ISM – Identity and access management; ISM – Access control |
CCCS PBMM |
AC-6 – Least privilege; AC-7 – Unsuccessful logon attempts |
MAS TRM |
Ch.4 – Identity and access management; Ch.8 – Security monitoring |
ISMAP |
Access control and identity management |
FISC |
Operational measures – Access control |