Mit Observability-Mechanismen an Transparenz gewinnen - AWS Präskriptive Leitlinien
Protokollierung des NetzwerkverkehrsZentralisierung von Sicherheitsergebnissen in AWSIntegration von AWS Sicherheitsdaten mit anderen Unternehmensdaten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Observability-Mechanismen an Transparenz gewinnen

Die Möglichkeit, die aufgetretenen Sicherheitsereignisse einzusehen, ist genauso wichtig wie die Einrichtung geeigneter Sicherheitskontrollen. In der Sicherheitssäule des AWS Well-Architected Framework gehören zu den Best Practices für die Erkennung die Konfiguration der Service- und Anwendungsprotokollierung sowie die Erfassung von Protokollen, Ergebnissen und Metriken an standardisierten Orten. Um diese bewährten Methoden zu implementieren, müssen Sie die Informationen aufzeichnen, die Ihnen bei der Identifizierung von Ereignissen helfen, und diese Informationen dann in einem Format verarbeiten, das von Menschen verwendet werden kann, idealerweise an einem zentralen Ort.

In diesem Handbuch wird empfohlen, Amazon Simple Storage Service (Amazon S3) zu verwenden, um Protokolldaten zu zentralisieren. Amazon S3 unterstützt die Protokollspeicherung sowohl für die DNS-Firewall als AWS Network Firewall auch für die Amazon Route 53 Resolver DNS-Firewall. Anschließend verwenden AWS Security HubSie Amazon Security Lake, um die GuardDuty Amazon-Ergebnisse und andere Sicherheitserkenntnisse an einem einzigen Ort zu zentralisieren.

Protokollierung des Netzwerkverkehrs

Im Abschnitt Automatisieren präventiver und detektiver Sicherheitskontrollen dieses Handbuchs wird die Verwendung AWS Network Firewall einer Amazon Route 53 Resolver DNS-Firewall zur Automatisierung von Reaktionen auf Cyber Threat Intelligence (CTI) beschrieben. Wir empfehlen, die Protokollierung für diese beiden Dienste zu konfigurieren. Sie können Detective Controls einrichten, die die Protokolldaten überwachen und Sie warnen, wenn eine eingeschränkte Domain oder IP-Adresse versucht, Datenverkehr durch die Firewall zu senden.

Berücksichtigen Sie bei der Konfiguration dieser Ressourcen Ihre individuellen Protokollierungsanforderungen. Beispielsweise ist die Protokollierung für die Network Firewall nur für den Datenverkehr verfügbar, den Sie an die Stateful-Regel-Engine weiterleiten. Wir empfehlen, dass Sie einem Zero-Trust-Modell folgen und den gesamten Datenverkehr an die Stateful Rules Engine weiterleiten. Wenn Sie jedoch die Kosten senken möchten, können Sie Traffic ausschließen, dem Ihr Unternehmen vertraut.

Sowohl die Network Firewall als auch die DNS-Firewall unterstützen die Protokollierung bei Amazon S3. Weitere Informationen zum Einrichten der Protokollierung für diese Dienste finden Sie unter Protokollieren des Netzwerkverkehrs von AWS Network Firewall und Konfigurieren der Protokollierung für die DNS-Firewall. Für beide Dienste können Sie die Protokollierung in einem Amazon S3 S3-Bucket über den konfigurieren AWS Management Console.

Zentralisierung von Sicherheitsergebnissen in AWS

AWS Security Hubbietet einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen bei der Bewertung Ihrer AWS Umgebung anhand von Industriestandards und bewährten Methoden. Security Hub kann Ergebnisse generieren, die mit Ihren Sicherheitskontrollen zusammenhängen. Es kann auch Erkenntnisse von anderen AWS-Services Anbietern wie Amazon erhalten GuardDuty. Sie können Security Hub verwenden, um Ergebnisse und Daten aus Ihren AWS-Konten und unterstützten Produkten von Drittanbietern zu zentralisieren. AWS-Services Weitere Informationen zu Integrationen finden Sie unter Grundlegendes zu Integrationen in Security Hub in der Security Hub Hub-Dokumentation.

Security Hub umfasst auch Automatisierungsfunktionen, mit denen Sie Sicherheitsprobleme erkennen und beheben können. Beispielsweise können Sie Automatisierungsregeln verwenden, um kritische Ergebnisse automatisch zu aktualisieren, wenn eine Sicherheitsüberprüfung fehlschlägt. Sie können die Integration mit Amazon auch verwenden EventBridge , um automatische Antworten auf bestimmte Ergebnisse zu initiieren. Weitere Informationen finden Sie in der Security Hub Hub-Dokumentation unter Automatisches Ändern und Verarbeiten von Security Hub Hub-Ergebnissen.

Wenn Sie Amazon verwenden GuardDuty, empfehlen wir Ihnen, die Konfiguration so GuardDuty zu konfigurieren, dass die Ergebnisse an Security Hub gesendet werden. Der Security Hub kann diese Erkenntnisse dann in die Analyse Ihres Sicherheitsniveaus einbeziehen. Weitere Informationen finden Sie AWS Security Hub in der GuardDuty Dokumentation unter Integration mit.

Sowohl für die Network Firewall als auch für die Route 53 Resolver DNS Firewall können Sie benutzerdefinierte Ergebnisse aus dem Netzwerkverkehr erstellen, den Sie protokollieren. Amazon Athena ist ein interaktiver Abfrageservice, mit dem Sie Daten mithilfe von Standard-SQL direkt in Amazon S3 analysieren können. Sie können in Athena Abfragen erstellen, die die Protokolle in Amazon S3 scannen und die relevanten Daten extrahieren. Eine Anleitung finden Sie unter Erste Schritte in der Athena-Dokumentation. Anschließend können Sie eine AWS Lambda Funktion verwenden, um die relevanten Protokolldaten in das AWS Security Finding Format (ASFF) zu konvertieren und das Ergebnis an Security Hub zu senden. Im Folgenden finden Sie ein Beispiel für eine Lambda-Funktion, die Protokolldaten von der Network Firewall in ein Security Hub Hub-Ergebnis konvertiert:

Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};

Das Muster, dem Sie beim Extrahieren und Senden von Informationen an Security Hub folgen, hängt von Ihren individuellen Geschäftsanforderungen ab. Wenn Sie möchten, dass die Daten regelmäßig gesendet werden, können Sie sie verwenden, EventBridge um den Vorgang einzuleiten. Wenn Sie eine Benachrichtigung erhalten möchten, wenn die Informationen hinzugefügt werden, können Sie Amazon Simple Notification Service (Amazon SNS) verwenden. Es gibt viele Möglichkeiten, sich dieser Architektur zu nähern. Daher ist es wichtig, dass Sie richtig planen, damit Ihre Geschäftsanforderungen erfüllt werden.

Integration von AWS Sicherheitsdaten mit anderen Unternehmensdaten

Amazon Security Lake kann die Erfassung sicherheitsrelevanter Protokoll- und Ereignisdaten von integrierten Services AWS-Services und Drittanbieter-Services automatisieren. Es hilft Ihnen auch dabei, den Lebenszyklus von Daten mit anpassbaren Aufbewahrungs- und Replikationseinstellungen zu verwalten. Security Lake konvertiert aufgenommene Daten in das Apache Parquet-Format und ein Standard-Open-Source-Schema namens Open Cybersecurity Schema Framework (OCSF). Mit der OCSF-Unterstützung normalisiert und kombiniert Security Lake Sicherheitsdaten aus einer Vielzahl von AWS Sicherheitsdatenquellen für Unternehmen. Andere Dienste AWS-Services und Dienste von Drittanbietern können die in Security Lake gespeicherten Daten abonnieren, um auf Vorfälle zu reagieren und Sicherheitsdaten zu analysieren.

Sie können Security Lake so konfigurieren, dass es Ergebnisse von Security Hub empfängt. Um diese Integration zu aktivieren, müssen Sie beide Dienste aktivieren und Security Hub als Quelle in Security Lake hinzufügen. Sobald Sie diese Schritte abgeschlossen haben, beginnt Security Hub, alle Ergebnisse an Security Lake zu senden. Security Lake normalisiert die Ergebnisse von Security Hub automatisch und konvertiert sie in OCSF. In Security Lake können Sie einen oder mehrere Abonnenten hinzufügen, um die Ergebnisse von Security Hub zu nutzen. Weitere Informationen finden Sie unter Integration mit AWS Security Hub in der Security Lake-Dokumentation.

Im folgenden Video, AWS Re:inForce 2024 — Austausch von Informationen zu Cyberbedrohungen AWS, wird erläutert, wie Sie die Integrationen von Security Hub und Security Lake für die gemeinsame Nutzung von CTI verwenden können.