Empfehlungen zur Sicherheitskontrolle für die Protokollierung und Überwachung - AWS Präskriptive Leitlinien

CloudTrail Wanderweg mit mehreren Regionen Dienst- und Anwendungsprotokollierung Zentralisierte Protokollierung Zugriff auf CloudTrail Protokolldateien Benachrichtigungen für Sicherheitsgruppen oder Änderungen der Netzwerk-ACL Benachrichtigungen für CloudWatch Alarme

Empfehlungen zur Sicherheitskontrolle für die Protokollierung und Überwachung

Protokollierung und Überwachung sind wichtige Aspekte der Bedrohungserkennung. Die Erkennung von Bedrohungen ist eine der sicherheitstechnischen Funktionen des AWS Cloud Adoption Framework (AWS CAF). Mithilfe von Protokolldaten kann Ihr Unternehmen Ihre Umgebung überwachen, um potenzielle Sicherheitsfehlkonfigurationen, Bedrohungen und unerwartetes Verhalten zu verstehen und zu identifizieren. Das Verständnis potenzieller Bedrohungen kann Ihrem Unternehmen dabei helfen, Sicherheitskontrollen zu priorisieren, und eine effektive Bedrohungserkennung kann Ihnen helfen, schneller auf Bedrohungen zu reagieren.

Kontrollen in diesem Abschnitt:

Konfigurieren Sie mindestens einen Trail mit mehreren Regionen in CloudTrail
Konfigurieren Sie die Protokollierung auf Dienst- und Anwendungsebene
Richten Sie einen zentralen Ort für die Analyse von Protokollen und die Reaktion auf Sicherheitsereignisse ein
Verhindern Sie unbefugten Zugriff auf S3-Buckets, die CloudTrail Protokolldateien enthalten
Konfigurieren Sie Warnmeldungen für Änderungen an Sicherheitsgruppen oder im Netzwerk ACLs
Konfigurieren Sie Alarme für CloudWatch Alarme, die in den ALARM-Status wechseln

Konfigurieren Sie mindestens einen Trail mit mehreren Regionen in CloudTrail

AWS CloudTrailhilft Ihnen bei der Prüfung der Unternehmensführung, der Einhaltung von Vorschriften und der betrieblichen Risiken Ihres AWS-Konto. Von einem Benutzer, einer Rolle oder einem ausgeführte Aktionen AWS-Service werden als Ereignisse in aufgezeichnet CloudTrail. Zu den Ereignissen gehören Aktionen AWS Management Console, die in den Bereichen, AWS Command Line Interface (AWS CLI) und AWS SDKs und ausgeführt wurden APIs. Dieser Ereignisverlauf hilft Ihnen dabei, Ihren Sicherheitsstatus zu analysieren, Ressourcenänderungen nachzuverfolgen und die Einhaltung von Vorschriften zu überprüfen.

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto System müssen Sie einen Trail erstellen. Jeder Trail sollte so konfiguriert sein, dass alle Ereignisse protokolliert werden AWS-Regionen. Indem Sie alle Ereignisse protokollieren AWS-Regionen, stellen Sie sicher, dass alle Ereignisse, die in Ihrem Bereich auftreten, protokolliert AWS-Konto werden, unabhängig davon, in welchem AWS-Region Bereich sie aufgetreten sind. Ein regionsübergreifender Trail stellt sicher, dass globale Serviceereignisse protokolliert werden.

Weitere Informationen finden Sie in den folgenden Ressourcen:

CloudTrail In der Dokumentation finden Sie bewährte Sicherheitsmethoden CloudTrail
Umwandlung eines Pfads, der für eine Region gilt, so dass er für alle Regionen in der CloudTrail Dokumentation gilt
Aktivierung und Deaktivierung der globalen Protokollierung von Serviceereignissen in der Dokumentation CloudTrail

Konfigurieren Sie die Protokollierung auf Dienst- und Anwendungsebene

Das AWS Well-Architected Framework empfiehlt, Sicherheitsereignisprotokolle von Diensten und Anwendungen aufzubewahren. Dies ist ein grundlegendes Sicherheitsprinzip für Prüfungen, Untersuchungen und betriebliche Anwendungsfälle. Die Aufbewahrung von Service- und Anwendungsprotokollen ist eine allgemeine Sicherheitsanforderung, die sich nach den Standards, Richtlinien und Verfahren für Governance, Risiko und Compliance (GRC) richtet.

Sicherheitsteams verlassen sich auf Protokolle und Suchtools, um potenzielle interessante Ereignisse zu entdecken, die auf unbefugte Aktivitäten oder unbeabsichtigte Änderungen hinweisen könnten. Sie können die Protokollierung je nach Anwendungsfall für verschiedene Dienste aktivieren. Sie können beispielsweise den Amazon S3 S3-Bucket-Zugriff, AWS WAF Web-ACL-Verkehr, Amazon API Gateway Gateway-Verkehr auf Netzwerkebene oder CloudFront Amazon-Verteilungen protokollieren.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Streamen Sie Amazon CloudWatch Logs zur Prüfung und Analyse auf ein zentrales Konto im AWS Architektur-Blog
Konfigurieren Sie die Dienst- und Anwendungsprotokollierung im AWS Well-Architected Framework

Richten Sie einen zentralen Ort für die Analyse von Protokollen und die Reaktion auf Sicherheitsereignisse ein

Die manuelle Analyse von Protokollen und die Verarbeitung von Informationen reichen nicht aus, um mit der Menge an Informationen Schritt zu halten, die mit komplexen Architekturen einhergeht. Analyse und Berichterstattung allein ermöglichen es nicht, Ereignisse rechtzeitig der richtigen Ressource zuzuweisen. Das AWS Well-Architected Framework empfiehlt, dass Sie AWS Sicherheitsereignisse und -ergebnisse in ein Benachrichtigungs- und Workflowsystem integrieren, z. B. in ein Ticket-, Bug- oder SIEM-System (Security Information and Event Management). Diese Systeme unterstützen Sie bei der Zuweisung, Weiterleitung und Verwaltung von Sicherheitsereignissen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Analysieren Sie Protokolle, Ergebnisse und Metriken zentral im AWS Well-Architected Framework
Analysieren Sie Sicherheit, Compliance und betriebliche Aktivitäten mithilfe von CloudTrail Amazon Athena im AWS Sicherheits-Blog
AWS Partner, die im AWS Partnerportfolio Dienste zur Erkennung und Abwehr von Bedrohungen anbieten

Verhindern Sie unbefugten Zugriff auf S3-Buckets, die CloudTrail Protokolldateien enthalten

Standardmäßig werden CloudTrail Protokolldateien in Amazon S3 S3-Buckets gespeichert. Es ist eine bewährte Sicherheitsmethode, um unbefugten Zugriff auf Amazon S3 S3-Buckets zu verhindern, die CloudTrail Protokolldateien enthalten. Auf diese Weise können Sie die Integrität, Vollständigkeit und Verfügbarkeit dieser Protokolle aufrechterhalten, was für forensische Zwecke und Prüfzwecke von entscheidender Bedeutung ist. Wenn Sie Datenereignisse für S3-Buckets protokollieren möchten, die CloudTrail Protokolldateien enthalten, können Sie zu diesem Zweck einen CloudTrail Trail erstellen.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Konfiguration der Einstellungen zum Blockieren des öffentlichen Zugriffs für Ihre S3-Buckets in der Amazon S3 S3-Dokumentation
CloudTrail Bewährte Methoden zur präventiven Sicherheit in der Dokumentation CloudTrail
Erstellung einer Spur in der Dokumentation CloudTrail

Konfigurieren Sie Warnmeldungen für Änderungen an Sicherheitsgruppen oder im Netzwerk ACLs

Eine Sicherheitsgruppe in Amazon Virtual Private Cloud (Amazon VPC) kontrolliert den Datenverkehr, der die Ressourcen erreichen und verlassen darf, mit denen er verknüpft ist. Eine Network Access Control List (ACL) erlaubt oder verweigert bestimmten eingehenden oder ausgehenden Verkehr auf der Subnetzebene der VPC. Diese Ressourcen sind für die Verwaltung des Zugriffs in Ihrer Umgebung von entscheidender Bedeutung. AWS

Erstellen und konfigurieren Sie einen CloudWatch Amazon-Alarm, der Sie benachrichtigt, wenn sich die Konfiguration einer Sicherheitsgruppe oder Netzwerk-ACL ändert. Konfigurieren Sie diesen Alarm so, dass Sie jedes Mal benachrichtigt werden, wenn ein AWS API-Aufruf zur Aktualisierung von Sicherheitsgruppen ausgeführt wird. Sie können auch Dienste wie Amazon EventBridge und verwenden AWS Config, um automatisch auf diese Art von Sicherheitsereignissen zu reagieren.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Automatisches Zurücksetzen und Erhalten von Benachrichtigungen über Änderungen an Ihren Amazon VPC-Sicherheitsgruppen im AWS Sicherheits-Blog
Verwendung von CloudWatch Amazon-Alarmen in der CloudWatch Dokumentation
Implementieren Sie umsetzbare Sicherheitsereignisse im AWS Well-Architected Framework
Automatisieren Sie die Reaktion auf Ereignisse im AWS Well-Architected Framework

Konfigurieren Sie Alarme für CloudWatch Alarme, die in den ALARM-Status wechseln

In können Sie angeben CloudWatch, welche Aktionen ein Alarm ausführt, wenn er seinen Status zwischen den INSUFFICIENT_DATA Zuständen OKALARM, und ändert. Die häufigste Art von Alarmaktion besteht darin, eine oder mehrere Personen zu benachrichtigen, indem eine Nachricht an ein Amazon Simple Notification Service (Amazon SNS) -Thema gesendet wird. Sie können auch Alarme konfigurieren, die ausgelöst werden sollen OpsItemsoder in AWS Systems Manager denen Vorfälle auftreten.

Wir empfehlen Ihnen, Alarmaktionen zu aktivieren, um automatisch zu warnen, wenn eine überwachte Metrik den definierten Schwellenwert überschreitet. Durch die Überwachung von Alarmen können Sie ungewöhnliche Aktivitäten erkennen und schnell auf Sicherheits- und Betriebsprobleme reagieren.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Implementieren Sie umsetzbare Sicherheitsereignisse im AWS Well-Architected Framework
Alarmaktionen in der Dokumentation CloudWatch

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identitäts- und Zugriffskontrollen

Kontrollen der Infrastruktur