Wählen und aktivieren Sie Protokollquellen - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wählen und aktivieren Sie Protokollquellen

Im Vorfeld einer Sicherheitsuntersuchung müssen Sie relevante Protokolle erfassen, um die Aktivitäten in einem AWS Konto rückwirkend rekonstruieren zu können. Wählen und aktivieren Sie Protokollquellen, die für die Workloads ihrer AWS Konten relevant sind.

AWS CloudTrail ist ein Protokollierungsdienst, der API-Aufrufe verfolgt, die im Zusammenhang mit einer AWS AWS Kontoerfassungsdienstaktivität getätigt wurden. Er ist standardmäßig aktiviert und ermöglicht die 90-tägige Aufbewahrung von Verwaltungsereignissen, die über CloudTrail die Funktion „Event History“ mit AWS Management Console dem AWS CLI oder einem AWS SDK abgerufen werden können. Für eine längere Aufbewahrung und Sichtbarkeit von Datenereignissen müssen Sie einen CloudTrail Trail erstellen und ihn einem Amazon S3 S3-Bucket und optional einer CloudWatch Protokollgruppe zuordnen. Alternativ können Sie einen CloudTrail Lake erstellen, der CloudTrail Protokolle für bis zu sieben Jahre aufbewahrt und eine SQL-basierte Abfragefunktion bietet.

AWS empfiehlt Kunden, die eine VPC verwenden, Netzwerkverkehr und DNS-Protokolle mithilfe von VPC Flow Logs bzw. Amazon Route 53 Resolver-Abfrageprotokollen zu aktivieren und diese entweder in einen Amazon S3 S3-Bucket oder eine CloudWatch Protokollgruppe zu streamen. Sie können ein VPC-Flow-Protokoll für eine VPC, ein Subnetz oder eine Netzwerkschnittstelle erstellen. Bei VPC Flow Logs können Sie auswählen, wie und wo Sie Flow Logs aktivieren, um die Kosten zu senken.

AWS CloudTrail Protokolle, VPC-Flow-Logs und Route 53-Resolver-Abfrageprotokolle sind die grundlegenden Protokollierungs-Trifecta zur Unterstützung von Sicherheitsuntersuchungen. AWS

AWS Services können Logs generieren, die nicht von den grundlegenden Logging-Trifecta erfasst werden, wie z. B. Elastic Load Balancing AWS WAF Balancing-Logs, Logs, AWS Config Recorder-Logs, GuardDuty Amazon-Ergebnisse, Amazon Elastic Kubernetes Service (Amazon EKS) Audit-Logs und EC2 Amazon-Instance-Betriebssystem- und Anwendungsprotokolle. Die vollständige Liste der Anhang A: Definitionen der Cloud-Funktionen Protokollierungs- und Überwachungsoptionen finden Sie unter.