Protokollieren von AWS Shield Network Security Director-API-Aufrufen mit AWS CloudTrail - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit
Informationen zum Network Security Director finden Sie unter CloudTrailAPI-Operationen von Network Security Director, protokolliert von CloudTrailGrundlegendes zu den Protokolldateieinträgen von Network Security Director CloudTrail Protokolle mit Amazon überwachen CloudWatchBewährte Methoden für CloudTrail den Network Security Director

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollieren von AWS Shield Network Security Director-API-Aufrufen mit AWS CloudTrail

AWS Shield Network Security Director lässt sich integrieren AWS CloudTrail , um alle API-Aufrufe als Ereignisse aufzuzeichnen. Diese Integration erfasst Anrufe von der Network Security Director-Konsole, programmatische Aufrufe an Network Security Director APIs und Anrufe von anderen AWS Diensten.

Mit CloudTrail können Sie aktuelle Ereignisse im Ereignisverlauf anzeigen oder einen Trail erstellen, um fortlaufende Protokolle an einen Amazon Simple Storage Service-Bucket zu senden. Diese Protokolle enthalten Details zu jeder Anfrage, einschließlich der Identität des Anrufers, der Uhrzeit, der Anforderungsparameter und der Antwort.

Weitere Informationen CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch.

Informationen zum Network Security Director finden Sie unter CloudTrail

CloudTrail ist automatisch für Ihr AWS Konto aktiviert. Wenn im Network Security Director eine Aktivität auftritt, wird sie als Ereignis in aufgezeichnet CloudTrail. Für eine fortlaufende Aufzeichnung von Ereignissen erstellen Sie einen Trail, der Protokolldateien an einen Amazon S3 S3-Bucket übermittelt.

Weitere Informationen zum Erstellen und Verwalten von Trails finden Sie unter:

API-Operationen von Network Security Director, protokolliert von CloudTrail

Alle API-Operationen von Network Security Director werden von der API-Referenz protokolliert CloudTrail und in dieser dokumentiert. Die folgenden Operationen sind enthalten:

  • StartNetworkSecurityScan: Initiiert einen Netzwerksicherheitsscan

  • GetNetworkSecurityScan: Ruft Informationen über einen Netzwerksicherheitsscan ab

  • ListResources: Listet die im Dienst verfügbaren Ressourcen auf

  • GetResource: Ruft detaillierte Informationen zu einer bestimmten Ressource ab

  • ListFindings: Listet Sicherheitsergebnisse auf

  • GetFinding: Ruft detaillierte Informationen zu einem bestimmten Ergebnis ab

  • UpdateFinding: Aktualisiert den Status oder andere Attribute eines Ergebnisses

  • ListRemediations: Führt Behebungsempfehlungen für ein Ergebnis auf

  • ListInsights: Führt Erkenntnisse auf der Grundlage von Ergebnissen und Ressourcen auf

Grundlegendes zu den Protokolldateieinträgen von Network Security Director

CloudTrail Protokolleinträge enthalten Informationen darüber, wer die Anfrage gestellt hat, wann sie gestellt wurde und welche Parameter verwendet wurden. Hier ist ein Beispiel für eine StartNetworkSecurityScan Aktion:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:02:58Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "StartNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "RESCANNING",
            "startTime": "2023-11-28T22:02:58Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Und hier ist ein Beispiel für eine GetNetworkSecurityScan Aktion:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:03:15Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "GetNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "COMPLETE",
            "startTime": "2023-11-28T22:02:58Z",
            "completionTime": "2023-11-28T22:03:15Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

CloudTrail Protokolle mit Amazon überwachen CloudWatch

Sie können Amazon verwenden CloudWatch , um bestimmte API-Aktivitäten in CloudTrail Protokollen zu überwachen und darauf hinzuweisen. Auf diese Weise können Sie unbefugte Zugriffsversuche, Konfigurationsänderungen oder ungewöhnliche Aktivitätsmuster erkennen.

So richten Sie die CloudWatch Überwachung ein:

  1. Konfiguriere deinen CloudTrail Trail so, dass Logs an CloudWatch Logs gesendet werden

  2. Erstellen Sie Metrikfilter, um spezifische Informationen aus Protokollereignissen zu extrahieren

  3. Erstellen Sie Alarme auf der Grundlage dieser Metriken

Eine ausführliche Anleitung finden Sie unter Überwachen von CloudTrail Protokolldateien mit Amazon CloudWatch Logs.

Bewährte Methoden für CloudTrail den Network Security Director

Um Sicherheit und Überprüfbarkeit zu maximieren mit CloudTrail:

  • Für eine umfassende Abdeckung CloudTrail in allen Regionen aktivieren

  • Aktivieren Sie die Integritätsprüfung der Protokolldatei, um unbefugte Änderungen zu erkennen

  • Verwenden Sie IAM, um den Zugriff auf CloudTrail Protokolle nach den Grundsätzen der geringsten Rechte zu kontrollieren

  • Richten Sie mithilfe CloudWatch von Alarmen Benachrichtigungen für kritische Ereignisse ein

  • Überprüfen Sie die CloudTrail Protokolle regelmäßig, um ungewöhnliche Aktivitäten zu identifizieren