SEC04-BP02 Erfassen von Protokollen, Erkenntnissen und Metriken an standardisierten Orten

Sicherheitsteams stützen sich auf Protokolle und Erkenntnisse, um Ereignisse zu analysieren, die auf unbefugte Aktivitäten oder unbeabsichtigte Änderungen hindeuten könnten. Um diese Analyse zu rationalisieren, sollten Sie Sicherheitsprotokolle und Ergebnisse an standardisierten Orten erfassen.  Dies macht Datenpunkte von Interesse für die Korrelation verfügbar und kann die Integration von Tools vereinfachen.

Gewünschtes Ergebnis: Sie verfügen über einen standardisierten Ansatz zum Sammeln, Analysieren und Visualisieren von Protokolldaten, Erkenntnissen und Metriken. Sicherheitsteams können Sicherheitsdaten über verschiedene Systeme hinweg effizient korrelieren, analysieren und visualisieren, um potenzielle Sicherheitsereignisse zu erkennen und Anomalien zu identifizieren. Systeme für Sicherheitsinformation und Ereignisverwaltung (Security Information and Event Management, SIEM) oder andere Mechanismen sind integriert, um Protokolldaten abzufragen und zu analysieren, damit Sie zeitnah auf Sicherheitsereignisse reagieren, diese verfolgen und eskalieren können.

Typische Anti-Muster:

• Teams besitzen und verwalten eigenständig Protokolle und Metriksammlungen, die nicht mit der Protokollierungsstrategie der Organisation übereinstimmen.

• Teams verfügen nicht über angemessene Zugriffskontrollen, um die Sichtbarkeit und Veränderung der erfassten Daten einzuschränken.

• Teams regeln ihre Sicherheitsprotokolle, Erkenntnisse und Metriken nicht als Teil ihrer Richtlinie zur Datenklassifizierung.

• Teams vernachlässigen bei der Konfiguration von Datensammlungen die Anforderungen an die Datenhoheit und die Lokalisierung.

Vorteile der Einführung dieser bewährten Methode: Eine standardisierte Protokollierungslösung zur Erfassung und Abfrage von Protokolldaten und -ereignissen verbessert die aus den darin enthaltenen Informationen gewonnenen Erkenntnisse. Die Konfiguration eines automatisierten Lebenszyklus für die gesammelten Protokolldaten kann die durch die Speicherung von Protokollen entstehenden Kosten reduzieren. Sie können eine fein abgestufte Zugriffskontrolle für die gesammelten Protokollinformationen einrichten, je nachdem, wie sensibel die Daten sind und welche Zugriffsmuster Ihre Teams benötigen. Sie können Tools integrieren, um die Daten zu korrelieren, zu visualisieren und Erkenntnisse daraus abzuleiten.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: mittel

Implementierungsleitfaden

Die zunehmende AWS-Nutzung innerhalb einer Organisation führt zu einer wachsenden Anzahl von verteilten Workloads und Umgebungen. Jeder dieser Workloads und jede dieser Umgebungen generiert Daten über die darin stattfindenden Aktivitäten. Die Erfassung und lokale Speicherung dieser Daten stellt eine Herausforderung für den Sicherheitsbetrieb dar. Sicherheitsteams verwenden Tools wie Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM), um Daten aus verteilten Quellen zu sammeln und Korrelations-, Analyse- und Reaktionsabläufe durchzuführen. Dies erfordert die Verwaltung einer komplexen Reihe von Berechtigungen für den Zugriff auf die verschiedenen Datenquellen und einen zusätzlichen Aufwand beim Betrieb der Extract, Transform, Load (ETL)-Prozesse.

Um diese Herausforderungen zu meistern, sollten Sie alle relevanten Quellen von Sicherheitsprotokolldaten in einem Protokollarchiv-Konto zusammenfassen. Dies ist beschrieben in: Organizing Your AWS Environment Using Multiple Accounts. Dazu gehören alle sicherheitsrelevanten Daten aus Ihrem Workload und Protokolle, die AWS-Services erzeugen, wie AWS CloudTrail, AWS WAF, Elastic Load Balancing und Amazon Route 53. Es hat mehrere Vorteile, diese Daten an standardisierten Orten in einem separaten AWS-Konto mit entsprechenden kontoübergreifenden Berechtigungen zu erfassen. Diese Vorgehensweise hilft, die Manipulation von Protokollen in gefährdeten Workloads und Umgebungen zu verhindern, bietet einen einzigen Integrationspunkt für zusätzliche Tools und bietet ein einfacheres Modell für die Konfiguration der Datenaufbewahrung und des Lebenszyklus.  Bewerten Sie die Auswirkungen der Datenhoheit, der Compliance-Bereiche und anderer Vorschriften, um festzustellen, ob mehrere Speicherorte für Sicherheitsdaten und Aufbewahrungsfristen erforderlich sind.

Um die Erfassung und Standardisierung von Protokollen und Erkenntnissen zu erleichtern, bewerten Sie Amazon Security Lake in Ihrem Protokollarchiv-Konto. Sie können Security Lake so konfigurieren, dass Daten aus gängigen Quellen wie CloudTrail, Route 53, Amazon EKS und VPC Flow Logs automatisch aufgenommen werden. Außerdem können Sie AWS Security Hub auch als Datenquelle in Security Lake konfigurieren, sodass Sie Erkenntnisse aus anderen AWS-Services wie Amazon GuardDuty und Amazon Inspector mit Ihren Protokolldaten korrelieren können.  Ferner haben Sie die Möglichkeit, Datenquellen von Drittanbietern zu integrieren oder eigene Datenquellen zu konfigurieren. Alle Integrationen standardisieren Ihre Daten in das Open Cybersecurity Schema Framework (OCSF)-Format und werden in Amazon S3-Buckets als Parquet-Dateien gespeichert, sodass keine ETL-Verarbeitung erforderlich ist.

Die Speicherung von Sicherheitsdaten an standardisierten Orten bietet erweiterte Analysemöglichkeiten. AWS empfiehlt Ihnen die Bereitstellung von Tools für Sicherheitsanalysen, die in einer AWS-Umgebung arbeiten, in einem Security-Tooling-Konto, das von Ihrem Protokollarchiv-Konto getrennt ist.  Dieser Ansatz ermöglicht es Ihnen, Kontrollen in der Tiefe zu implementieren, um die Integrität und Verfügbarkeit der Protokolle und des Protokollverwaltungsprozesses zu schützen, und zwar unabhängig von den Tools, die auf sie zugreifen.  Erwägen Sie die Nutzung von Services wie Amazon Athena, um On-Demand-Abfragen durchzuführen, die mehrere Datenquellen miteinander in Beziehung setzen. Sie können auch Visualisierungstools wie Amazon QuickSight integrieren. KI-gestützte Lösungen werden zunehmend verfügbar und können Funktionen wie die Übersetzung von Erkenntnissen in für Menschen lesbare Zusammenfassungen und Interaktion in natürlicher Sprache übernehmen.  Diese Lösungen lassen sich oft leichter integrieren, wenn ein standardisierter Datenspeicher für Abfragen zur Verfügung steht.

Implementierungsschritte

1. Erstellen Sie die Konten „Protokollarchiv“ und „Security Tooling“

   1. Erstellen Sie mit AWS Organizations die Konten „Protokollarchiv“ und „Security Tooling“ unter einer Sicherheitsorganisationseinheit. Wenn Sie AWS Control Tower zur Verwaltung Ihrer Organisation verwenden, werden die Konten für Protokollarchiv und Security Tooling automatisch für Sie erstellt. Konfigurieren Sie bei Bedarf Rollen und Berechtigungen für den Zugriff auf diese Konten und deren Verwaltung.

2. Konfigurieren Sie Ihre standardisierten Speicherorte für Sicherheitsdaten

   1. Legen Sie Ihre Strategie für die Erstellung standardisierter Sicherheitsdatenorte fest.  Sie können dies durch Optionen wie allgemeine Data-Lake-Architekturansätze, Datenprodukte von Drittanbietern oder Amazon Security Lake erreichen. AWS empfiehlt, dass Sie Sicherheitsdaten von AWS-Regionen erfassen, die für Ihre Konten aktiviert sind, auch wenn sie nicht aktiv genutzt werden.

3. Konfigurieren Sie die Veröffentlichung von Datenquellen an Ihren standardisierten Standorten

   1. Identifizieren Sie die Quellen für Ihre Sicherheitsdaten und konfigurieren Sie sie so, dass sie an Ihren standardisierten Standorten veröffentlicht werden. Evaluieren Sie Optionen für den automatischen Export von Daten in das gewünschte Format im Gegensatz zu solchen, bei denen ETL-Prozesse entwickelt werden müssen. Mit Amazon Security Lake können Sie Daten aus unterstützten AWS-Quellen und integrierten Drittsystemen sammeln.

4. Konfigurieren Sie Tools für den Zugriff auf Ihre standardisierten Speicherorte

   1. Konfigurieren Sie Tools wie Amazon Athena, Amazon QuickSight oder Lösungen von Drittanbietern, um den erforderlichen Zugriff auf Ihre standardisierten Standorte zu erhalten.  Konfigurieren Sie diese Tools so, dass sie über das Security Tooling-Konto mit kontoübergreifendem Zugriff auf das Protokollarchiv-Konto arbeiten, sofern zutreffend. Erstellen Sie Subscriber in Amazon Security Lake, um diesen Tools Zugriff auf Ihre Daten zu geben.

Ressourcen

Zugehörige bewährte Methoden:

• SEC01-BP01 Trennen von Workloads mithilfe von Konten

• SEC07-BP04 Definieren eines skalierbaren Datenlebenszyklusmanagements

• SEC08-BP04 Durchsetzen der Zugriffskontrolle

• OPS08-BP02 Analysieren von Workload-Protokollen

Zugehörige Dokumente:

• AWS Whitepapers: Organizing Your AWS Environment Using Multiple Accounts

• AWS Prescriptive Guidance: AWS Security Reference Architecture (AWS SRA)

• AWS Prescriptive Guidance: Logging and monitoring guide for application owners

Zugehörige Beispiele:

• Aggregating, searching, and visualizing log data from distributed sources with Amazon Athena and Amazon QuickSight

• How to visualize Amazon Security Lake findings with Amazon QuickSight

• Generate AI powered insights for Amazon Security Lake using Amazon SageMaker Studio and Amazon Bedrock

• Identify cybersecurity anomalies in your Amazon Security Lake data using Amazon SageMaker

• Ingest, transform, and deliver events published by Amazon Security Lake to Amazon OpenSearch Service

• How to use AWS Security Hub and Amazon OpenSearch Service for SIEM

Zugehörige Tools:

• Amazon Security Lake

• Amazon Security Lake-Partnerintegrationen

• Open Cybersecurity Schema Framework (OCSF)

• Amazon Athena

• Amazon QuickSight

• Amazon Bedrock