SEC04-BP02 Erfassen von Protokollen, Ergebnissen und Kennzahlen an standardisierten Orten

Sicherheitsteams stützen sich auf Protokolle und Erkenntnisse, um Ereignisse zu analysieren, die auf unbefugte Aktivitäten oder unbeabsichtigte Änderungen hindeuten könnten. Um diese Analyse zu rationalisieren, sollten Sie Sicherheitsprotokolle und Ergebnisse an standardisierten Orten erfassen.  Dies macht Datenpunkte von Interesse für die Korrelation verfügbar und kann die Integration von Tools vereinfachen.

Gewünschtes Ergebnis: Sie verfügen über einen standardisierten Ansatz zum Sammeln, Analysieren und Visualisieren von Protokolldaten, Erkenntnissen und Metriken. Sicherheitsteams können Sicherheitsdaten über verschiedene Systeme hinweg effizient korrelieren, analysieren und visualisieren, um potenzielle Sicherheitsereignisse zu erkennen und Anomalien zu identifizieren. Systeme zur Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM) oder andere Mechanismen sind integriert, um Protokolldaten abzufragen und zu analysieren, um rechtzeitig auf Sicherheitsereignisse reagieren, sie verfolgen und eskalieren zu können.

Typische Anti-Muster:

• Teams besitzen und verwalten eigenständig Protokolle und Metriksammlungen, die nicht mit der Protokollierungsstrategie der Organisation übereinstimmen.

• Teams verfügen nicht über angemessene Zugriffskontrollen, um die Sichtbarkeit und Veränderung der erfassten Daten einzuschränken.

• Teams regeln ihre Sicherheitsprotokolle, Erkenntnisse und Metriken nicht als Teil ihrer Richtlinie zur Datenklassifizierung.

• Teams vernachlässigen bei der Konfiguration von Datensammlungen die Anforderungen an die Datenhoheit und die Lokalisierung.

Vorteile der Nutzung dieser bewährten Methode: Eine standardisierte Protokollierungslösung zur Erfassung und Abfrage von Protokolldaten und -ereignissen verbessert die aus den darin enthaltenen Informationen gewonnenen Erkenntnisse. Die Konfiguration eines automatisierten Lebenszyklus für die gesammelten Protokolldaten kann die durch die Speicherung von Protokollen entstehenden Kosten reduzieren. Sie können eine fein abgestufte Zugriffskontrolle für die gesammelten Protokollinformationen einrichten, je nachdem, wie sensibel die Daten sind und welche Zugriffsmuster Ihre Teams benötigen. Sie können Tools integrieren, um die Daten zu korrelieren, zu visualisieren und Erkenntnisse daraus abzuleiten.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Die zunehmende AWS Nutzung innerhalb eines Unternehmens führt zu einer wachsenden Anzahl verteilter Workloads und Umgebungen. Jeder dieser Workloads und jede dieser Umgebungen generiert Daten über die darin stattfindenden Aktivitäten. Die Erfassung und lokale Speicherung dieser Daten stellt eine Herausforderung für den Sicherheitsbetrieb dar. Sicherheitsteams verwenden Tools wie Sicherheitsinformations- und Event-Management-Systeme (SIEM), um Daten aus verteilten Quellen zu sammeln und Workflows für Korrelation, Analyse und Reaktion zu durchlaufen. Dies erfordert die Verwaltung komplexer Berechtigungen für den Zugriff auf die verschiedenen Datenquellen und zusätzlichen Aufwand beim Betrieb der Extraktions-, Transformations- und Ladeprozesse (ETL).

Um diese Herausforderungen zu bewältigen, sollten Sie erwägen, alle relevanten Quellen von Sicherheitsprotokolldaten in einem Log Archive-Konto zusammenzufassen, wie unter Organizing Your AWS Environment Using Multiple Accounts beschrieben. Dazu gehören alle sicherheitsrelevanten Daten aus Ihrem Workload und Protokolle, die AWS -Services erzeugen, wie AWS CloudTrail, AWS WAF, Elastic Load Balancing und Amazon Route 53. Die Erfassung dieser Daten an standardisierten Speicherorten an einem separaten Speicherort AWS-Konto mit entsprechenden kontoübergreifenden Berechtigungen bietet mehrere Vorteile. Diese Vorgehensweise hilft, die Manipulation von Protokollen in gefährdeten Workloads und Umgebungen zu verhindern, bietet einen einzigen Integrationspunkt für zusätzliche Tools und bietet ein einfacheres Modell für die Konfiguration der Datenaufbewahrung und des Lebenszyklus.  Bewerten Sie die Auswirkungen der Datenhoheit, der Compliance-Bereiche und anderer Vorschriften, um festzustellen, ob mehrere Speicherorte für Sicherheitsdaten und Aufbewahrungsfristen erforderlich sind.

Um die Erfassung und Standardisierung von Protokollen und Erkenntnissen zu erleichtern, bewerten Sie Amazon Security Lake in Ihrem Protokollarchiv-Konto. Sie können Security Lake so konfigurieren, dass Daten aus gängigen Quellen wie Route 53 CloudTrailEKS, Amazon und VPCFlow Logs automatisch aufgenommen werden. Sie können Security Lake auch AWS Security Hub als Datenquelle konfigurieren, sodass Sie Ergebnisse von anderen AWS Diensten wie Amazon GuardDuty und Amazon Inspector mit Ihren Protokolldaten korrelieren können.  Ferner haben Sie die Möglichkeit, Datenquellen von Drittanbietern zu integrieren oder eigene Datenquellen zu konfigurieren. Alle Integrationen standardisieren Ihre Daten im Format Open Cybersecurity Schema Framework (OCSF) und werden in Amazon S3 S3-Buckets als Parquet-Dateien gespeichert, sodass keine Verarbeitung erforderlich ist. ETL

Das Speichern von Sicherheitsdaten an standardisierten Speicherorten bietet erweiterte Analysefunktionen.AWS empfiehlt, dass Sie Tools für Sicherheitsanalysen, die in einer AWS Umgebung funktionieren, in einem Security Tooling-Konto bereitstellen, das von Ihrem Log Archive-Konto getrennt ist.  Dieser Ansatz ermöglicht es Ihnen, Kontrollen in der Tiefe zu implementieren, um die Integrität und Verfügbarkeit der Protokolle und des Protokollverwaltungsprozesses zu schützen, und zwar unabhängig von den Tools, die auf sie zugreifen.  Erwägen Sie die Nutzung von Services wie Amazon Athena, um On-Demand-Abfragen durchzuführen, die mehrere Datenquellen miteinander in Beziehung setzen. Sie können auch Visualisierungstools wie Amazon integrieren QuickSight. KI-gestützte Lösungen werden zunehmend verfügbar und können Funktionen wie die Übersetzung von Erkenntnissen in für Menschen lesbare Zusammenfassungen und Interaktion in natürlicher Sprache übernehmen.  Diese Lösungen lassen sich oft leichter integrieren, wenn ein standardisierter Datenspeicher für Abfragen zur Verfügung steht.

Implementierungsschritte

1. Erstellen Sie die Konten „Protokollarchiv“ und „Security Tooling“

   1. Erstellen Sie mithilfe von AWS Organizations Log Archive und Security Tooling Konten unter einer Sicherheits-Organisationseinheit. Wenn Sie Ihre Organisation verwalten AWS Control Tower , werden die Konten Log Archive und Security Tooling automatisch für Sie erstellt. Konfigurieren Sie bei Bedarf Rollen und Berechtigungen für den Zugriff auf diese Konten und deren Verwaltung.

2. Konfigurieren Sie Ihre standardisierten Speicherorte für Sicherheitsdaten

   1. Legen Sie Ihre Strategie für die Erstellung standardisierter Sicherheitsdatenorte fest.  Sie können dies durch Optionen wie gängige Data-Lake-Architekturansätze, Datenprodukte von Drittanbietern oder Amazon Security Lake erreichen.AWS empfiehlt, dass Sie Sicherheitsdaten von den Konten erfassen AWS-Regionen , für die Sie sich angemeldet haben, auch wenn diese nicht aktiv genutzt werden.

3. Konfigurieren Sie die Veröffentlichung von Datenquellen an Ihren standardisierten Standorten

   1. Identifizieren Sie die Quellen für Ihre Sicherheitsdaten und konfigurieren Sie sie so, dass sie an Ihren standardisierten Speicherorten veröffentlicht werden. Prüfen Sie die Optionen für den automatischen Export von Daten im gewünschten Format, im Gegensatz zu denen, bei denen ETL Prozesse entwickelt werden müssen. Mit Amazon Security Lake können Sie Daten aus unterstützten AWS Quellen und integrierten Systemen von Drittanbietern sammeln.

4. Konfigurieren Sie Tools für den Zugriff auf Ihre standardisierten Speicherorte

   1. Konfigurieren Sie Tools wie Amazon Athena, Amazon oder Lösungen von Drittanbietern QuickSight, um den erforderlichen Zugriff auf Ihre standardisierten Standorte zu erhalten.  Konfigurieren Sie diese Tools so, dass sie über das Security Tooling-Konto mit kontoübergreifendem Zugriff auf das Protokollarchiv-Konto arbeiten, sofern zutreffend. Erstellen Sie Subscriber in Amazon Security Lake, um diesen Tools Zugriff auf Ihre Daten zu erteilen.

Ressourcen

Zugehörige bewährte Methoden:

• SEC01-BP01 Separate Workloads mithilfe von Konten

• SEC07-BP04 Definieren Sie das Datenlebenszyklusmanagement

• SEC08-BP04 Erzwingen Sie die Zugriffskontrolle

• OPS08-BP02 Analysieren Sie Workload-Protokolle

Zugehörige Dokumente:

• AWS Whitepapers: Organisieren Sie Ihre Umgebung mithilfe mehrerer Konten AWS

• AWS Präskriptive Leitlinien: AWS Sicherheitsreferenzarchitektur ()AWS SRA

• AWS Prescriptive Guidance: Logging and monitoring guide for application owners

Zugehörige Beispiele:

• Aggregieren, Durchsuchen und Visualisieren von Protokolldaten aus verteilten Quellen mit Amazon Athena und Amazon QuickSight

• So visualisieren Sie die Ergebnisse von Amazon Security Lake mit Amazon QuickSight

• Generieren Sie mithilfe von Amazon SageMaker Studio und Amazon Bedrock KI-gestützte Erkenntnisse für Amazon Security Lake

• Identifizieren Sie mithilfe von Amazon Cybersicherheitsanomalien in Ihren Amazon Security Lake-Daten SageMaker

• Erfassung, Transformation und Bereitstellung von Ereignissen, die von Amazon Security Lake veröffentlicht wurden, an Amazon Service OpenSearch

• Wie benutzt man AWS Security Hub einen Amazon OpenSearch Service für SIEM

Zugehörige Tools:

• Amazon Security Lake

• Amazon Security Lake-Partnerintegrationen

• Öffnen Sie das Cybersecurity Schema Framework (OCSF)

• Amazon Athena

• Amazon QuickSight

• Amazon Bedrock