Protokollierung und Ereignisse - Leitfaden zur Reaktion auf Sicherheitsvorfälle in AWS

Protokollierung und Ereignisse

AWS CloudTrail – Mit dem Service AWS CloudTrail können Sie Governance-, Compliance-, Betriebs- und Risikoprüfungen für Ihr AWS-Konto durchführen. Mit CloudTrail können Sie Kontoaktivitäten in Ihrer AWS-Infrastruktur protokollieren, fortlaufend überwachen und speichern. CloudTrail bietet einen Ereignisverlauf Ihrer AWS-Kontoaktivität. Dieser umfasst auch über die AWS Management Console, AWS SDKs, Befehlszeilen-Tools und andere AWS-Services ausgeführte Aktionen. Der Ereignisverlauf vereinfacht Sicherheitsanalysen, das Nachverfolgen von Ressourcenänderungen sowie die Problembehebung.

Validierte Protokolldateien sind bei Sicherheits- und kriminaltechnischen Ermittlungen unersetzlich. Wenn Sie feststellen möchten, ob eine Protokolldatei geändert, gelöscht oder nicht verändert wurde, nachdem sie von CloudTrail übermittelt wurde, verwenden Sie die Integritätsvalidierung für CloudTrail-Protokolldateien. Diese Funktion wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Dadurch ist es computertechnisch nicht möglich, CloudTrail-Protokolldateien unerkannt zu ändern, zu löschen oder zu fälschen.

Die von CloudTrail an Ihren Bucket gelieferten Protokolldateien werden standardmäßig mit der serverseitigen Amazon-Verschlüsselung verschlüsselt. Optional können Sie die AWS Key Management Service (AWS KMS) verwalteten Schlüssel (SSE-KMS) für Ihre CloudTrail-Protokolldateien verwenden.

Amazon CloudWatch Events – Amazon CloudWatch Events liefert einen Stream von Systemereignissen in nahezu Echtzeit, der Änderungen an AWS-Ressourcen beschreibt oder wenn API-Aufrufe von AWS CloudTrail veröffentlicht werden. Mit einfachen Regeln, die sich schnell einrichten lassen, können Sie Ereignisse ordnen und sie zu einer oder mehreren Zielfunktionen oder Streams umleiten. CloudWatch Events erkennt betriebsbezogene Veränderungen, sobald diese auftreten. CloudWatch Events kann auf diese betriebsbezogenen Veränderungen reagieren und bei Bedarf Korrekturmaßnahmen durchführen, indem es Nachrichten an die Umgebung versendet, Funktionen aktiviert, Änderungen vornimmt und Statusinformationen erfasst. Einige Sicherheitsdienste wie Amazon GuardDuty erzeugen eine Ausgabe in Form von CloudWatch Events.

AWS Config – Mit dem ServiceAWS Config können Sie die Konfigurationen Ihrer AWS-Ressourcen beurteilen, prüfen und evaluieren. Config überwacht kontinuierlich die Konfigurationen Ihrer AWS-Ressourcen und zeichnet diese auf. Sie erhalten die Möglichkeit, die Beurteilung der aufgezeichneten Konfigurationen im Hinblick auf gewünschte Konfigurationen zu automatisieren. Mit Config können Sie Änderungen an Konfigurationen und Beziehungen zwischen AWS-Ressourcen manuell oder automatisch überprüfen. Sie können detaillierte Ressourcenkonfigurationshistorien und Ihre allgemeine Compliance mit den in Ihren internen Richtlinien angegebenen Konfigurationen überprüfen. Dies ermöglicht Ihnen, Compliance-Prüfungen, Sicherheitsanalysen, das Änderungsmanagement sowie die betriebliche Fehlerbehebung zu vereinfachen.

Amazon S3-Zugriffsprotokolle – Wenn Sie vertrauliche Informationen in einem Amazon S3-Bucket speichern, können Sie S3-Zugriffsprotokolle aktivieren, um alle Uploads, Downloads und Änderungen dieser Daten aufzuzeichnen. Dieses Protokoll wird getrennt von und zusätzlich zu den CloudTrail-Protokollen erstellt, die Änderungen am Bucket selbst aufzeichnen (z. B. Änderungen der Zugriffsrichtlinien und Lebenszyklusrichtlinien).

Amazon CloudWatch Logs – Sie können Amazon CloudWatch Logs verwenden, um Ihre Protokolldateien (wie Ihr Betriebssystem, Ihre Anwendung und benutzerdefinierte Protokolldateien) über Ihre Amazon Elastic Compute Cloud-Instances (Amazon EC2) mithilfe des CloudWatch Logs-Agenten zu überwachen, zu speichern und darauf zuzugreifen. Darüber hinaus kann Amazon CloudWatch Logs Protokolle von AWS CloudTrail, Amazon Route 53 DNS-Abfragen, VPC-Flow-Protokolle, Lambda-Funktionen und andere Quellen erfassen. Anschließend können Sie die zugehörigen Protokolldaten aus CloudWatch Logs abrufen.

Amazon VPC Flow Logs – Mit VPC Flow Logs können Sie Informationen über den IP-Datenverkehr erfassen, der über die Netzwerkschnittstellen in Ihrer VPC ein- und ausgeht. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die darin enthaltenen Daten in Amazon CloudWatch Logs anzeigen und abrufen. Mit VPC Flow Logs können Sie diverse Aufgaben ausführen. Sie können beispielsweise Flow-Protokolle verwenden, um das Problem zu lösen, aus dem bestimmter Datenverkehr eine Instance nicht erreicht, wodurch Sie übermäßig restriktive Sicherheitsgruppenregeln erkennen können. Außerdem lassen sich Flow-Protokolle als Sicherheitstool zur Überwachung des Datenverkehrs zu Ihrer Instance einsetzen.

AWS WAF-Protokolle – AWS WAF unterstützt jetzt die vollständige Protokollierung aller Webanfragen, die vom Service geprüft werden. Diese Protokolle können zu Compliance- und Prüfungszwecken in Amazon S3 gespeichert und zu Debugging- und zusätzlichen Forensik-Zwecken verwendet werden. Die Protokolle vermitteln Ihnen ein besseres Verständnis dafür, weshalb bestimmte Regeln ausgelöst und bestimmte Webanfragen blockiert werden. Sie können die Protokolle auch in Ihr SIEM- und Ihre Protokollanalysetools integrieren.

Andere AWS-Protokolle – Dank unserer Innovationsgeschwindigkeit stellen wir unseren Kunden praktisch jeden Tag neue Funktionen und Funktionen zur Verfügung, d. h. es gibt Dutzende von AWS-Services, die Protokollierungs- und Überwachungsfunktionen bieten. Informationen zu den Funktionen der einzelnen AWS-Services finden Sie in der AWS-Dokumentation zu diesem Service.