Recomendaciones de control de seguridad para el registro y la supervisión

El registro y la supervisión son aspectos importantes de la detección de amenazas. La detección de amenazas es una de las capacidades desde el punto de vista de la seguridad del AWS Cloud Adoption Framework (AWS CAF). Al usar datos de registro, su organización puede monitorear su entorno para comprender e identificar posibles errores de configuración de seguridad, amenazas y comportamientos inesperados. Comprender las posibles amenazas puede ayudar a su organización a priorizar los controles de seguridad, y una detección eficaz de las amenazas puede ayudarle a responder a las amenazas con mayor rapidez.

Configure al menos una ruta multirregional en CloudTrail

AWS CloudTraille ayuda a auditar la gobernanza, el cumplimiento y el riesgo operativo de su Cuenta de AWS empresa. Las acciones realizadas por un usuario, un rol o una Servicio de AWS persona se registran como eventos en CloudTrail. Los eventos incluyen las acciones realizadas en AWS Management Console, AWS Command Line Interface (AWS CLI) y AWS SDKs y APIs. Este historial de eventos le ayuda a analizar su postura de seguridad, realizar un seguimiento de los cambios en los recursos y auditar el cumplimiento.

Para tener un registro continuo de los eventos que se produzcan en su entorno Cuenta de AWS, debe crear un registro. Cada ruta debe configurarse para registrar todos los eventos Regiones de AWS. Al registrar todos los eventos Regiones de AWS, se asegura de que se registren todos los eventos que se produzcan en su Cuenta de AWS interior, independientemente del lugar en el que se Región de AWS hayan producido. Un registro multirregional garantiza que se registren los eventos del servicio global.

Para obtener más información, consulte los siguientes recursos:

• CloudTrail las mejores prácticas de seguridad policial en la documentación CloudTrail

• Convertir una ruta que se aplica a una región para que se aplique a todas las regiones de la CloudTrail documentación

• Habilitar y deshabilitar el registro de eventos del servicio global en la documentación CloudTrail

Configure el registro a nivel de servicio y aplicación

El AWS Well-Architected Framework recomienda conservar los registros de eventos de seguridad de los servicios y las aplicaciones. Este es un principio fundamental de seguridad para las auditorías, las investigaciones y los casos de uso operativo. La retención de los registros de servicios y aplicaciones es un requisito de seguridad común que se basa en los estándares, políticas y procedimientos de gobernanza, riesgo y cumplimiento (GRC).

Los equipos de operaciones de seguridad utilizan los registros y las herramientas de búsqueda para descubrir posibles eventos de interés que puedan indicar una actividad no autorizada o un cambio involuntario. Puede habilitar el registro para distintos servicios, según el caso de uso. Por ejemplo, puede registrar el acceso al bucket de Amazon S3, el tráfico de ACL AWS WAF web, el tráfico de Amazon API Gateway en la capa de red o CloudFront las distribuciones de Amazon.

Para obtener más información, consulte los siguientes recursos:

• Transmita Amazon CloudWatch Logs a una cuenta centralizada para realizar auditorías y análisis en el blog de AWS arquitectura

• Configurar el registro de servicios y aplicaciones en AWS Well-Architected Framework

Establezca una ubicación centralizada para analizar los registros y responder a los eventos de seguridad

El análisis manual de los registros y el procesamiento de la información no son suficientes para mantener el volumen de información asociado a las arquitecturas complejas. El análisis y la elaboración de informes por sí solos no facilitan la asignación de eventos al recurso correcto de manera oportuna. El AWS Well-Architected Framework recomienda AWS integrar los eventos y hallazgos de seguridad en un sistema de notificación y flujo de trabajo, como un sistema de gestión de eventos e información de seguridad (SIEM), errores o sistemas de gestión de eventos e información de seguridad (SIEM). Estos sistemas le ayudan a asignar, enrutar y gestionar los eventos de seguridad.

Para obtener más información, consulte los siguientes recursos:

• Analice los registros, los hallazgos y las métricas de forma centralizada en AWS Well-Architected Framework

• Analice la seguridad, el cumplimiento y la actividad operativa con CloudTrail Amazon Athena en el AWS blog de seguridad

• AWS Socios que ofrecen servicios de detección y respuesta a amenazas en la cartera de AWS socios

Impida el acceso no autorizado a los depósitos de S3 que contienen archivos de CloudTrail registro

De forma predeterminada, los archivos de CloudTrail registro se almacenan en buckets de Amazon S3. Impedir el acceso no autorizado a cualquier bucket de Amazon S3 que contenga archivos de CloudTrail registro constituye una práctica recomendada de seguridad. Esto le ayuda a mantener la integridad, integridad y disponibilidad de estos registros, lo cual es crucial para fines forenses y de auditoría. Si desea registrar los eventos de datos de los depósitos de S3 que contienen archivos de CloudTrail registro, puede crear un registro CloudTrail para ello.

Para obtener más información, consulte los siguientes recursos:

• Configuración de los ajustes de acceso público en bloque para sus buckets de S3 en la documentación de Amazon S3

• CloudTrail las mejores prácticas de seguridad preventiva en la documentación CloudTrail

• Crear una pista en la documentación CloudTrail

Configure alertas para los cambios en los grupos de seguridad o la red ACLs

Un grupo de seguridad de Amazon Virtual Private Cloud (Amazon VPC) controla el tráfico que puede llegar y salir de los recursos a los que está asociado. Una lista de control de acceso a la red (ACL) permite o deniega tráfico entrante o saliente específico en el nivel de subred de la VPC. Estos recursos son fundamentales para administrar el acceso en su entorno. AWS

Cree y configure una CloudWatch alarma de Amazon que le notifique si la configuración de un grupo de seguridad o ACL de red cambia. Configure esta alarma para que le avise cada vez que se realice una llamada a la AWS API para actualizar los grupos de seguridad. También puede utilizar servicios, como Amazon EventBridge y AWS Config, para responder automáticamente a este tipo de eventos de seguridad.

Para obtener más información, consulte los siguientes recursos:

• Revierta automáticamente y reciba notificaciones sobre los cambios en sus grupos de seguridad de Amazon VPC en AWS el blog de seguridad

• Uso de CloudWatch las alarmas de Amazon en la CloudWatch documentación

• Implemente eventos de seguridad procesables en el AWS Well-Architected Framework

• Automatice la respuesta a los eventos en el AWS Well-Architected Framework

Configure alertas para CloudWatch las alarmas que entran en el estado de ALARMA

En CloudWatch, puede especificar qué acciones realiza una alarma cuando cambia de estado entre los INSUFFICIENT_DATA estados OKALARM, y. El tipo de acción de alarma más común consiste en notificar a una o más personas mediante el envío de un mensaje a un tema de Amazon Simple Notification Service (Amazon SNS). También puede configurar alarmas para que se generen OpsItemso generen AWS Systems Manager incidentes.

Le recomendamos que active las acciones de alarma para alertar automáticamente si una métrica monitorizada está fuera del umbral definido. La supervisión de las alarmas le ayuda a identificar actividades inusuales y a responder rápidamente a los problemas operativos y de seguridad.

Para obtener más información, consulte los siguientes recursos:

• Implemente eventos de seguridad procesables en el AWS Well-Architected Framework

• Acciones de alarma en la documentación CloudWatch