Selección y habilitación de los orígenes de registro - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Selección y habilitación de los orígenes de registro

Antes de una investigación de seguridad, necesita obtener los registros pertinentes para reconstruir de forma retroactiva la actividad que se ha producido en una cuenta de AWS. Seleccione y habilite los orígenes de registro pertinentes para las cargas de trabajo de sus cuentas de AWS.

AWS CloudTrail es un servicio de registro que rastrea las llamadas a la API que se hacen en una cuenta de AWS y captura la actividad de los servicios de AWS. Está activado de forma predeterminada con una retención de 90 días de los eventos de administración que se pueden recuperar a través del historial de eventos de CloudTrail mediante la AWS Management Console, la AWS CLI o un SDK de AWS. Para prolongar la retención y la visibilidad de los eventos de datos, tiene que crear un registro de seguimiento de CloudTrail y asociarlo a un bucket de Amazon S3 y, de forma opcional, a un grupo de registro de CloudWatch. Como alternativa, puede crear un CloudTrail Lake, que conserva los registros de CloudTrail durante un máximo de siete años y proporciona un servicio de consultas basado en SQL.

AWS recomienda que los clientes que utilicen una VPC activen los registros de tráfico de red y DNS mediante los registros de flujo de VPC y los registros de consultas de Amazon Route 53 Resolver, respectivamente, y los transmitan a un bucket de Amazon S3 o a un grupo de registro de CloudWatch. Puede crear un registro de flujo de VPC para una VPC, una subred o una interfaz de red. En el caso de los registros de flujo de VPC, puede elegir cómo y dónde habilitar los registros de flujo para reducir costos.

Los registros de AWS CloudTrail, los registros de flujo de VPC y los registros de consulta de Route 53 Resolver son los tres tipos de registros básicos que facilitan las investigaciones de seguridad en AWS.

Los servicios de AWS pueden generar registros que no capturan los tres tipos de registros básicos, como los registros de Elastic Load Balancing, los registros de AWS WAF, los registros del registrador de AWS Config, los resultados de Amazon GuardDuty, los registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) y los registros del sistema operativo y las aplicaciones de las instancias de Amazon EC2. Consulte la lista completa de opciones de registro y monitoreo en Apéndice A: Definiciones de capacidades en la nube.