Selección e implementación de mecanismos de consulta para los registros
En AWS, los principales servicios que puede utilizar para consultar los registros son Información de registros de CloudWatch para los datos almacenados en los grupos de registro de CloudWatch, y Amazon Athena
En el proceso de selección de una herramienta de consulta de registros, se deben tener en cuenta los aspectos relacionados con las personas, los procesos y la tecnología de sus operaciones de seguridad. Seleccione una herramienta que cumpla los requisitos operativos, empresariales y de seguridad, y que sea accesible y pueda mantenerse a largo plazo. Tenga en cuenta que las herramientas de consulta de registros funcionan de forma óptima cuando el número de registros a analizar se mantiene dentro de los límites de la herramienta. No es raro que los clientes dispongan de varias herramientas de consulta debido a limitaciones técnicas o de costos. Por ejemplo, los clientes podrían utilizar una herramienta SIEM de terceros para hacer consultas en los últimos 90 días de datos y utilizar Athena para efectuar consultas anteriores a esos 90 días debido al costo de la ingestión de registros de una herramienta SIEM. Independientemente de cuál sea la implementación, compruebe que su enfoque permite reducir al mínimo el número de herramientas necesarias para maximizar la eficiencia operativa, especialmente durante la investigación de un evento de seguridad.
