Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registrar las llamadas a la API del director de seguridad de la AWS Shield red con AWS CloudTrail
AWS Shield el director de seguridad de red se integra AWS CloudTrail para registrar todas las llamadas a la API como eventos. Esta integración captura las llamadas realizadas desde la consola del director de seguridad de la red, las llamadas programáticas al director APIs de seguridad de la red y las llamadas realizadas desde otros AWS servicios.
Con CloudTrail, puede ver los eventos recientes en el historial de eventos o crear un registro para entregar los registros en curso a un depósito de Amazon Simple Storage Service. Estos registros proporcionan detalles sobre cada solicitud, incluida la identidad de la persona que llama, la hora, los parámetros de la solicitud y la respuesta.
Para obtener más información CloudTrail, consulta la Guía del AWS CloudTrail usuario.
información sobre el director de seguridad de red en CloudTrail
CloudTrail se activa automáticamente en tu AWS cuenta. Cuando se produce una actividad en el director de seguridad de la red, se registra como un evento en CloudTrail. Para obtener un registro continuo de los eventos, cree un registro que entregue los archivos de registro a un bucket de Amazon S3.
Para obtener más información sobre la creación y administración de rutas, consulte:
operaciones de API del director de seguridad de red registradas por CloudTrail
Todas las operaciones de la API del director de seguridad de red se registran CloudTrail y documentan en la referencia de la API. Se incluyen las siguientes operaciones:
-
StartNetworkSecurityScan: inicia un análisis de seguridad de la red
-
GetNetworkSecurityScan: Recupera información sobre un análisis de seguridad de la red
-
ListResources: enumera los recursos disponibles en el servicio
-
GetResource: Recupera información detallada sobre un recurso específico
-
ListFindings: Enumera los hallazgos de seguridad
-
GetFinding: Recupera información detallada sobre un hallazgo específico
-
UpdateFinding: actualiza el estado u otros atributos de un hallazgo
-
ListRemediations: Enumera las recomendaciones de corrección de un hallazgo
-
ListInsights: Enumera la información basada en los hallazgos y los recursos
Descripción de las entradas de los archivos de registro del director de seguridad de red
CloudTrail las entradas de registro contienen información sobre quién realizó la solicitud, cuándo se realizó y qué parámetros se utilizaron. A continuación, se muestra un ejemplo de una StartNetworkSecurityScan acción:
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:02:58Z", "eventSource": "network-director.amazonaws.com", "eventName": "StartNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "RESCANNING", "startTime": "2023-11-28T22:02:58Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Y aquí tienes un ejemplo de una GetNetworkSecurityScan acción:
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:03:15Z", "eventSource": "network-director.amazonaws.com", "eventName": "GetNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "COMPLETE", "startTime": "2023-11-28T22:02:58Z", "completionTime": "2023-11-28T22:03:15Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Monitorización CloudTrail de registros con Amazon CloudWatch
Puedes usar Amazon CloudWatch para monitorear y alertar sobre la actividad específica de la API en CloudTrail los registros. Esto le ayuda a detectar intentos de acceso no autorizados, cambios de configuración o patrones de actividad inusuales.
Para configurar la CloudWatch supervisión:
-
Configure su CloudTrail ruta para enviar CloudWatch registros a Logs
-
Cree filtros métricos para extraer información específica de los eventos de registro
-
Cree alarmas en función de estas métricas
Para obtener instrucciones detalladas, consulte Supervisión de archivos de CloudTrail registro con Amazon CloudWatch Logs.
Prácticas recomendadas para trabajar CloudTrail con el director de seguridad de la red
Para maximizar la seguridad y la auditabilidad con CloudTrail:
-
Habilite CloudTrail en todas las regiones para obtener una cobertura integral
-
Habilite la validación de la integridad de los archivos de registro para detectar modificaciones no autorizadas
-
Utilice IAM para controlar el acceso a CloudTrail los registros siguiendo los principios de privilegios mínimos
-
Configure alertas para eventos críticos mediante CloudWatch alarmas
-
Revise periódicamente CloudTrail los registros para identificar actividades inusuales
