SEC04-BP01 Configuración del registro de servicios y aplicaciones

Retenga los registros de eventos de seguridad de servicios y aplicaciones. Se trata de un principio fundamental de seguridad en casos de uso de auditoría, investigación y uso operativo, y un requisito de seguridad común basado en las normas, políticas y procedimientos de gobernanza, riesgo y cumplimiento (GRC).

Resultado deseado: una organización debe ser capaz de recuperar de manera fiable y uniforme los registros de eventos de seguridad de los servicios y aplicaciones de AWS en el momento oportuno cuando sea necesario llevar a cabo algún proceso o cumplir una obligación interna, como una respuesta a un incidente de seguridad. Considere la posibilidad de centralizar los registros para obtener mejores resultados operativos.

Patrones comunes de uso no recomendados:

• Almacenar los registros de forma indefinida o eliminarlos demasiado pronto.

• Todo el mundo puede acceder a los registros.

• Depender por completo de procesos manuales para la gobernanza y el uso de los registros.

• Almacenar todos y cada uno de los tipos de registros por si fueran necesarios.

• Comprobar la integridad de los registros solo cuando es necesario.

Beneficios de establecer esta práctica recomendada: implemente un mecanismo de análisis de la causa raíz (RCA) para los incidentes de seguridad y una fuente de pruebas para cumplir sus obligaciones de gobernanza, riesgo y conformidad.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Durante una investigación de seguridad u otros casos de uso basados en sus requisitos, necesita poder revisar los registros correspondientes para registrar y comprender todo el alcance y la cronología del incidente. También necesita los registros para generar alertas que indican que se han producido determinadas acciones de interés. Es fundamental seleccionar, activar, almacenar y configurar mecanismos de consulta y recuperación, así como de alerta.

Pasos para la implementación

• Seleccione y utilice los orígenes de registros. Antes de una investigación de seguridad, necesita obtener los registros relevantes para reconstruir de forma retroactiva la actividad que se ha producido en una Cuenta de AWS. Seleccione las fuentes de registros relevantes para sus cargas de trabajo.

  Los criterios de selección de las fuentes de registros deben basarse en los casos de uso que requiera su negocio. Establezca un registro de seguimiento para cada Cuenta de AWS mediante AWS CloudTrail o un registro de seguimiento de AWS Organizations y, para ello, configure un bucket de Amazon S3.

  AWS CloudTrail es un servicio de registro que rastrea las llamadas a la API que se hacen en una Cuenta de AWS y captura la actividad de los servicios de AWS. Está activado de forma predeterminada con una retención de 90 días de los eventos de administración que se pueden recuperar a través del historial de eventos de CloudTrail mediante la AWS Management Console, la AWS CLI o un SDK de AWS. Para prolongar la retención y la visibilidad de los eventos de datos, cree un registro de seguimiento de CloudTrail y asócielo a un bucket de Amazon S3 y, de forma opcional, a un grupo de registros de Amazon CloudWatch. Como alternativa, puede crear un CloudTrail Lake, que conserva los registros de CloudTrail durante un máximo de siete años y proporciona un servicio de consultas basado en SQL.

  AWS recomienda que los clientes que utilicen una VPC activen los registros de tráfico de red y DNS mediante los registros de flujo de VPC y los registros de consultas de Amazon Route 53 Resolver, respectivamente, y los transmitan a un bucket de Amazon S3 o a un grupo de registros de CloudWatch. Puede crear un registro de flujo de VPC para una VPC, una subred o una interfaz de red. En el caso de los registros de flujo de VPC, puede elegir cómo y dónde utilizar los registros de flujo para reducir costos.

  Los registros de AWS CloudTrail, los registros de flujo de VPC y los registros de consulta de Route 53 Resolver son los orígenes de registros básicos que facilitan las investigaciones de seguridad en AWS. También puede usar Amazon Security Lake para recopilar, normalizar y almacenar estos datos de registro en formato Apache Parquet y Open Cybersecurity Schema Framework (OCSF), que está listo para su consulta. Security Lake también admite otros registros de AWS y registros de orígenes de terceros.

  Los servicios de AWS pueden generar registros que no capturan las fuentes de registros básicas, como los registros de Elastic Load Balancing, los registros de AWS WAF, los registros del registrador de AWS Config, los resultados de Amazon GuardDuty, los registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) y los registros del sistema operativo y las aplicaciones de las instancias de Amazon EC2. Para obtener una lista completa de las opciones de registro y supervisión, consulte el Apéndice A: Definiciones de las capacidades de la nube: registro y eventos de la Guía de respuesta ante incidentes de seguridad de AWS.

• Investigación de las capacidades de registro de cada servicio y aplicación de AWS: cada servicio y aplicación de AWS le ofrece opciones para el almacenamiento de registros, cada una de las cuales tiene sus propias capacidades de retención y ciclo de vida. Los dos servicios de almacenamiento de registros más comunes son Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch. Para periodos de retención largos, se recomienda utilizar Amazon S3 por su rentabilidad y la flexibilidad de sus ciclos de vida. Si la opción de registro principal es Registros de Amazon CloudWatch, quizá debería considerar la posibilidad de archivar los registros a los que se accede con menos frecuencia en Amazon S3.

• Selección del almacenamiento de registros: la elección del almacenamiento de registros suele estar relacionada con la herramienta de consulta que utilice, las capacidades de retención, la familiaridad y el costo. Las principales opciones para el almacenamiento de registros son un bucket de Amazon S3 o un grupo de registro de CloudWatch.

  Un bucket de Amazon S3 es un almacenamiento rentable y duradero que tiene una política de ciclo de vida opcional. Los registros almacenados en buckets de Amazon S3 pueden consultarse a través de servicios como Amazon Athena.

  Un grupo de registro de CloudWatch ofrece un almacenamiento duradero y una utilidad de consulta integrada a través de Información de registros de CloudWatch.

• Identificación de la retención de registros adecuada: cuando utilice un bucket de Amazon S3 o un grupo de registros de CloudWatch para almacenar registros, debe establecer ciclos de vida adecuados para cada fuente de registros a fin de optimizar los costos de almacenamiento y recuperación. Por lo general, los clientes tienen entre tres meses y un año de registros disponibles para su consulta, con un periodo de retención de hasta siete años. La elección de la disponibilidad y el periodo de retención debe ajustarse a sus requisitos de seguridad y a una combinación de requisitos legales, reglamentarios y empresariales.

• Uso del registro para cada servicio y aplicación de AWS con las políticas de retención y ciclo de vida adecuadas: para cada servicio o aplicación de AWS de su organización, busque la guía de configuración de registros específica:

  • Configuración de registros de seguimiento de AWS CloudTrail

  • Configuración de registros de flujo de VPC

  • Configuración de exportaciones de resultados de Amazon GuardDuty

  • Configuración de grabaciones de AWS Config

  • Configuración del tráfico de ACL web de AWS WAF

  • Configuración de registros del tráfico de red de AWS Network Firewall

  • Configuración de registros de acceso de Elastic Load Balancing

  • Configuración de registros de consultas de Amazon Route 53 Resolver

  • Configuración de registros de Amazon RDS

  • Configuración de registros de plano de control de Amazon EKS

  • Configuración del agente de Amazon CloudWatch para instancias de Amazon EC2 y servidores en las instalaciones

• Selección e implementación de mecanismos de consulta para los registros: para las consultas de registro, puede utilizar Información de registros de CloudWatch para los datos almacenados en los grupos de registros de CloudWatch, y Amazon Athena y Amazon OpenSearch Service para los datos almacenados en Amazon S3. También puede utilizar herramientas de consulta de terceros, como un servicio de administración de eventos e información de seguridad (SIEM).

  En el proceso de selección de una herramienta de consulta de registros, se deben tener en cuenta los aspectos relacionados con las personas, los procesos y la tecnología de sus operaciones de seguridad. Seleccione una herramienta que cumpla los requisitos operativos, empresariales y de seguridad, y que sea accesible y pueda mantenerse a largo plazo. Tenga en cuenta que las herramientas de consulta de registros funcionan de forma óptima cuando el número de registros a analizar se mantiene dentro de los límites de la herramienta. No es raro disponer de varias herramientas de consulta debido a limitaciones técnicas o de costos.

  Por ejemplo, podría utilizar una herramienta de administración de eventos e información de seguridad (SIEM) de terceros para hacer consultas en los últimos 90 días de datos, pero utilizar Athena para efectuar consultas anteriores a esos 90 días debido al costo de la ingestión de registros de un SIEM. Independientemente de cuál sea la implementación, compruebe que su enfoque permite reducir al mínimo el número de herramientas necesarias para maximizar la eficiencia operativa, especialmente durante la investigación de un evento de seguridad.

• Uso de registros para las alertas: AWS proporciona alertas a través de varios servicios de seguridad:

  • AWS Config supervisa y registra las configuraciones de los recursos de AWS y permite automatizar la evaluación y la corrección con las configuraciones deseadas.

  • Amazon GuardDuty es un servicio de detección de amenazas que supervisa continuamente cualquier actividad malintencionada y comportamiento no autorizado para proteger sus cargas de trabajo y sus Cuentas de AWS. GuardDuty ingiere, agrega y analiza la información de las fuentes, como los eventos de administración y datos de AWS CloudTrail, los registros de DNS, los registros de flujo de VPC y los registros de auditoría de Amazon EKS. GuardDuty extrae flujos de datos independientes directamente de CloudTrail, los registros de flujo de VPC, los registros de consultas de DNS y Amazon EKS. No es necesario que administre las políticas de los buckets de Amazon S3 ni que modifique la forma en que recopila y almacena los registros. Aun así, es recomendable que retenga estos registros para sus propios fines de investigación y conformidad.

  • AWS Security Hub proporciona un único lugar en el que se agregan, organizan y priorizan las alertas de seguridad o los resultados de varios servicios de AWS y productos opcionales de terceros para ofrecerle una vista completa de las alertas de seguridad y los estados de conformidad.

  También puede utilizar motores de generación de alertas personalizados para alertas de seguridad que no cubran estos servicios o para alertas específicas relevantes para su entorno. Para obtener información sobre cómo crear estas alertas y detecciones, consulte la sección Detección en la Guía de respuesta ante incidentes de seguridad de AWS.

Recursos

Prácticas recomendadas relacionadas:

• SEC04-BP02 Recopilación de registros, resultados y métricas en ubicaciones estandarizadas

• SEC07-BP04 Definición de la administración escalable del ciclo de vida de los datos

• SEC10-BP06 Implementación de las herramientas con anticipación

Documentos relacionados:

• AWS Security Incident Response Guide

• Cómo comenzar a utilizar Amazon Security Lake

• Getting started: Amazon CloudWatch Logs

• Soluciones de socios de seguridad: registro y supervisión

Videos relacionados:

• AWS re:Invent 2022 - Introducing Amazon Security Lake

Ejemplos relacionados:

• Assisted Log Enabler for AWS

• AWS Security Hub Findings Historical Export

Herramientas relacionadas:

• Snowflake for Cybersecurity