Registro y eventos
AWS CloudTrail
Los archivos de registro validados son muy valiosos para las investigaciones de seguridad y forenses. Para determinar si un archivo de registro se ha modificado, eliminado o continúa igual después del envío de CloudTrail, puede usar la validación de la integridad de los archivos de registro de CloudTrail. Esta característica se integra mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. De ese modo, resulta imposible modificar, eliminar o falsificar los archivos de registro de CloudTrail por medios informáticos sin que se sepa.
De forma predeterminada, a los archivos de registro entregados por CloudTrail al bucket se les aplica el cifrado del lado del servidor de Amazon. Opcionalmente, puede usar las claves administradas de AWS Key Management Service (AWS KMS) (SSE-KMS) para los archivos de registro de CloudTrail.
Amazon CloudWatch Events: Amazon CloudWatch Events proporciona un flujo de eventos del sistema en tiempo casi real que describen los cambios en los recursos de AWS o cuando AWS CloudTrail publica llamadas a la API. Mediante reglas sencillas que puede configurar rápidamente, puede asignar los eventos y dirigirlos a uno o más flujos o funciones de destino. CloudWatch Events detecta los cambios operativos a medida que se producen. CloudWatch Events puede responder a estos cambios operativos y emprender acciones correctivas según sea necesario mediante el envío de mensajes para responder al entorno, la activación de funciones, la realización de cambios y la captura de información de estado. Algunos servicios de seguridad, como Amazon GuardDuty, generan sus resultados en forma de CloudWatch Events.
AWS Config
Registros de acceso de Amazon S3: si almacena información confidencial en un bucket de Amazon S3, puede habilitar los registros de acceso de S3 para registrar cada carga, descarga y modificación de esos datos. Este registro es independiente de los registros de CloudTrail que registran los cambios en el bucket en sí (como los cambios en las políticas de acceso y en las políticas de ciclo de vida) y los complementa.
Amazon CloudWatch Logs: puede usar Amazon CloudWatch Logs para monitorear, almacenar y acceder a los archivos de registro (por ejemplo, del sistema operativo, las aplicaciones y los archivos de registro personalizados) desde sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) con el agente de CloudWatch Logs. Además, Amazon CloudWatch Logs puede capturar registros de AWS CloudTrail, consultas de DNS de Amazon Route 53, registros de flujo de VPC, funciones de Lambda y otros orígenes. Luego, puede recuperar los datos de registro asociados desde CloudWatch Logs.
Registros de flujo de Amazon VPC: los registros de flujo de VPC permiten capturar información sobre el tráfico IP hacia y desde las interfaces de red en la VPC. Una vez creado un registro de flujo, puede ver y recuperar sus datos en Amazon CloudWatch Logs. Los registros de flujo de VPC pueden ayudarle en diversas tareas. Por ejemplo, puede usar registros de flujo para solucionar problemas por los que determinado tráfico no llega a una instancia, lo cual puede ayudarle a diagnosticar reglas de grupo de seguridad excesivamente restrictivas. También puede utilizar los registros de flujo como herramienta de seguridad para monitorear el tráfico hacia la instancia.
Registros de AWS WAF: AWS WAF admite ahora el registro completo de todas las solicitudes web inspeccionadas por el servicio. Puede almacenar estos registros en Amazon S3 para satisfacer sus necesidades de cumplimiento y auditoría, así como usarlos para depuración y análisis forenses adicionales. Estos registros ayudan a comprender por qué se desencadenan ciertas reglas y por qué se bloquean determinadas solicitudes web. También puede integrar los registros con sus herramientas de SIEM y análisis de registros.
Otros registros de AWS: dado el ritmo de innovación, seguimos implementando características y capacidades nuevas para los clientes prácticamente todos los días, lo que significa que hay docenas de servicios de AWS que ofrecen capacidades de registro y monitoreo. Para obtener información sobre las características disponibles para cada servicio de AWS, consulte la documentación de AWS del servicio en cuestión.