Sélection et activation des sources de journalisation - Réponse aux incidents de sécurité AWS Guide de l'utilisateur

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sélection et activation des sources de journalisation

Avant une enquête de sécurité, vous devez capturer les journaux pertinents afin de reconstituer rétroactivement l'activité d'un AWS compte. Sélectionnez et activez les sources de journal adaptées à la charge de travail de leur AWS compte.

AWS CloudTrail est un service de journalisation qui suit les appels d'API effectués par rapport à un AWS compte capturant l'activité AWS du service. Il est activé par défaut avec une conservation de 90 jours des événements de gestion qui peuvent être récupérés via CloudTrail la fonction d'historique des événements à l'aide AWS Management Console du AWS CLI SDK ou d'un AWS SDK. Pour une conservation et une visibilité plus longues des événements liés aux données, vous devez créer un CloudTrail Trail associé à un compartiment Amazon S3, et éventuellement à un groupe de CloudWatch journaux. Vous pouvez également créer un CloudTrail Lake, qui conserve les CloudTrail journaux pendant sept ans au maximum et fournit une fonction de requête basée sur SQL.

AWS recommande aux clients utilisant un VPC d'activer le trafic réseau et les journaux DNS à l'aide, respectivement, des journaux de flux VPC et des journaux de requêtes du résolveur Amazon Route 53, en les diffusant soit vers un compartiment Amazon S3, soit vers un groupe de journaux. CloudWatch Vous pouvez créer un journal de flux VPC pour un VPC, un sous-réseau ou une interface réseau. Pour les journaux de flux VPC, vous pouvez choisir comment et où activer les journaux de flux afin de réduire les coûts.

AWS CloudTrail Les journaux, les journaux de flux VPC et les journaux de requêtes du résolveur Route 53 constituent les trois éléments de journalisation de base nécessaires aux enquêtes de sécurité. AWS

AWS les services peuvent générer des journaux qui ne sont pas capturés par les trifectas de journalisation de base, tels que les journaux Elastic Load Balancing, les journaux, AWS WAF les journaux des AWS Config enregistreurs, les GuardDuty résultats d'Amazon, les journaux d'audit Amazon Elastic Kubernetes Service (Amazon EKS) et les journaux du système d'exploitation EC2 et des applications des instances Amazon. Consultez la liste complète Annexe A : Définitions des fonctionnalités du cloud des options de journalisation et de surveillance.