Enregistrement des appels d'API du directeur de la sécurité AWS Shield réseau avec AWS CloudTrail - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau
informations sur le directeur de la sécurité réseau dans CloudTrailopérations de l'API du directeur de la sécurité réseau enregistrées par CloudTrailComprendre les entrées du fichier journal du directeur de sécurité réseauSurveillance CloudTrail des journaux avec Amazon CloudWatchBonnes pratiques relatives CloudTrail au directeur de la sécurité réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrement des appels d'API du directeur de la sécurité AWS Shield réseau avec AWS CloudTrail

AWS Shield le directeur de sécurité réseau s'intègre AWS CloudTrail pour enregistrer tous les appels d'API sous forme d'événements. Cette intégration capture les appels passés depuis la console du directeur de la sécurité réseau, les appels programmatiques vers le directeur APIs de la sécurité réseau et les appels passés depuis d'autres AWS services.

Vous pouvez ainsi consulter les événements récents dans l'historique des événements ou créer une trace pour transférer les journaux permanents vers un bucket Amazon Simple Storage Service. CloudTrail Ces journaux fournissent des détails sur chaque demande, notamment l'identité de l'appelant, l'heure, les paramètres de la demande et la réponse.

Pour en savoir plus CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.

informations sur le directeur de la sécurité réseau dans CloudTrail

CloudTrail est automatiquement activé sur votre AWS compte. Lorsqu'une activité se produit dans le directeur de sécurité réseau, elle est enregistrée en tant qu'événement dans CloudTrail. Pour un enregistrement continu des événements, créez un journal qui fournit les fichiers journaux à un compartiment Amazon S3.

Pour plus d'informations sur la création et la gestion de sentiers, voir :

opérations de l'API du directeur de la sécurité réseau enregistrées par CloudTrail

Toutes les opérations de l'API du directeur de la sécurité réseau sont enregistrées CloudTrail et documentées dans la référence des API. Les opérations suivantes sont incluses :

  • StartNetworkSecurityScan: lance une analyse de sécurité du réseau

  • GetNetworkSecurityScan: récupère les informations relatives à une analyse de sécurité réseau

  • ListResources: répertorie les ressources disponibles dans le service

  • GetResource: Récupère des informations détaillées sur une ressource spécifique

  • ListFindings: répertorie les résultats de sécurité

  • GetFinding: Récupère des informations détaillées sur un résultat spécifique

  • UpdateFinding: Met à jour le statut ou d'autres attributs d'une découverte

  • ListRemediations: répertorie les recommandations de correction relatives à une constatation

  • ListInsights: Répertorie les informations en fonction des résultats et des ressources

Comprendre les entrées du fichier journal du directeur de sécurité réseau

CloudTrail les entrées du journal contiennent des informations sur l'auteur de la demande, la date à laquelle elle a été faite et les paramètres utilisés. Voici un exemple d' StartNetworkSecurityScan action :


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:02:58Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "StartNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "RESCANNING",
            "startTime": "2023-11-28T22:02:58Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Et voici un exemple d' GetNetworkSecurityScan action :


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:03:15Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "GetNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "COMPLETE",
            "startTime": "2023-11-28T22:02:58Z",
            "completionTime": "2023-11-28T22:03:15Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Surveillance CloudTrail des journaux avec Amazon CloudWatch

Vous pouvez utiliser Amazon CloudWatch pour surveiller l'activité spécifique des API dans les CloudTrail journaux et émettre des alertes à ce sujet. Cela vous permet de détecter les tentatives d'accès non autorisées, les modifications de configuration ou les modèles d'activité inhabituels.

Pour configurer la CloudWatch surveillance, procédez comme suit :

  1. Configurez votre CloudTrail parcours pour envoyer les journaux à CloudWatch Logs

  2. Créez des filtres métriques pour extraire des informations spécifiques des événements du journal

  3. Créez des alarmes en fonction de ces métriques

Pour obtenir des instructions détaillées, consultez la section Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs.

Bonnes pratiques relatives CloudTrail au directeur de la sécurité réseau

Pour optimiser la sécurité et l'auditabilité avec CloudTrail :

  • Activez CloudTrail dans toutes les régions pour une couverture complète

  • Activez la validation de l'intégrité des fichiers journaux pour détecter les modifications non autorisées

  • Utilisez IAM pour contrôler l'accès aux CloudTrail journaux selon le principe du moindre privilège

  • Configurez des alertes pour les événements critiques à l'aide d' CloudWatch alarmes

  • Passez régulièrement en revue CloudTrail les journaux pour identifier les activités inhabituelles