Mendapatkan visibilitas dengan mekanisme observabilitas

Kemampuan untuk melihat peristiwa keamanan yang telah terjadi sama pentingnya dengan menetapkan kontrol keamanan yang tepat. Dalam pilar keamanan AWS Well-Architected Framework, praktik terbaik deteksi mencakup Configure service dan application logging dan Capture log, temuan, dan metrik di lokasi standar. Untuk menerapkan praktik terbaik ini, Anda harus mencatat informasi yang membantu Anda mengidentifikasi peristiwa dan kemudian memproses informasi tersebut ke dalam format yang dapat dikonsumsi manusia, idealnya di lokasi terpusat.

Panduan ini merekomendasikan agar Anda menggunakan Amazon Simple Storage Service (Amazon S3) untuk memusatkan data log. Amazon S3 mendukung penyimpanan log untuk keduanya AWS Network Firewall dan Amazon Route 53 Resolver DNS Firewall. Kemudian, Anda menggunakan AWS Security Hubdan Amazon Security Lake untuk memusatkan GuardDuty temuan Amazon dan temuan keamanan lainnya ke dalam satu lokasi.

Logging lalu lintas jaringan

Bagian Kontrol Keamanan Pencegahan dan Detektif Otomatis dari panduan ini menjelaskan penggunaan AWS Network Firewall dan Amazon Route 53 Resolver DNS Firewall untuk mengotomatiskan respons terhadap intelijen ancaman cyber (CTI). Kami menyarankan Anda mengonfigurasi pencatatan untuk kedua layanan ini. Anda dapat membuat kontrol detektif yang memantau data log dan memperingatkan Anda jika domain terbatas atau alamat IP mencoba mengirim lalu lintas melalui firewall.

Saat mengonfigurasi sumber daya ini, pertimbangkan persyaratan pencatatan individual Anda. Misalnya, logging untuk Network Firewall hanya tersedia untuk lalu lintas yang Anda teruskan ke mesin aturan stateful. Kami menyarankan Anda mengikuti model zero-trust dan meneruskan semua lalu lintas ke mesin aturan stateful. Namun, jika Anda ingin mengurangi biaya, Anda dapat mengecualikan lalu lintas yang dipercaya organisasi Anda.

Baik Network Firewall dan DNS Firewall mendukung pencatatan ke Amazon S3. Untuk informasi selengkapnya tentang menyiapkan pencatatan untuk layanan ini, lihat Mencatat lalu lintas jaringan dari AWS Network Firewall dan Mengonfigurasi logging untuk DNS Firewall. Untuk kedua layanan, Anda dapat mengonfigurasi logging ke bucket Amazon S3 melalui file. AWS Management Console

Memusatkan temuan keamanan di AWS

AWS Security Hubmemberikan pandangan komprehensif tentang keadaan keamanan Anda AWS dan membantu Anda menilai AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub dapat menghasilkan temuan yang terkait dengan kontrol keamanan Anda. Itu juga dapat menerima temuan dari orang lain Layanan AWS, seperti Amazon GuardDuty. Anda dapat menggunakan Security Hub untuk memusatkan temuan dan data dari seluruh produk pihak ketiga Anda Akun AWS Layanan AWS, dan didukung. Untuk informasi selengkapnya tentang integrasi, lihat Memahami integrasi di Security Hub di dokumentasi Security Hub.

Security Hub juga menyertakan fitur otomatisasi yang membantu Anda melakukan triase dan memulihkan masalah keamanan. Misalnya, Anda dapat menggunakan aturan otomatisasi untuk memperbarui temuan penting secara otomatis saat pemeriksaan keamanan gagal. Anda juga dapat menggunakan integrasi dengan Amazon EventBridge untuk memulai respons otomatis terhadap temuan tertentu. Untuk informasi selengkapnya, lihat Memodifikasi dan bertindak secara otomatis berdasarkan temuan Security Hub di dokumentasi Security Hub.

Jika Anda menggunakan Amazon GuardDuty, kami sarankan Anda mengonfigurasi GuardDuty untuk mengirim temuannya ke Security Hub. Security Hub kemudian dapat menyertakan temuan tersebut dalam analisis postur keamanan Anda. Untuk informasi selengkapnya, lihat Mengintegrasikan dengan AWS Security Hub dalam GuardDuty dokumentasi.

Untuk Network Firewall dan Route 53 Resolver DNS Firewall, Anda dapat membuat temuan kustom dari lalu lintas jaringan yang Anda log. Amazon Athena adalah layanan kueri interaktif yang membantu Anda menganalisis data secara langsung di Amazon S3 dengan menggunakan SQL standar. Anda dapat membuat kueri di Athena yang memindai log di Amazon S3 dan mengekstrak data yang relevan. Untuk petunjuk, lihat Memulai di dokumentasi Athena. Kemudian, Anda dapat menggunakan AWS Lambda fungsi untuk mengonversi data log yang relevan menjadi AWS Security Finding Format (ASFF) dan mengirim temuan ke Security Hub. Berikut ini adalah contoh fungsi Lambda yang mengubah data log dari Network Firewall menjadi temuan Security Hub:

Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};

Pola yang Anda ikuti untuk mengekstraksi dan mengirim informasi ke Security Hub tergantung pada kebutuhan bisnis pribadi Anda. Jika Anda membutuhkan data untuk dikirim pada jadwal reguler, Anda dapat menggunakannya EventBridge untuk memulai proses. Jika ingin menerima peringatan saat informasi ditambahkan, Anda dapat menggunakan Amazon Simple Notification Service (Amazon SNS). Ada banyak cara untuk mendekati arsitektur ini, jadi penting untuk merencanakan dengan benar sehingga kebutuhan bisnis Anda tercapai.

Mengintegrasikan data AWS keamanan dengan data perusahaan lainnya

Amazon Security Lake dapat mengotomatiskan pengumpulan data log dan peristiwa terkait keamanan dari layanan terintegrasi Layanan AWS dan pihak ketiga. Ini juga membantu Anda mengelola siklus hidup data dengan pengaturan retensi dan replikasi yang dapat disesuaikan. Security Lake mengubah data yang dicerna ke dalam format Apache Parquet dan skema open-source standar yang disebut Open Cybersecurity Schema Framework (OCSF). Dengan dukungan OCSF, Security Lake menormalkan dan menggabungkan data keamanan dari AWS dan berbagai sumber data keamanan perusahaan. Layanan lain Layanan AWS dan pihak ketiga dapat berlangganan data yang disimpan di Security Lake untuk respons insiden dan analitik data keamanan.

Anda dapat mengonfigurasi Security Lake untuk menerima temuan dari Security Hub. Untuk mengaktifkan integrasi ini, Anda harus mengaktifkan kedua layanan dan menambahkan Security Hub sebagai sumber di Security Lake. Setelah Anda menyelesaikan langkah-langkah ini, Security Hub mulai mengirim semua temuan ke Security Lake. Security Lake secara otomatis menormalkan temuan Security Hub dan mengubahnya menjadi OCSF. Di Security Lake, Anda dapat menambahkan satu atau lebih pelanggan untuk mengkonsumsi temuan Security Hub. Untuk informasi selengkapnya, lihat Integrasi dengan AWS Security Hub di dokumentasi Security Lake.

Video berikut, re AWS : Inforce 2024 - Berbagi intelijen ancaman dunia maya AWS, membahas bagaimana Anda dapat menggunakan integrasi Security Hub dan Security Lake untuk berbagi CTI.