Rekomendasi kontrol keamanan untuk pencatatan dan pemantauan - AWS Bimbingan Preskriptif
CloudTrail Jejak multi-wilayahLayanan dan pencatatan aplikasiPenebangan terpusatAkses ke file CloudTrail logPeringatan untuk grup keamanan atau perubahan ACL jaringanPeringatan untuk alarm CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Rekomendasi kontrol keamanan untuk pencatatan dan pemantauan

Penebangan dan pemantauan adalah aspek penting dari deteksi ancaman. Deteksi ancaman adalah salah satu kemampuan perspektif keamanan dalam AWS Cloud Adoption Framework (AWS CAF). Dengan menggunakan data log, organisasi Anda dapat memantau lingkungan Anda untuk memahami dan mengidentifikasi potensi kesalahan konfigurasi keamanan, ancaman, dan perilaku tak terduga. Memahami potensi ancaman dapat membantu organisasi Anda memprioritaskan kontrol keamanan, dan deteksi ancaman yang efektif dapat membantu Anda merespons ancaman dengan lebih cepat.

Konfigurasikan setidaknya satu jejak Multi-wilayah di CloudTrail

AWS CloudTrailmembantu Anda mengaudit tata kelola, kepatuhan, dan risiko operasional Anda Akun AWS. Tindakan yang diambil oleh pengguna, peran, atau Layanan AWS direkam sebagai peristiwa di CloudTrail. Peristiwa termasuk tindakan yang diambil dalam AWS Management Console, AWS Command Line Interface (AWS CLI), dan AWS SDKs dan APIs. Riwayat acara ini membantu Anda menganalisis postur keamanan, melacak perubahan sumber daya, dan kepatuhan audit.

Untuk catatan acara yang sedang berlangsung di Anda Akun AWS, Anda harus membuat jejak. Setiap jejak harus dikonfigurasi untuk mencatat peristiwa di semua Wilayah AWS. Dengan mencatat peristiwa di semua Wilayah AWS, Anda memastikan bahwa semua peristiwa yang terjadi di Akun AWS Anda dicatat, terlepas dari mana peristiwa Wilayah AWS itu terjadi. Jejak multi-wilayah memastikan bahwa peristiwa layanan global dicatat.

Untuk informasi selengkapnya, lihat sumber daya berikut:

Konfigurasikan logging di tingkat layanan dan aplikasi

AWS Well-Architected Framework merekomendasikan agar Anda menyimpan log peristiwa keamanan dari layanan dan aplikasi. Ini adalah prinsip dasar keamanan untuk audit, investigasi, dan kasus penggunaan operasional. Penyimpanan log layanan dan aplikasi adalah persyaratan keamanan umum yang didorong oleh standar, kebijakan, dan prosedur tata kelola, risiko, dan kepatuhan (GRC).

Tim operasi keamanan mengandalkan log dan alat pencarian untuk menemukan potensi peristiwa menarik yang mungkin menunjukkan aktivitas yang tidak sah atau perubahan yang tidak disengaja. Anda dapat mengaktifkan pencatatan untuk berbagai layanan, tergantung pada kasus penggunaan. Misalnya, Anda dapat mencatat akses bucket Amazon S3, lalu lintas ACL AWS WAF web, lalu lintas Amazon API Gateway di lapisan jaringan, atau distribusi Amazon. CloudFront

Untuk informasi selengkapnya, lihat sumber daya berikut:

Menetapkan lokasi terpusat untuk menganalisis log dan menanggapi peristiwa keamanan

Menganalisis log secara manual dan memproses informasi tidak cukup untuk mengikuti volume informasi yang terkait dengan arsitektur yang kompleks. Analisis dan pelaporan saja tidak memfasilitasi penugasan acara ke sumber daya yang benar secara tepat waktu. AWS Well-Architected Framework merekomendasikan agar Anda AWS mengintegrasikan peristiwa dan temuan keamanan ke dalam sistem notifikasi dan alur kerja, seperti sistem tiket, bug, atau informasi keamanan dan manajemen acara (SIEM). Sistem ini membantu Anda menetapkan, merutekan, dan mengelola peristiwa keamanan.

Untuk informasi selengkapnya, lihat sumber daya berikut:

Mencegah akses tidak sah ke bucket S3 yang berisi file log CloudTrail

Secara default, file CloudTrail log disimpan di bucket Amazon S3. Ini adalah praktik terbaik keamanan untuk mencegah akses tidak sah ke bucket Amazon S3 apa pun yang CloudTrail berisi file log. Ini membantu Anda menjaga integritas, kelengkapan, dan ketersediaan log ini, yang sangat penting untuk tujuan forensik dan audit. Jika Anda ingin mencatat peristiwa data untuk bucket S3 yang berisi file CloudTrail log, Anda dapat membuat CloudTrail jejak untuk tujuan ini.

Untuk informasi selengkapnya, lihat sumber daya berikut:

Konfigurasikan peringatan untuk perubahan pada grup keamanan atau jaringan ACLs

Grup keamanan di Amazon Virtual Private Cloud (Amazon VPC) mengontrol lalu lintas yang diizinkan untuk mencapai dan meninggalkan sumber daya yang terkait dengannya. Daftar kontrol akses jaringan (ACL) memungkinkan atau menolak lalu lintas masuk atau keluar tertentu pada tingkat subnet VPC. Sumber daya ini sangat penting untuk mengelola akses di AWS lingkungan Anda.

Buat dan konfigurasikan CloudWatch alarm Amazon yang memberi tahu Anda jika grup keamanan atau konfigurasi ACL jaringan berubah. Konfigurasikan alarm ini untuk mengingatkan Anda setiap kali panggilan AWS API dilakukan untuk memperbarui grup keamanan. Anda juga dapat menggunakan layanan, seperti Amazon EventBridge dan AWS Config, untuk secara otomatis menanggapi jenis peristiwa keamanan ini.

Untuk informasi selengkapnya, lihat sumber daya berikut:

Konfigurasikan peringatan untuk CloudWatch alarm yang masuk ke status ALARM

Di CloudWatch, Anda dapat menentukan tindakan apa yang dilakukan alarm saat mengubah status antaraOK,ALARM, dan INSUFFICIENT_DATA status. Jenis tindakan alarm yang paling umum adalah memberi tahu satu atau lebih orang dengan mengirim pesan ke topik Amazon Simple Notification Service (Amazon SNS). Anda juga dapat mengonfigurasi alarm untuk membuat OpsItemsatau insiden di. AWS Systems Manager

Kami menyarankan Anda mengaktifkan tindakan alarm untuk memperingatkan secara otomatis jika metrik yang dipantau berada di luar ambang batas yang ditentukan. Memantau alarm membantu Anda mengidentifikasi aktivitas yang tidak biasa dan dengan cepat menanggapi masalah keamanan dan operasional.

Untuk informasi selengkapnya, lihat sumber daya berikut: