Memilih dan mengaktifkan sumber log

Menjelang penyelidikan keamanan, Anda perlu menangkap log yang relevan untuk merekonstruksi aktivitas secara surut di akun. AWS Pilih dan aktifkan sumber log yang relevan dengan beban kerja AWS akun mereka.

AWS CloudTrail adalah layanan logging yang melacak panggilan API yang dilakukan terhadap aktivitas AWS layanan pengambilan AWS akun. Ini diaktifkan secara default dengan retensi 90 hari dari peristiwa manajemen yang dapat diambil melalui CloudTrail fasilitas Riwayat Acara menggunakan AWS Management Console, AWS CLI, atau SDK. AWS Untuk retensi dan visibilitas peristiwa data yang lebih lama, Anda perlu membuat CloudTrail Trail dan dikaitkan dengan bucket Amazon S3, dan secara opsional, dengan CloudWatch grup log. Atau, Anda dapat membuat CloudTrail Danau, yang menyimpan CloudTrail log hingga tujuh tahun dan menyediakan fasilitas kueri berbasis SQL.

AWS merekomendasikan agar pelanggan yang menggunakan VPC mengaktifkan lalu lintas jaringan dan log DNS masing-masing menggunakan Log Aliran VPC dan log kueri penyelesai Amazon Route 53, mengalirkannya ke bucket Amazon S3 atau grup log. CloudWatch Anda dapat membuat log alur VPC untuk VPC, subnet, atau antarmuka jaringan. Untuk Log Alur VPC, Anda dapat bersikap selektif tentang bagaimana dan di mana Anda mengaktifkan Log Alur untuk mengurangi biaya.

AWS CloudTrail Log, Log Aliran VPC, dan log kueri resolver Route 53 adalah trifecta logging dasar untuk mendukung penyelidikan keamanan di. AWS

AWS layanan dapat menghasilkan log yang tidak ditangkap oleh trifecta logging dasar, seperti log Elastic Load Balancing AWS WAF , log, log perekam, temuan Amazon AWS Config , log audit GuardDuty Amazon Elastic Kubernetes Service (Amazon EKS), EC2 dan sistem operasi instans Amazon dan log aplikasi. Lihat daftar lengkap opsi pencatatan log dan pemantauan di Lampiran A: Definisi kemampuan cloud.