Panduan implementasi Langkah implementasi Sumber daya

SEC04-BP02 Catat log, temuan, dan metrik di lokasi standar

Tim keamanan mengandalkan log dan temuan untuk menganalisis peristiwa yang mungkin mengindikasikan aktivitas yang tidak sah atau perubahan yang tidak disengaja. Untuk menyederhanakan analisis ini, catat log dan temuan keamanan di lokasi standar. Hal ini membuat titik data yang menjadi perhatian tersedia untuk korelasi dan dapat menyederhanakan integrasi alat.

Hasil yang diinginkan: Anda memiliki pendekatan standar untuk mengumpulkan, menganalisis, dan memvisualisasikan data log, temuan, dan metrik. Tim keamanan dapat secara efisien mengorelasikan, menganalisis, dan memvisualisasikan data keamanan di seluruh sistem yang berbeda untuk menemukan kemungkinan potensi peristiwa keamanan dan mengidentifikasi anomali. Sistem manajemen informasi dan peristiwa keamanan (SIEM) atau mekanisme lainnya diintegrasikan untuk mengueri dan menganalisis data log guna melakukan respons, pelacakan, dan eskalasi peristiwa keamanan secara tepat waktu.

Antipola umum:

Tim secara mandiri memiliki dan mengelola pencatatan log dan pengumpulan metrik yang tidak konsisten dengan strategi pencatatan log organisasi.
Tim tidak memiliki kontrol akses yang memadai untuk membatasi visibilitas dan perubahan terhadap data yang dikumpulkan.
Tim tidak mengatur log, temuan, dan metrik keamanan mereka sebagai bagian dari kebijakan klasifikasi data.
Tim mengabaikan persyaratan kedaulatan dan pelokalan data saat mengonfigurasi pengumpulan data.

Manfaat menjalankan praktik terbaik ini: Solusi pencatatan log standar untuk mengumpulkan dan mengueri data dan peristiwa log akan meningkatkan wawasan yang diperoleh dari informasi yang terdapat dalam log tersebut. Konfigurasi siklus hidup otomatis untuk data log yang dikumpulkan dapat mengurangi biaya yang ditimbulkan oleh penyimpanan log. Anda dapat membuat kontrol akses terperinci untuk informasi log yang dikumpulkan sesuai dengan sensitivitas data dan pola akses yang dibutuhkan oleh tim Anda. Anda dapat mengintegrasikan alat untuk mengorelasikan, memvisualisasikan, dan memperoleh wawasan dari data.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Pertumbuhan penggunaan AWS dalam organisasi menghasilkan peningkatan jumlah beban kerja dan lingkungan yang terdistribusi. Karena masing-masing beban kerja dan lingkungan ini menghasilkan data tentang aktivitas di dalamnya, pencatatan dan penyimpanan data ini secara lokal akan menimbulkan kesulitan untuk operasi keamanan. Tim keamanan menggunakan alat seperti sistem manajemen informasi dan peristiwa keamanan (SIEM) untuk mengumpulkan data dari sumber terdistribusi serta menjalani alur kerja korelasi, analisis, dan respons. Hal ini membutuhkan pengelolaan serangkaian izin yang kompleks untuk mengakses berbagai sumber data dan overhead tambahan dalam mengoperasikan proses extract, transform, and load (ETL).

Guna mengatasi tantangan ini, pertimbangkan untuk menggabungkan semua sumber data log keamanan yang relevan ke akun Arsip Log seperti yang dijelaskan dalam Mengatur Lingkungan AWS Anda Menggunakan Beberapa Akun. Hal ini mencakup semua data terkait keamanan dari beban kerja dan log yang dihasilkan layanan AWS, seperti AWS CloudTrail, AWS WAF, Elastic Load Balancing, dan Amazon Route 53. Ada beberapa manfaat untuk mencatat data ini di lokasi standar dalam Akun AWS terpisah dengan izin lintas akun yang tepat. Praktik ini membantu mencegah log dimanipulasi dalam beban kerja dan lingkungan yang mengalami kebocoran keamanan, menyediakan satu titik integrasi untuk alat tambahan, dan menawarkan model yang lebih sederhana untuk mengonfigurasi retensi dan siklus hidup data. Evaluasi dampak kedaulatan data, cakupan kepatuhan, dan peraturan lainnya untuk menentukan apakah beberapa lokasi penyimpanan dan periode retensi data keamanan diperlukan.

Untuk memudahkan pencatatan dan standardisasi log dan temuan, evaluasi Amazon Security Lake di akun Arsip Log Anda. Anda dapat mengonfigurasi Security Lake untuk menyerap data secara otomatis dari berbagai sumber umum, seperti CloudTrail, Route 53, Amazon EKS, dan Log Alur VPC. Anda juga dapat mengonfigurasi AWS Security Hub sebagai sumber data ke dalam Security Lake, sehingga Anda dapat mengorelasikan temuan dari layanan AWS lain, seperti Amazon GuardDuty dan Amazon Inspector, dengan data log Anda. Anda juga dapat menggunakan integrasi sumber data pihak ketiga, atau mengonfigurasi sumber data kustom. Semua integrasi menstandardisasi data Anda ke dalam format Open Cybersecurity Schema Framework (OCSF), dan disimpan dalam bucket Amazon S3 sebagai file Parquet, sehingga tidak memerlukan pemrosesan ETL.

Penyimpanan data keamanan di lokasi standar akan menyediakan kemampuan analisis lanjutan. AWS merekomendasikan Anda agar melakukan deployment alat untuk analitik keamanan yang beroperasi di lingkungan AWS ke akun Alat Keamanan yang terpisah dari akun Arsip Log Anda. Pendekatan ini memungkinkan Anda mengimplementasikan kontrol secara mendalam untuk melindungi integritas dan ketersediaan log serta proses manajemen log, terpisah dari alat yang mengaksesnya. Pertimbangkan untuk menggunakan beberapa layanan, seperti Amazon Athena, untuk menjalankan kueri sesuai permintaan yang mengorelasikan beberapa sumber data. Anda juga dapat mengintegrasikan alat visualisasi, seperti QuickSight. Solusi yang didukung AI makin banyak tersedia dan dapat melakukan berbagai fungsi, seperti menerjemahkan temuan ke dalam ringkasan yang dapat dibaca manusia dan interaksi bahasa alami. Solusi ini sering kali lebih mudah diintegrasikan dengan memiliki lokasi penyimpanan data standar untuk penguerian.

Langkah implementasi

Buat akun Arsip Log dan Alat Keamanan
1. Menggunakan AWS Organizations, buat akun Arsip Log dan Alat Keamanan dalam unit organisasi keamanan. Jika Anda menggunakan AWS Control Tower untuk mengelola organisasi Anda, akun Arsip Log dan Alat Keamanan dibuat untuk Anda secara otomatis. Konfigurasikan peran dan izin untuk mengakses dan mengelola akun ini sesuai kebutuhan.
Konfigurasikan lokasi data keamanan standar
1. Tentukan strategi Anda untuk membuat lokasi data keamanan standar. Anda dapat mencapai hal ini melalui beberapa opsi, seperti pendekatan arsitektur danau data umum, produk data pihak ketiga, atau Amazon Security Lake. AWS merekomendasikan Anda agar mengambil data keamanan dari Wilayah AWS yang diaktifkan untuk akun Anda, meskipun tidak digunakan secara aktif.
Konfigurasikan publikasi sumber data ke lokasi standar Anda
1. Identifikasikan sumber untuk data keamanan Anda dan konfigurasikan sumber tersebut untuk dipublikasikan ke lokasi standar Anda. Evaluasi opsi untuk secara otomatis mengekspor data dalam format yang diinginkan, dan bukan opsi yang memerlukan pengembangan proses ETL. Dengan Amazon Security Lake, Anda dapat mengumpulkan data dari sumber AWS yang didukung dan sistem pihak ketiga terintegrasi.
Konfigurasikan alat untuk mengakses lokasi standar Anda
1. Konfigurasikan berbagai alat, seperti Amazon Athena, QuickSight, atau solusi pihak ketiga untuk memiliki akses yang diperlukan ke lokasi standar Anda. Konfigurasikan alat-alat ini agar dapat beroperasi di luar akun Alat Keamanan dengan akses baca lintas akun ke akun Arsip Log jika perlu. Buat pelanggan di Amazon Security Lake untuk memberi alat-alat ini akses ke data Anda.

Sumber daya

Praktik terbaik terkait:

Dokumen terkait:

Contoh terkait:

Alat terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi

SEC04-BP03 Korelasikan dan perkaya data peringatan keamanan