SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi

Menyimpan log peristiwa keamanan dari layanan dan aplikasi. Hal ini merupakan prinsip fundamental dalam keamanan untuk audit, penyelidikan, dan kasus penggunaan operasional, serta merupakan persyaratan keamanan umum yang didorong oleh prosedur, kebijakan, dan standar tata kelola, risiko, serta kepatuhan (GRC).

Hasil yang diinginkan: Sebuah organisasi harus dapat dengan andal dan konsisten mengambil log peristiwa keamanan dari aplikasi dan layanan AWS dengan cepat saat diperlukan untuk memenuhi proses atau kewajiban internal, seperti respons insiden keamanan. Sebaiknya pusatkan log untuk mendapatkan hasil operasional yang lebih baik.

Antipola umum:

• Log disimpan tanpa batas waktu yang jelas atau dihapus terlalu cepat.

• Semua orang dapat mengakses log.

• Sepenuhnya menggunakan proses manual untuk tata kelola dan penggunaan log.

• Menyimpan setiap jenis log untuk berjaga-jaga jika diperlukan.

• Memeriksa integritas log hanya jika diperlukan.

Manfaat menjalankan praktik terbaik ini: Mengimplementasikan mekanisme analisis akar masalah (RCA) untuk insiden keamanan dan sumber bukti untuk kewajiban tata kelola, risiko, dan kepatuhan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Selama penyelidikan keamanan atau kasus penggunaan lain berdasarkan kebutuhan Anda, Anda harus dapat meninjau log yang relevan untuk mencatat dan memahami seluruh cakupan serta garis waktu insiden. Log juga diperlukan untuk pembuatan peringatan yang mengindikasikan bahwa tindakan tertentu telah terjadi. Sangat penting untuk memilih, mengaktifkan, menyimpan, dan menyiapkan mekanisme kueri dan pengambilan serta pembuatan peringatan.

Langkah implementasi

• Pilih dan aktifkan sumber log. Sebelum melakukan penyelidikan keamanan, Anda perlu mengambil log yang relevan untuk merekonstruksi aktivitas secara surut di Akun AWS. Pilih dan aktifkan sumber log yang relevan dengan beban kerja Anda.

  Kriteria pemilihan sumber log harus didasarkan pada kasus penggunaan yang diperlukan oleh bisnis Anda. Tetapkan jejak untuk setiap Akun AWS menggunakan AWS CloudTrail atau jejak AWS Organizations, dan konfigurasikan bucket Amazon S3 untuk jejak tersebut.

  AWS CloudTrail adalah layanan pencatatan log yang melacak panggilan API yang dibuat terhadap Akun AWS yang merekam aktivitas layanan AWS. Layanan tersebut diaktifkan secara default dengan peristiwa manajemen retensi 90 hari yang dapat diambil melalui riwayat Peristiwa CloudTrail menggunakan AWS Management Console, AWS CLI, atau AWS SDK. Untuk visibilitas dan retensi peristiwa data yang lebih lama, buat jejak CloudTrail dan kaitkan dengan bucket Amazon S3, serta dengan grup log Amazon CloudWatch (opsional). Anda juga dapat membuat CloudTrail Lake, yang menyimpan log CloudTrail hingga tujuh tahun dan menyediakan fasilitas kueri berbasis SQL.

  AWS menyarankan agar pelanggan yang menggunakan VPC mengaktifkan lalu lintas jaringan dan log DNS menggunakan Log Arus VPC dan log kueri Amazon Route 53 Resolver, serta mengalirkannya ke bucket Amazon S3 atau grup log CloudWatch. Anda dapat membuat log arus VPC untuk VPC, subnet, dan antarmuka jaringan. Untuk Log Arus VPC, Anda dapat memilih cara dan tempat penggunaan Log Arus untuk mengurangi biaya.

  Log AWS CloudTrail, Log Arus VPC, dan log kueri Route 53 Resolver merupakan sumber pencatatan log dasar untuk mendukung penyelidikan keamanan di AWS. Anda juga dapat menggunakan Danau Keamanan Amazon untuk mengumpulkan, menormalisasi, dan menyimpan data log ini dalam format Apache Parquet dan Open Cybersecurity Schema Framework (OCSF), yang siap untuk kueri. Danau Keamanan juga mendukung log AWS lainnya dan log dari sumber pihak ketiga.

  Layanan AWS dapat membuat log yang tidak direkam oleh sumber log dasar, seperti log Elastic Load Balancing, log AWS WAF, log perekam AWS Config, temuan Amazon GuardDuty, log audit Amazon Elastic Kubernetes Service (Amazon EKS), dan log aplikasi serta sistem operasi instans Amazon EC2. Untuk daftar lengkap opsi pencatatan log dan pemantauan, lihat Lampiran A: Penentuan kemampuan cloud – Pencatatan Log dan Peristiwa dalam Panduan Respons Insiden Keamanan AWS.

• Pelajari kemampuan pencatatan log untuk setiap aplikasi dan layanan AWS: Setiap layanan dan aplikasi AWS memberikan opsi untuk penyimpanan log yang masing-masing dilengkapi dengan kemampuan retensi dan siklus hidup. Dua layanan penyimpanan yang paling umum adalah Amazon Simple Storage Service (Amazon S3) dan Amazon CloudWatch. Untuk periode retensi yang panjang, sebaiknya gunakan Amazon S3 untuk efektivitas biaya dan kemampuan siklus hidup yang fleksibel. Jika opsi pencatatan log utama adalah Log Amazon CloudWatch, sebagai opsi, Anda dapat mempertimbangkan untuk mengarsipkan log yang jarang diakses ke Amazon S3.

• Pilih penyimpanan log: Pilihan penyimpanan log umumnya dikaitkan dengan alat kueri yang digunakan, kemampuan retensi, seberapa familier, dan biaya. Opsi utama untuk penyimpanan log adalah bucket Amazon S3 atau grup Log CloudWatch.

  Bucket Amazon S3 menyediakan penyimpanan yang tahan lama dan hemat biaya, dengan kebijakan siklus hidup opsional. Log yang disimpan di bucket Amazon S3 dapat dikueri menggunakan layanan seperti Amazon Athena.

  Grup log CloudWatch menyediakan penyimpanan yang tahan lama dan fasilitas kueri bawaan melalui Wawasan Log CloudWatch.

• Identifikasi retensi log yang sesuai: Saat Anda menggunakan bucket Amazon S3 atau grup log CloudWatch untuk menyimpan log, Anda harus menetapkan siklus hidup yang memadai untuk setiap sumber log guna mengoptimalkan biaya penyimpanan dan pengambilan. Pada umumnya, pelanggan memiliki waktu antara tiga bulan hingga satu tahun untuk melakukan kueri log, dengan periode retensi hingga tujuh tahun. Pilihan ketersediaan dan retensi harus selaras dengan persyaratan keamanan dan gabungan dari undang-undang, peraturan, serta kewajiban bisnis.

• Aktifkan pencatatan log untuk setiap layanan dan aplikasi AWS dengan kebijakan retensi dan siklus hidup yang tepat: Untuk setiap aplikasi dan layanan AWS di organisasi Anda, cari panduan konfigurasi pencatatan log khusus:

  • Mengonfigurasi Jejak AWS CloudTrail

  • Mengonfigurasi Log Arus VPC

  • Mengonfigurasi Ekspor Temuan Amazon GuardDuty

  • Mengonfigurasi perekaman AWS Config

  • Mengonfigurasi lalu lintas ACL web AWS WAF

  • Mengonfigurasi log lalu lintas jaringan AWS Network Firewall

  • Mengonfigurasi log akses Elastic Load Balancing

  • Mengonfigurasi log kueri Amazon Route 53 Resolver

  • Mengonfigurasi log Amazon RDS

  • Mengonfigurasi log Bidang Kendali Amazon EKS

  • Mengonfigurasi agen Amazon CloudWatch untuk instans Amazon EC2 dan server on-premise

• Pilih dan implementasikan mekanisme kueri untuk log: Untuk kueri log, Anda dapat menggunakan CloudWatch Wawasan Log untuk data yang disimpan di grup log CloudWatch, dan Amazon Athena serta Amazon OpenSearch Service untuk data yang disimpan di Amazon S3. Anda dapat menggunakan alat kueri pihak ketiga seperti layanan informasi keamanan dan manajemen peristiwa (SIEM).

  Proses pemilihan alat kueri harus mempertimbangkan aspek manusia, proses, dan teknologi operasi keamanan Anda. Pilih alat yang memenuhi persyaratan operasional, bisnis, dan keamanan, serta dapat diakses dan dipelihara dalam jangka panjang. Perlu diingat bahwa alat kueri berfungsi secara optimal saat jumlah log yang dipindai masih berada dalam batasan alat tersebut. Tidak jarang terdapat beberapa alat kueri karena adanya kendala biaya atau teknis.

  Misalnya, Anda menggunakan informasi keamanan dan manajemen peristiwa pihak ketiga untuk menjalankan kueri data selama 90 hari terakhir, tetapi menggunakan Athena untuk menjalankan kueri di atas 90 hari karena biaya penyerapan log SIEM. Terlepas dari implementasi, pastikan pendekatan Anda meminimalkan jumlah alat yang diperlukan untuk memaksimalkan efisiensi operasional, khususnya selama penyelidikan peristiwa keamanan.

• Gunakan log untuk peringatan: AWS memberikan peringatan melalui beberapa layanan keamanan:

  • AWS Config memantau dan merekam konfigurasi sumber daya AWS Anda serta membantu mengotomatiskan evaluasi dan perbaikan berdasarkan konfigurasi yang diinginkan.

  • Amazon GuardDuty adalah layanan deteksi ancaman yang terus memantau aktivitas mencurigakan dan perilaku tidak sah untuk melindungi Akun AWS dan beban kerja Anda. GuardDuty menyerap, menggabungkan, dan menganalisis informasi dari berbagai sumber, seperti manajemen dan peristiwa data AWS CloudTrail, log DNS, Log Arus VPC, dan log Audit Amazon EKS. GuardDuty mengambil aliran data independen secara langsung dari CloudTrail, Log Arus VPC, log kueri DNS, dan Amazon EKS. Anda tidak perlu mengelola kebijakan bucket Amazon S3 atau mengubah cara Anda mengumpulkan dan menyimpan log. Sebaiknya tetap simpan log tersebut untuk tujuan penyelidikan dan kepatuhan.

  • AWS Security Hub menyediakan satu tempat yang mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan atau temuan Anda dari beberapa layanan AWS serta produk pihak ketiga opsional untuk menampilkan peringatan keamanan dan status kepatuhan secara komprehensif.

  Anda juga dapat menggunakan mesin pembuat peringatan kustom untuk peringatan keamanan yang tidak dicakup oleh layanan ini atau untuk peringatan tertentu yang relevan dengan lingkungan Anda. Untuk informasi tentang pembuatan peringatan dan deteksi tersebut, lihat Deteksi dalam Panduan Respons Insiden Keamanan AWS.

Sumber daya

Praktik Terbaik Terkait:

• SEC04-BP02 Catat log, temuan, dan metrik di lokasi standar

• SEC07-BP04 Tentukan manajemen siklus hidup data yang dapat diskalakan

• SEC10-BP06 Melakukan deployment alat di awal

Dokumen terkait:

• Panduan Respons Insiden Keamanan AWS

• Memulai Danau Keamanan Amazon

• Memulai: Amazon CloudWatch Logs

• Solusi Partner Keamanan: Pencatatan Log dan Pemantauan

Video terkait:

• AWS re:Invent 2022 - Memperkenalkan Danau Keamanan Amazon

Contoh terkait:

• Assisted Log Enabler untuk AWS

• Ekspor Temuan AWS Security Hub Historis

Alat terkait:

• Snowflake for Cybersecurity