Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ottenere visibilità con meccanismi di osservabilità
La possibilità di visualizzare gli eventi di sicurezza che si sono verificati è importante tanto quanto stabilire controlli di sicurezza adeguati. Nel pilastro della sicurezza di AWS Well-Architected Framework, le migliori pratiche di rilevamento includono la registrazione di servizi e applicazioni di configurazione e l'acquisizione di registri, risultati e metriche in posizioni standardizzate. Per implementare queste best practice, è necessario registrare le informazioni che consentono di identificare gli eventi e quindi elaborare tali informazioni in un formato utilizzabile dall'uomo, idealmente in una posizione centralizzata.
Questa guida consiglia di utilizzare Amazon Simple Storage Service (Amazon S3) per centralizzare i dati di log. Amazon S3 supporta l'archiviazione dei log sia per il firewall AWS Network Firewall Amazon Route 53 Resolver DNS. Quindi, utilizzi AWS Security HubAmazon Security Lake per centralizzare i risultati di Amazon e altri GuardDuty risultati di sicurezza in un'unica posizione.
Registrazione del traffico di rete
La sezione Automatizzazione dei controlli di sicurezza preventivi e investigativi di questa guida descrive l'utilizzo AWS Network Firewall di un firewall Amazon Route 53 Resolver DNS per automatizzare le risposte alla cyber threat intelligence (CTI). Si consiglia di configurare la registrazione per entrambi questi servizi. È possibile creare controlli investigativi che monitorano i dati di registro e avvisano l'utente se un dominio o un indirizzo IP con restrizioni tenta di inviare traffico attraverso il firewall.
Durante la configurazione di queste risorse, tenete conto dei vostri requisiti di registrazione individuali. Ad esempio, la registrazione per Network Firewall è disponibile solo per il traffico inoltrato allo stateful rules engine. Ti consigliamo di seguire un modello zero-trust e di inoltrare tutto il traffico allo stateful rules engine. Tuttavia, se desideri ridurre i costi, puoi escludere il traffico considerato attendibile dalla tua organizzazione.
Sia Network Firewall che DNS Firewall supportano la registrazione su Amazon S3. Per ulteriori informazioni sulla configurazione della registrazione per questi servizi, consulta Registrazione del traffico di rete da AWS Network Firewall e Configurazione della registrazione per DNS Firewall. Per entrambi i servizi, puoi configurare la registrazione su un bucket Amazon S3 tramite. AWS Management Console
Centralizzazione dei risultati di sicurezza in AWS
AWS Security Huboffre una visione completa dello stato di sicurezza AWS e aiuta a valutare AWS l'ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub può generare risultati associati ai controlli di sicurezza. Può anche ricevere risultati da altri Servizi AWS, come Amazon GuardDuty. Puoi utilizzare Security Hub per centralizzare risultati e dati provenienti da tutti i tuoi Account AWS prodotti e da Servizi AWS quelli di terze parti supportati. Per ulteriori informazioni sulle integrazioni, consulta Comprendere le integrazioni in Security Hub nella documentazione di Security Hub.
Security Hub include anche funzionalità di automazione che aiutano a valutare e risolvere i problemi di sicurezza. Ad esempio, è possibile utilizzare le regole di automazione per aggiornare automaticamente i risultati critici quando un controllo di sicurezza fallisce. Puoi anche utilizzare l'integrazione con Amazon EventBridge per avviare risposte automatiche a risultati specifici. Per ulteriori informazioni, consulta Modificare automaticamente e agire sui risultati di Security Hub nella documentazione di Security Hub.
Se usi Amazon GuardDuty, ti consigliamo di configurare l'invio dei risultati GuardDuty a Security Hub. Security Hub può quindi includere tali risultati nella sua analisi della posizione di sicurezza. Per ulteriori informazioni, consulta Integrazione con AWS Security Hub nella GuardDuty documentazione.
Sia per Network Firewall che per Route 53 Resolver DNS Firewall, puoi creare risultati personalizzati dal traffico di rete che stai registrando. Amazon Athena è un servizio di query interattivo che ti aiuta ad analizzare i dati direttamente in Amazon S3 utilizzando SQL standard. Puoi creare query in Athena che scansionano i log in Amazon S3 ed estraggono i dati pertinenti. Per istruzioni, consulta Guida introduttiva nella documentazione di Athena. Quindi, è possibile utilizzare una AWS Lambda funzione per convertire i dati di registro pertinenti in AWS Security Finding Format (ASFF) e inviare i risultati a Security Hub. Di seguito è riportato un esempio di funzione Lambda che converte i dati di registro da Network Firewall in un risultato del Security Hub:
Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub"; Export const handler = async(event) => { const date = new Date().toISOString(); const config = { Region: REGION }; const input = { Findings: [ { SchemaVersion: '2018-10-08', Id: ALERTLOGS3BUCKETID, ProductArn: FIREWALLMANAGERARN, GeneratorId: 'alertlogs-to-findings', AwsAccountId: ACCOUNTID, Types: 'Unusual Behaviours/Network Flow/Alert', CreatedAt: date, UpdatedAt: date, Severity: { Normalized: 80, Product: 8 }, Confidence: 100, Title: 'Alert Log to Findings', Description: 'Network Firewall Alert Log into Finding – add top level dynamic detail', Resources: [ { /*these are custom resources. Contain deeper details of your event here*/ firewallName: 'Example Name', event: 'Example details here' } ] } ] }; const client = new SecurityHubClient(config); const command = new BatchImportFindingsCommand(input); const response = await client.send(command); return { statusCode: 200, response }; };
Lo schema da seguire per l'estrazione e l'invio di informazioni a Security Hub dipende dalle esigenze aziendali individuali. Se hai bisogno che i dati vengano inviati regolarmente, puoi utilizzarli EventBridge per avviare il processo. Se desideri ricevere un avviso quando vengono aggiunte le informazioni, puoi utilizzare Amazon Simple Notification Service (Amazon SNS). Esistono molti modi per affrontare questa architettura, quindi è importante pianificare correttamente in modo da soddisfare le esigenze aziendali.
Integrazione dei dati AWS di sicurezza con altri dati aziendali
Amazon Security Lake può automatizzare la raccolta di log ed eventi relativi alla sicurezza da servizi integrati Servizi AWS e di terze parti. Inoltre, ti aiuta a gestire il ciclo di vita dei dati con impostazioni di conservazione e replica personalizzabili. Security Lake converte i dati acquisiti in formato Apache Parquet e in uno schema open source standard chiamato Open Cybersecurity Schema Framework (OCSF). Con il supporto OCSF, Security Lake normalizza e combina i dati di sicurezza provenienti da un'ampia gamma di fonti di dati di sicurezza aziendali. AWS Altri servizi Servizi AWS e di terze parti possono abbonarsi ai dati archiviati in Security Lake per la risposta agli incidenti e l'analisi dei dati di sicurezza.
È possibile configurare Security Lake per ricevere i risultati da Security Hub. Per attivare questa integrazione, è necessario abilitare entrambi i servizi e aggiungere Security Hub come sorgente in Security Lake. Una volta completati questi passaggi, Security Hub inizia a inviare tutti i risultati a Security Lake. Security Lake normalizza automaticamente i risultati del Security Hub e li converte in OCSF. In Security Lake, puoi aggiungere uno o più abbonati per utilizzare i risultati di Security Hub. Per ulteriori informazioni, consulta Integrazione con AWS Security Hub nella documentazione di Security Lake.
Il seguente video, AWS
RE:InForce 2024 - Condivisione dell'intelligence sulle minacce informatiche AWS
