Registrazione ed eventi - Guida sulla risposta agli incidenti di sicurezza di AWS

Registrazione ed eventi

AWS CloudTrail: AWS CloudTrail è un servizio che abilita la governance, la conformità, la verifica operativa e dei rischi del tuo account AWS. Con CloudTrail puoi registrare, monitorare in modo continuo e mantenere le attività dell'account correlate alle operazioni all'interno dell'infrastruttura AWS. CloudTrail fornisce una cronologia degli eventi delle attività dell'account AWS, incluse le operazioni eseguite tramite la AWS Management Console, gli SDK AWS, strumenti a riga di comando e altri servizi AWS. La cronologia degli eventi semplifica l'analisi di sicurezza, il monitoraggio delle modifiche delle risorse e la risoluzione dei problemi.

I file di log convalidati sono preziosi nelle indagini forensi e per la sicurezza. Per determinare se un file di log è stato modificato, eliminato o modificato dopo che CloudTrail lo ha distribuito, utilizzare la convalida dell'integrità dei file di log di CloudTrail. Questa caratteristica è integrata mediante algoritmi standard di settore: SHA-256 per l'hashing e SHA-256 con RSA per la firma digitale. Ciò rende impossibile, a livello di programmazione, qualsiasi operazione di modifica, eliminazione o contraffazione dei file di log di CloudTrail senza che tale operazione venga rilevata.

Di default, i file di log inviati da CloudTrail al tuo bucket vengono crittografati mediante la crittografia lato server di Amazon. Facoltativamente è possibile utilizzare le chiavi gestite AWS Key Management Service (AWS KMS) (SSE-KMS) per i file di log di CloudTrail.

Amazon CloudWatch Events: Amazon CloudWatch Events fornisce un flusso quasi in tempo reale di eventi di sistema che descrivono le modifiche nelle risorse AWS o quando le chiamate API vengono pubblicate da AWS CloudTrail. Utilizzando semplici regole che puoi impostare rapidamente, puoi abbinare eventi e instradarli verso una o più funzioni o flussi target. CloudWatch Events rileva le modifiche operative appena si verificano. CloudWatch Events risponde a queste modifiche operative e prende le necessarie misure correttive inviando messaggi per rispondere all'ambiente, attivando funzioni, apportando modifiche, e acquisendo informazioni sullo stato. Alcuni servizi di sicurezza, come Amazon GuardDuty, producono il loro output sotto forma di CloudWatch Events.

AWS Config: AWS Config è un servizio che consente di valutare e verificare le configurazioni delle risorse AWS. Config monitora e registra continuamente le configurazioni delle risorse AWS e permette di automatizzare la valutazione delle configurazioni registrate e le impostazioni desiderate. Con Config, puoi esaminare le modifiche nelle configurazioni e le relazioni tra le risorse AWS, manualmente o automaticamente. È possibile esaminare le cronologie dettagliate della configurazione delle risorse e determinare la conformità generale rispetto alle configurazioni specificate nelle linee guida interne. Ciò permette di semplificare le operazioni di verifica della conformità, l'analisi della sicurezza, la gestione delle modifiche e risoluzione dei problemi operativi.

Registri di accesso di Simple Storage Service (Amazon S3): se archivi informazioni sensibili in un bucket Simple Storage Service (Amazon S3), puoi abilitare i registri di accesso S3 per registrare ogni caricamento, download e modifica di tali dati. Questo registro è separato e in aggiunta ai log di CloudTrail che registrano le modifiche al bucket stesso (come la modifica delle policy di accesso e delle policy del ciclo di vita).

Amazon CloudWatch Logs: puoi utilizzare Amazon CloudWatch Logs per monitorare, archiviare e accedere ai file di log (come il sistema operativo, l'applicazione e i file di log personalizzati) dalle istanze Amazon Elastic Compute Cloud (Amazon EC2) utilizzando l'agente CloudWatch Logs. Inoltre, Amazon CloudWatch Logs può acquisire log da AWS CloudTrail, query DNS di Amazon Route 53, flusso di log del VPC, funzioni Lambda e altre fonti. I dati dei registri associati possono quindi essere recuperati da CloudWatch Logs.

Flussi di log di Amazon VPC: i flussi di log del VPC consentono di acquisire le informazioni sul traffico IP da e per le interfacce di rete nel VPC. Dopo aver creato un flusso di log, è possibile visualizzare e recuperare i relativi dati in Amazon CloudWatch Logs. I flussi di log del VPC possono essere utili per diverse attività. Ad esempio, puoi utilizzare i flussi di log per risolvere il motivo per cui il traffico specifico non raggiunge un'istanza, il che può aiutare a diagnosticare regole del gruppo di sicurezza eccessivamente restrittive. Puoi anche utilizzare i flussi di log come uno strumento di sicurezza per monitorare il traffico che raggiunge l'istanza.

Registri AWS WAF: AWS WAF ora supporta la registrazione completa di tutte le richieste Web ispezionate dal servizio. È possibile archiviare tali registri in Simple Storage Service (Amazon S3) per necessità di conformità e di verifica, nonché utilizzarli per il debug e per ulteriori analisi forensi. I registri consentiranno di comprendere quali sono le regole attivate e perché alcune richieste Web vengono bloccate. È anche possibile integrare i log con gli strumenti SIEM e di analisi dei registri.

Altri registri AWS: con il ritmo dell'innovazione, continuiamo a implementare nuove caratteristiche e funzionalità per i clienti praticamente ogni giorno, il che significa che sono disponibili dozzine di servizi AWS che forniscono funzionalità di registrazione e monitoraggio. Per informazioni sulle caratteristiche disponibili per ciascun servizio AWS, consulta la documentazione AWS relativa al servizio.