AWS Security Incident Response におけるログ記録とモニタリング

モニタリングは、AWS Security Incident Response および他の AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な要素です。AWS Security Incident Response は現在、組織と組織内で発生するアクティビティをモニタリングするために、次の AWS サービスをサポートしています。

AWS CloudTrail – CloudTrail を使用すると、AWS Security Incident Response コンソールから API コールをキャプチャできます。例えば、ユーザーが認証すると、CloudTrail はリクエストの IP アドレス、リクエストの実行者、および実行日時などの詳細を記録できます。

Amazon CloudWatch メトリクス – CloudWatch メトリクスでは、監視、報告、およびイベントが発生した場合のほぼリアルタイムでの自動アクションの実行が可能です。例えば、提供されたメトリクスで CloudWatch ダッシュボードを作成して AWS Security Incident Response 使用状況をモニタリングする、または提供されたメトリクスで CloudWatch アラームを作成して、設定されたしきい値の超過を通知することができます。

サービスの名前空間は AWS/Usage/ServiceName です。使用可能なメトリクス名は、ActiveManagedCases と SelfManagedCases です。

「AWS のサービス条件」に従って、AWS Security Incident Response レスポンダーチームは CloudTrail、VPC、DNS、S3 ログデータの履歴にアクセスできます。このデータは、AWS Security Incident Response サービスポータルでケースが開かれている場合、アクティブなセキュリティインシデント中に使用される場合があります。