ログソースを選択して有効にする
セキュリティ調査の前に、関連するログを取得し、過去にさかのぼって AWS アカウントでアクティビティを再構築する必要があります。AWS アカウントのワークロードに関連するログソースを選択して有効にします。
AWS CloudTrail は、AWS のサービスアクティビティをキャプチャする AWS アカウントに対して API コールをトラッキングするログサービスです。これはデフォルトで有効になっており、管理イベントは 90 日間保持され、AWS Management Console、AWS CLI、AWS SDK のいずれかを使用して CloudTrail イベント履歴から検索することが可能です。データイベントをより長く保持し、確認できるようにするには、CloudTrail 証跡を作成して、これを Amazon S3 バケットと CloudWatch ロググループ (任意) に関連付ける必要があります。あるいは、CloudTrail Lake を作成する方法もあります。この方法では、CloudTrail ログを最長 7 年間保持でき、SQL ベースのクエリ機能を利用できます。
AWS では、VPC を使用しているお客様には、VPC フローログと Amazon Route 53 Resolver のクエリログをそれぞれ使用してネットワークトラフィックと DNS ログを有効にし、それらを Amazon S3 バケットまたは CloudWatch ロググループにストリーミングすることを推奨しています。VPC、サブネット、またはネットワークインターフェイスの VPC フローログを作成できます。VPC フローログについては、コストを削減するためにどこでどのようにフローログを有効にするかを選択できます。
AWS CloudTrail ログ、VPC フローログ、Route 53 Resolver のクエリログは、AWS でのセキュリティ調査をサポートする三大基本ログです。
AWS のサービスは、Elastic Load Balancing ログ、AWS WAF ログ、AWS Config レコーダーログ、Amazon GuardDuty の検出結果、Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログ、Amazon EC2 インスタンスのオペレーティングシステムとアプリケーションログなど、三大基本ログではキャプチャされないログを生成できます。ログ記録とモニタリングのオプションの完全なリストについては、「付録 A: クラウド機能の定義」を参照してください。