As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ganhando visibilidade com mecanismos de observabilidade
A capacidade de visualizar os eventos de segurança que ocorreram é tão importante quanto estabelecer controles de segurança adequados. No pilar de segurança do AWS Well-Architected Framework, as melhores práticas de detecção incluem configurar registros de serviços e aplicativos e capturar registros, descobertas e métricas em locais padronizados. Para implementar essas melhores práticas, você deve registrar as informações que ajudam a identificar eventos e, em seguida, processar essas informações em um formato de consumo humano, de preferência em um local centralizado.
Este guia recomenda que você use o Amazon Simple Storage Service (Amazon S3) para centralizar os dados de log. O Amazon S3 oferece suporte ao armazenamento de registros tanto para o DNS Firewall AWS Network Firewall quanto para o Amazon Route 53 Resolver DNS. Em seguida, você usa o AWS Security HubAmazon Security Lake para centralizar as GuardDuty descobertas da Amazon e outras descobertas de segurança em um único local.
Registrando tráfego de rede
A seção Automatizando controles de segurança preventivos e detectivos deste guia descreve o uso do firewall Amazon Route 53 Resolver DNS para automatizar AWS Network Firewall as respostas à inteligência de ameaças cibernéticas (CTI). Recomendamos que você configure o registro em log para esses dois serviços. Você pode criar controles de detetive que monitoram os dados de registro e alertam você se um domínio ou endereço IP restrito tentar enviar tráfego pelo firewall.
Ao configurar esses recursos, considere seus requisitos individuais de registro. Por exemplo, o registro do Network Firewall está disponível somente para o tráfego que você encaminha para o mecanismo de regras com estado. Recomendamos que você siga um modelo de confiança zero e encaminhe todo o tráfego para o mecanismo de regras com estado. No entanto, se quiser reduzir custos, você pode excluir o tráfego em que sua organização confia.
Tanto o Network Firewall quanto o DNS Firewall oferecem suporte ao registro no Amazon S3. Para obter mais informações sobre como configurar o registro em log para esses serviços, consulte Registro do tráfego de rede AWS Network Firewall e Configuração do registro em log para o firewall DNS. Para ambos os serviços, você pode configurar o registro em um bucket do Amazon S3 por meio do. AWS Management Console
Centralizando as descobertas de segurança em AWS
AWS Security Hubfornece uma visão abrangente do seu estado de segurança AWS e ajuda você a avaliar seu AWS ambiente em relação aos padrões e às melhores práticas do setor de segurança. O Security Hub pode gerar descobertas associadas aos seus controles de segurança. Ele também pode receber descobertas de outros Serviços da AWS, como a Amazon GuardDuty. Você pode usar o Security Hub para centralizar descobertas e dados de seus Contas da AWS produtos e de terceiros compatíveis. Serviços da AWS Para obter mais informações sobre integrações, consulte Entendendo as integrações no Security Hub na documentação do Security Hub.
O Security Hub também inclui recursos de automação que ajudam você a fazer a triagem e corrigir problemas de segurança. Por exemplo, você pode usar regras de automação para atualizar automaticamente descobertas críticas quando uma verificação de segurança falha. Você também pode usar a integração com EventBridge a Amazon para iniciar respostas automáticas a descobertas específicas. Para obter mais informações, consulte Modificar e agir automaticamente com base nas descobertas do Security Hub na documentação do Security Hub.
Se você usa a Amazon GuardDuty, recomendamos que você configure GuardDuty para enviar suas descobertas para o Security Hub. O Security Hub pode então incluir tais descobertas na análise feita sobre a seu procedimento de segurança. Para obter mais informações, consulte Integração com AWS Security Hub na GuardDuty documentação.
Tanto para o Network Firewall quanto para o Route 53 Resolver DNS Firewall, você pode criar descobertas personalizadas a partir do tráfego de rede que você está registrando. O Amazon Athena é um serviço de consultas interativas que facilita a análise de dados diretamente no Amazon S3 usando SQL padrão. Você pode criar consultas no Athena que escaneiam os logs no Amazon S3 e extraem os dados relevantes. Para obter instruções, consulte Introdução na documentação do Athena. Em seguida, você pode usar uma AWS Lambda função para converter os dados de log relevantes em AWS Security Finding Format (ASFF) e enviar a descoberta para o Security Hub. Veja a seguir um exemplo de função Lambda que converte dados de log do Network Firewall em uma descoberta do Security Hub:
Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub"; Export const handler = async(event) => { const date = new Date().toISOString(); const config = { Region: REGION }; const input = { Findings: [ { SchemaVersion: '2018-10-08', Id: ALERTLOGS3BUCKETID, ProductArn: FIREWALLMANAGERARN, GeneratorId: 'alertlogs-to-findings', AwsAccountId: ACCOUNTID, Types: 'Unusual Behaviours/Network Flow/Alert', CreatedAt: date, UpdatedAt: date, Severity: { Normalized: 80, Product: 8 }, Confidence: 100, Title: 'Alert Log to Findings', Description: 'Network Firewall Alert Log into Finding – add top level dynamic detail', Resources: [ { /*these are custom resources. Contain deeper details of your event here*/ firewallName: 'Example Name', event: 'Example details here' } ] } ] }; const client = new SecurityHubClient(config); const command = new BatchImportFindingsCommand(input); const response = await client.send(command); return { statusCode: 200, response }; };
O padrão que você segue para extrair e enviar informações para o Security Hub depende das necessidades individuais de sua empresa. Se você precisar que os dados sejam enviados regularmente, você pode usá-los EventBridge para iniciar o processo. Se quiser receber um alerta quando as informações forem adicionadas, você pode usar o Amazon Simple Notification Service (Amazon SNS). Há muitas maneiras de abordar essa arquitetura, por isso é importante planejar adequadamente para que suas necessidades comerciais sejam atendidas.
Integrando dados AWS de segurança com outros dados corporativos
O Amazon Security Lake pode automatizar a coleta de dados de registros e eventos relacionados à segurança de serviços integrados e de terceiros. Serviços da AWS Também ajuda você a gerenciar o ciclo de vida dos dados com configurações personalizáveis de retenção e replicação. O Security Lake converte dados ingeridos ao formato Apache Parquet e a um esquema padrão de código aberto chamado Open Cybersecurity Schema Framework (OCSF). Com o suporte do OCSF, o Security Lake normaliza e combina dados de segurança de AWS uma ampla variedade de fontes de dados de segurança corporativa. Outros serviços da Serviços da AWS e de terceiros podem assinar os dados armazenados no Security Lake para resposta a incidentes e análise.
Você pode configurar o Security Lake para receber descobertas do Security Hub. Para ativar essa integração, você deve habilitar os dois serviços e adicionar o Security Hub como fonte no Security Lake. Depois de executar essas etapas, o Security Hub começa a enviar todas as descobertas para o Security Lake. O Security Lake normaliza automaticamente as descobertas do Security Hub e as converte em OCSF. No Security Lake, você pode adicionar um ou mais assinantes para consumir as descobertas do Security Hub. Para obter mais informações, consulte Integração com AWS Security Hub na documentação do Security Lake.
O vídeo a seguir, AWS
re:INFORCE 2024 — Compartilhamento de inteligência sobre ameaças cibernéticas em AWS
