As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Recomendações de controle de segurança para registro e monitoramento
O registro e o monitoramento são aspectos importantes da detecção de ameaças. A detecção de ameaças é um dos recursos da perspectiva de segurança no AWS Cloud Adoption Framework (AWS CAF)
Controles nesta seção:
Configure pelo menos uma trilha multirregional no CloudTrail
Estabeleça um local centralizado para analisar registros e responder a eventos de segurança
Evite o acesso não autorizado aos buckets do S3 que contêm arquivos de log CloudTrail
Configurar alertas para alterações nos grupos de segurança ou na rede ACLs
Configurar alertas para CloudWatch alarmes que entram no estado ALARME
Configure pelo menos uma trilha multirregional no CloudTrail
AWS CloudTrailajuda você a auditar a governança, a conformidade e o risco operacional do seu Conta da AWS. As ações realizadas por um usuário, função ou um AWS service (Serviço da AWS) são registradas como eventos em CloudTrail. Os eventos incluem ações realizadas em AWS Management Console, AWS Command Line Interface (AWS CLI) AWS SDKs e APIs e. Esse histórico de eventos ajuda você a analisar sua postura de segurança, rastrear alterações de recursos e auditar a conformidade.
Para um registro contínuo dos eventos em seu Conta da AWS, você deve criar uma trilha. Cada trilha deve ser configurada para registrar todos os eventos Regiões da AWS. Ao registrar todos os eventos Regiões da AWS, você garante que todos os eventos que ocorrem no seu Conta da AWS sejam registrados, independentemente de onde Região da AWS tenham ocorrido. Uma trilha multirregional garante que os eventos de serviços globais sejam registrados.
Para obter mais informações, consulte os seguintes recursos:
-
CloudTrail melhores práticas de segurança de detetive na documentação CloudTrail
-
Convertendo uma trilha que se aplica a uma região para se aplicar a todas as regiões na documentação CloudTrail
-
Ativando e desativando o registro de eventos de serviços globais na documentação CloudTrail
Configurar o registro no nível do serviço e do aplicativo
O AWS Well-Architected Framework recomenda que você retenha registros de eventos de segurança de serviços e aplicativos. Esse é um princípio fundamental de segurança para auditorias, investigações e casos de uso operacional. A retenção de registros de serviços e aplicativos é um requisito comum de segurança orientado por padrões, políticas e procedimentos de governança, risco e conformidade (GRC).
As equipes de operações de segurança confiam em registros e ferramentas de pesquisa para descobrir possíveis eventos de interesse que possam indicar atividades não autorizadas ou alterações não intencionais. Você pode ativar o registro em registros para diferentes serviços, dependendo do caso de uso. Por exemplo, você pode registrar o acesso ao bucket do Amazon S3, o tráfego AWS WAF da Web ACL, o tráfego do Amazon API Gateway na camada de rede ou as distribuições da Amazon. CloudFront
Para obter mais informações, consulte os seguintes recursos:
-
Transmita o Amazon CloudWatch Logs para uma conta centralizada para auditoria e análise
no Blog de AWS Arquitetura -
Configure o registro de serviços e aplicativos no AWS Well-Architected Framework
Estabeleça um local centralizado para analisar registros e responder a eventos de segurança
Analisar manualmente os registros e processar as informações é insuficiente para acompanhar o volume de informações associado a arquiteturas complexas. A análise e os relatórios por si só não facilitam a atribuição de eventos ao recurso correto em tempo hábil. O AWS Well-Architected Framework recomenda que você AWS integre eventos e descobertas de segurança em um sistema de notificação e fluxo de trabalho, como um sistema de emissão de tíquetes, bugs ou sistema de gerenciamento de eventos e informações de segurança (SIEM). Esses sistemas ajudam você a atribuir, rotear e gerenciar eventos de segurança.
Para obter mais informações, consulte os seguintes recursos:
-
Analise registros, descobertas e métricas centralmente no AWS Well-Architected Framework
-
Analise a segurança, a conformidade e a atividade operacional usando o CloudTrail Amazon Athena no AWS blog
de segurança -
AWS Parceiros que fornecem serviços de detecção e resposta a ameaças
no portfólio de AWS parceiros
Evite o acesso não autorizado aos buckets do S3 que contêm arquivos de log CloudTrail
Por padrão, os arquivos de CloudTrail log são armazenados em buckets do Amazon S3. É uma prática recomendada de segurança impedir o acesso não autorizado a qualquer bucket do Amazon S3 que CloudTrail contenha arquivos de log. Isso ajuda você a manter a integridade, a integridade e a disponibilidade desses registros, o que é crucial para fins forenses e de auditoria. Se você quiser registrar eventos de dados para buckets do S3 que contêm arquivos de CloudTrail log, você pode criar uma CloudTrail trilha para essa finalidade.
Para obter mais informações, consulte os seguintes recursos:
-
Definindo configurações de bloqueio de acesso público para seus buckets do S3 na documentação do Amazon S3
-
CloudTrail melhores práticas de segurança preventiva na documentação CloudTrail
-
Criando uma trilha na CloudTrail documentação
Configurar alertas para alterações nos grupos de segurança ou na rede ACLs
Um grupo de segurança na Amazon Virtual Private Cloud (Amazon VPC) controla o tráfego que pode alcançar e sair dos recursos aos quais está associado. Uma lista de controle de acesso à rede (ACL) permite ou nega tráfego específico de entrada ou saída no nível da sub-rede da VPC. Esses recursos são essenciais para gerenciar o acesso em seu AWS ambiente.
Crie e configure um CloudWatch alarme da Amazon que notifique você se uma configuração de grupo de segurança ou ACL de rede for alterada. Configure esse alarme para alertá-lo sempre que uma chamada de AWS API for executada para atualizar grupos de segurança. Você também pode usar serviços, como Amazon EventBridge e AWS Config, para responder automaticamente a esses tipos de eventos de segurança.
Para obter mais informações, consulte os seguintes recursos:
-
Usando CloudWatch alarmes da Amazon na documentação CloudWatch
-
Implemente eventos de segurança acionáveis no AWS Well-Architected Framework
-
Automatize a resposta a eventos no AWS Well-Architected Framework
Configurar alertas para CloudWatch alarmes que entram no estado ALARME
Em CloudWatch, você pode especificar quais ações um alarme executa quando muda de estado entre os INSUFFICIENT_DATA estados OKALARM, e. O tipo mais comum de ação de alarme é notificar uma ou mais pessoas enviando uma mensagem para um tópico do Amazon Simple Notification Service (Amazon SNS). Você também pode configurar alarmes para criar OpsItemsou incidentes em. AWS Systems Manager
Recomendamos que você ative as ações de alarme para alertar automaticamente se uma métrica monitorada estiver fora do limite definido. O monitoramento de alarmes ajuda você a identificar atividades incomuns e a responder rapidamente a problemas operacionais e de segurança.
Para obter mais informações, consulte os seguintes recursos:
-
Implemente eventos de segurança acionáveis no AWS Well-Architected Framework
-
Ações de alarme na CloudWatch documentação
