As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Recomendações de controle de segurança para registro em log e monitoramento
O registro em log e o monitoramento são aspectos importantes da detecção de ameaças. A detecção de ameaças é um dos recursos da perspectiva de segurança no AWS Cloud Adoption Framework (AWS CAF)
Controles nesta seção:
Configure pelo menos uma trilha multirregional no CloudTrail
Configurar o registro em log no nível de serviço e aplicação
Estabelecer um local centralizado para analisar logs e responder a eventos de segurança
Evite o acesso não autorizado aos buckets do S3 que contêm arquivos de log CloudTrail
Configurar alertas para alterações nos grupos de segurança ou na rede ACLs
Configurar alertas para CloudWatch alarmes que entram no estado ALARME
Configure pelo menos uma trilha multirregional no CloudTrail
AWS CloudTrailajuda você a auditar a governança, a conformidade e o risco operacional do seu Conta da AWS. As ações realizadas por um usuário, função ou um AWS service (Serviço da AWS) são registradas como eventos em CloudTrail. Os eventos incluem ações realizadas em Console de gerenciamento da AWS, AWS Command Line Interface (AWS CLI) AWS SDKs e APIs e. Esse histórico de eventos ajuda você a analisar sua postura de segurança, rastrear alterações de recursos e auditar a conformidade.
Para um registro contínuo dos eventos em seu Conta da AWS, você deve criar uma trilha. Cada trilha deve ser configurada para registrar eventos em todas as Regiões da AWS. Ao registrar todos os eventos Regiões da AWS, você garante que todos os eventos que ocorrem no seu Conta da AWS sejam registrados, independentemente de onde Região da AWS tenham ocorrido. Uma trilha de várias regiões garante que os eventos de serviços globais sejam registrados em log.
Para saber mais, consulte os seguintes recursos:
-
CloudTrail melhores práticas de segurança de detetive na documentação CloudTrail
-
Convertendo uma trilha que se aplica a uma região para se aplicar a todas as regiões na documentação CloudTrail
-
Ativando e desativando o registro de eventos de serviços globais na documentação CloudTrail
Configurar o registro em log no nível de serviço e aplicação
O AWS Well-Architected Framework recomenda que você retenha registros de eventos de segurança de serviços e aplicativos. Este é um princípio fundamental de segurança para auditorias, investigações e casos de uso operacional. A retenção de logs de serviços e aplicações é um requisito de segurança comum orientado por padrões, políticas e procedimentos de governança, risco e conformidade (GRC).
As equipes de operações de segurança contam com os logs e as ferramentas de pesquisa para descobrir possíveis eventos de interesse que podem indicar atividades não autorizadas ou alterações não intencionais. Você pode habilitar o registro em log para diferentes serviços, dependendo do caso de uso. Por exemplo, você pode registrar o acesso ao bucket do Amazon S3, o tráfego AWS WAF da Web ACL, o tráfego do Amazon API Gateway na camada de rede ou as distribuições da Amazon. CloudFront
Para saber mais, consulte os seguintes recursos:
-
Transmita o Amazon CloudWatch Logs para uma conta centralizada para auditoria e análise
no Blog de AWS Arquitetura -
Configurar o registro em log de serviços e aplicações no AWS Well-Architected Framework
Estabelecer um local centralizado para analisar logs e responder a eventos de segurança
Analisar manualmente os logs e processar as informações não é suficiente para acompanhar o volume de informações associado a arquiteturas complexas. A análise e os relatórios por si só não facilitam a atribuição de eventos ao recurso correto em tempo hábil. O AWS Well-Architected Framework recomenda que você AWS integre eventos e descobertas de segurança em um sistema de notificação e fluxo de trabalho, como um sistema de emissão de tíquetes, bugs ou sistema de gerenciamento de eventos e informações de segurança (SIEM). Esses sistemas ajudam você a atribuir, rotear e gerenciar eventos de segurança.
Para saber mais, consulte os seguintes recursos:
-
Analyze logs, findings, and metrics centrally no AWS Well-Architected Framework
-
Analise a segurança, a conformidade e a atividade operacional usando o CloudTrail Amazon Athena no AWS blog
de segurança -
AWS Parceiros que fornecem serviços de detecção e resposta a ameaças
no portfólio de AWS parceiros
Evite o acesso não autorizado aos buckets do S3 que contêm arquivos de log CloudTrail
Por padrão, os arquivos de CloudTrail log são armazenados em buckets do Amazon S3. É uma prática recomendada de segurança impedir o acesso não autorizado a qualquer bucket do Amazon S3 que CloudTrail contenha arquivos de log. Isso ajuda a manter a integridade, a completude e a disponibilidade desses logs, o que é crucial para fins de auditoria e forenses. Se você quiser registrar eventos de dados para buckets do S3 que contêm arquivos de CloudTrail log, você pode criar uma CloudTrail trilha para essa finalidade.
Para saber mais, consulte os seguintes recursos:
-
Configurar o bloqueio de acesso público para seus buckets do S3 na documentação do Amazon S3
-
CloudTrail melhores práticas de segurança preventiva na documentação CloudTrail
-
Criando uma trilha na CloudTrail documentação
Configurar alertas para alterações nos grupos de segurança ou na rede ACLs
Um grupo de segurança na Amazon Virtual Private Cloud (Amazon VPC) controla o tráfego que tem permissão para acessar e sair dos recursos aos quais está associado. Uma lista de controle de acesso (ACL) de rede permite ou não especificar tráfego de entrada ou de saída no nível da sub-rede da VPC. Esses recursos são essenciais para gerenciar o acesso em seu AWS ambiente.
Crie e configure um CloudWatch alarme da Amazon que notifique você se uma configuração de grupo de segurança ou ACL de rede for alterada. Configure esse alarme para alertar você sempre que uma chamada de API da AWS for executada para atualizar grupos de segurança. Você também pode usar serviços, como Amazon EventBridge e AWS Config, para responder automaticamente a esses tipos de eventos de segurança.
Para saber mais, consulte os seguintes recursos:
-
Usando CloudWatch alarmes da Amazon na documentação CloudWatch
-
Implemente eventos de segurança acionáveis no AWS Well-Architected Framework
-
Automatize a resposta a eventos no AWS Well-Architected Framework
Configurar alertas para CloudWatch alarmes que entram no estado ALARME
Em CloudWatch, você pode especificar quais ações um alarme executa quando muda de estado entre os INSUFFICIENT_DATA estados OKALARM, e. O tipo de ação de alarme mais comum é notificar uma ou mais pessoas enviando uma mensagem a um tópico do Amazon Simple Notification Service (Amazon SNS). Você também pode configurar alarmes para criar OpsItemsou incidentes em. AWS Systems Manager
Recomendamos ativar as ações de alarme para alertar automaticamente quando uma métrica monitorada estiver fora do limite definido. Os alarmes de monitoramento ajudam você a identificar atividades incomuns e a responder rapidamente a problemas operacionais e de segurança.
Para saber mais, consulte os seguintes recursos:
-
Implemente eventos de segurança acionáveis no AWS Well-Architected Framework
-
Ações de alarme na CloudWatch documentação
