Registro em log e eventos - Guia do usuário do AWS Security Incident Response

Registro em log e eventos

AWS CloudTrail: serviço da AWS CloudTrail que possibilita a governança, a conformidade, a auditoria operacional e a auditoria de riscos em contas da AWS. Com o CloudTrail, é possível registrar em log, monitorar continuamente e reter a atividade da conta relacionada a ações executadas nos serviços da AWS. O CloudTrail fornece um histórico de eventos da atividade da sua conta da AWS, incluindo ações realizadas por meio do AWS Management Console, dos AWS SDKs, das ferramentas de linha de comando e de outros serviços da AWS. Esse histórico de eventos facilita a análise de segurança, o rastreamento de alterações em recursos e a solução de problemas. O CloudTrail registra dois tipos diferentes de ações da API da AWS:

  • Os eventos de gerenciamento do CloudTrail (também conhecidos como operações do ambiente de gerenciamento) mostram as operações de gerenciamento realizadas em recursos da sua conta da AWS. Isso inclui ações como a criação de um bucket do Amazon S3 e a configuração de registros de log.

  • Os eventos de dados do CloudTrail (também conhecidos como operações do plano de dados) mostram as operações realizadas sobre ou dentro de um recurso na sua conta da AWS. Essas operações geralmente são atividades de alto volume. Isso inclui ações como a atividade de API em nível de objeto no Amazon S3 (por exemplo, as operações de API GetObject, DeleteObject e PutObject) e a atividade de invocação de função do Lambda.

AWS Config: serviço da AWS Config que possibilita aos clientes realizar avaliações, auditorias e monitoramento das configurações dos recursos em sua conta da AWS. O AWS Config monitora e registra continuamente as configurações dos seus recursos da AWS, permitindo automatizar a avaliação das configurações registradas em relação às configurações desejadas. Com o AWS Config, os clientes podem analisar alterações nas configurações e nas relações entre os recursos da AWS, de forma manual ou automática, acessar um histórico detalhado das configurações dos recursos e determinar a conformidade geral em relação às configurações especificadas nas diretrizes do cliente. Isso possibilita a simplificação da auditoria de conformidade, da análise de segurança, do gerenciamento de alterações e da solução de problemas operacionais.

Amazon EventBridge: o Amazon EventBridge fornece uma transmissão quase em tempo real dos eventos do sistema que descrevem as alterações nos recursos da AWS ou quando chamadas de API são registradas pelo AWS CloudTrail. Com regras simples que você pode configurar rapidamente, é possível corresponder eventos e roteá-los para um ou mais streams ou funções de destino. O EventBridge se torna ciente das alterações operacionais no momento em que elas ocorrem. O EventBridge é capaz de responder a essas alterações operacionais e executar ações corretivas quando necessário, por meio do envio de mensagens para interagir com o ambiente, ativação de funções, execução de modificações e captura de informações de estado. Alguns serviços de segurança, como o Amazon GuardDuty, geram suas saídas na forma de eventos do EventBridge. Diversos serviços de segurança também disponibilizam a opção de encaminhar suas saídas para o Amazon S3.

Logs de acesso do Amazon S3: se houver informações sensíveis armazenadas em um bucket do Amazon S3, os clientes podem habilitar os logs de acesso do Amazon S3 para acompanhar todas as operações de upload, download e alteração desses dados. Este log é distinto e adicional aos logs do CloudTrail, que registram alterações no próprio bucket, como modificações nas políticas de acesso e nas políticas de ciclo de vida. Vale destacar que os registros de logs de acesso são fornecidos na base do melhor esforço. A maioria das solicitações para um bucket configurado corretamente para registro em log tem como resultado um registro do log entregue. A integralidade e a pontualidade do registro em log do servidor não são garantidas.

Amazon CloudWatch Logs: os clientes podem usar o Amazon CloudWatch Logs para monitorar, armazenar e acessar arquivos de log provenientes de sistemas operacionais, aplicações e outras fontes em execução em instâncias do Amazon EC2 com um agente do CloudWatch Logs instalado. O CloudWatch Logs pode servir como destino para logs do AWS CloudTrail, consultas ao DNS do Route 53, logs de fluxo da VPC, funções do Lambda e outros. Posteriormente, os clientes podem recuperar os dados de log associados diretamente do CloudWatch Logs.

Logs de fluxo da Amazon VPC: os logs de fluxo da VPC habilitam os clientes a capturar informações relativas ao tráfego IP direcionado para e proveniente das interfaces de rede nas VPCs. Após a habilitação dos logs de fluxo, eles podem ser transmitidos para o Amazon CloudWatch Logs e para o Amazon S3. Os logs de fluxo da VPC auxiliam os clientes em diversas tarefas, como solucionar o motivo pelo qual um tráfego específico não está alcançando uma instância, identificar regras excessivamente restritivas em um grupo de segurança e utilizá-lo como ferramenta de segurança para monitorar o tráfego destinado às instâncias do EC2. Use a versão mais recente dos logs de fluxo da VPC para obter os campos mais completos e robustos.

Logs do AWS WAF: o AWS WAF fornece suporte ao registro em log completo de todas as solicitações web inspecionadas pelo serviço. Os clientes podem armazenar esses registros em log no Amazon S3 para atender a requisitos de conformidade e de auditoria, além de auxiliar na depuração e nas análises forenses. Esses logs ajudam os clientes a determinar a causa-raiz das regras acionadas e das solicitações web bloqueadas. É possível integrar esses logs a ferramentas de SIEM e análise de logs de fornecedores externos.

Logs de consulta do Route 53 Resolver: os logs de consulta do Route 53 Resolver permitem registrar todas as consultas ao DNS realizadas por recursos dentro da Amazon Virtual Private Cloud (Amazon VPC). Independentemente de ser uma instância do Amazon EC2, uma função do AWS Lambda ou um contêiner, se estiver dentro da sua Amazon VPC e emitir uma consulta ao DNS, esse recurso realizará o registro em log, permitindo que você analise e compreenda de forma mais detalhada a operação das suas aplicações.

Outros logs da AWS: a AWS lança continuamente novos recursos e funcionalidades para clientes, incluindo funcionalidades aprimoradas de registro em log e de monitoramento. Para obter mais informações sobre os recursos disponíveis para cada serviço da AWS, consulte nossa documentação pública.