Seleção e habilitação das fontes de log - Guia do usuário do AWS Security Incident Response

Seleção e habilitação das fontes de log

Antes de conduzir uma investigação de segurança, é essencial capturar previamente logs relevantes que permitam reconstruir de forma retroativa as atividades ocorridas em uma conta da AWS. Selecione e habilite as fontes de log relevantes às workloads da conta da AWS.

O AWS CloudTrail consiste em um serviço de registro em log que rastreia as chamadas de API realizadas em uma conta da AWS, capturando a atividade dos serviços da AWS. Este serviço é habilitado por padrão, com retenção de 90 dias para eventos de gerenciamento, os quais podem ser recuperados por meio do recurso Event History do CloudTrail, usando o AWS Management Console, a AWS CLI ou um AWS SDK. Para obter uma retenção prolongada e uma visibilidade dos eventos de dados, é necessário criar uma trilha do CloudTrail associada a um bucket do Amazon S3 e, opcionalmente, a um grupo de logs do CloudWatch. Como alternativa, é possível criar um CloudTrail Lake, que armazena os logs do CloudTrail por até sete anos e oferece uma interface de consulta baseada em SQL.

A AWS recomenda que os clientes que usam uma VPC habilitem os logs de tráfego de rede e de DNS, utilizando, respectivamente, os logs de fluxo da VPC e os logs de consulta do Amazon Route 53 Resolver, transmitindo-os para um bucket do Amazon S3 ou para um grupo de logs do CloudWatch. É possível criar um log de fluxo da VPC para uma VPC, uma sub-rede ou uma interface de rede. No caso dos logs de fluxo da VPC, é possível definir de forma seletiva a maneira e o local em que os logs de fluxo serão habilitados, com o objetivo de reduzir custos.

Os logs do AWS CloudTrail, os logs de fluxo da VPC e os logs de consulta do Route 53 Resolver constituem a tríade básica de registro em log para o fornecimento de suporte a investigações de segurança na AWS.

Os serviços da AWS podem gerar logs que não são capturados pela tríade básica de registro em log, como os logs do Elastic Load Balancing, os logs do AWS WAF, os logs do gravador do AWS Config, as descobertas do Amazon GuardDuty, os logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS) e os logs do sistema operacional e de aplicações da instância do Amazon EC2. Consulte o Apêndice A: definições das funcionalidades da nuvem para obter a lista completa de opções de registro em log e de monitoramento.