Seleção e implementação de mecanismos de consulta para logs

Na AWS, os principais serviços que você pode usar para consultar logs são o CloudWatch Logs Insights, para dados armazenados em grupos de logs do CloudWatch, e o Amazon Athena e o Amazon OpenSearch Service, para dados armazenados no Amazon S3. Além disso, é possível usar ferramentas de consulta de entidades externas, como sistemas de gerenciamento de informações e de eventos de segurança (SIEM, na sigla em inglês).

O processo para selecionar uma ferramenta de consulta de log deve considerar as pessoas, o processo e os aspectos de tecnologia de suas operações de segurança. Selecione uma ferramenta que cumpra os requisitos operacionais, empresariais e de segurança, garantindo também acessibilidade e facilidade de manutenção no longo prazo. Lembre-se de que as ferramentas de consulta de logs funcionam da forma ideal quando o número de logs a serem verificados é mantido dentro dos limites da ferramenta. Não é incomum que os clientes tenham diversas ferramentas de consulta em função de limitações técnicas ou orçamentárias. Por exemplo, os clientes podem usar um SIEM proveniente de uma entidade externa para consultar dados dos últimos 90 dias e usar o Athena para consultas além desse período de 90 dias, devido ao custo de ingestão de logs em um SIEM. Independentemente da implementação, verifique se a sua abordagem minimiza o número de ferramentas necessárias, a fim de maximizar a eficiência operacional, especialmente durante as investigações de um evento de segurança.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Identificação da retenção de log apropriada

Uso de logs para geração de alertas