Registro de chamadas API do AWS Security Hub com o AWS CloudTrail

O AWS Security Hub é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, uma função ou um serviço da AWS no Security Hub. O CloudTrail captura as chamadas de API para o Security Hub como eventos. As chamadas capturadas incluem as do console do Security Hub e as de código para as operações de API do Security Hub. Se você criar uma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon S3, incluindo eventos para o Security Hub. Se você não configurar uma trilha, ainda poderá visualizar os eventos mais recentes no console do CloudTrail em Event history (Histórico de eventos). Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o Security Hub, o endereço IP no qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.

Para saber mais sobre o CloudTrail, incluindo como configurá-lo e ativá-lo, consulte o AWS CloudTrail Guia do usuário do.

Informações do Security Hub no CloudTrail

O CloudTrail é habilitado em sua Conta da AWS quando ela é criada. Quando a atividade do evento compatível ocorre no Security Hub, ela é registrada em um evento do CloudTrail juntamente com outros eventos de serviços da AWS no Histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua conta . Para obter mais informações, consulte Viewing events with CloudTrail event history.

Para obter um registro contínuo de eventos em sua conta, incluindo eventos para o Security Hub, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões do AWS. A trilha registra eventos de todas as regiões na partição da AWS e entrega os arquivos de log no bucket do Amazon S3 que você especificou Além disso, é possível configurar outros serviços da AWS para analisar mais ainda e agir com base nos dados de eventos coletados nos logs do CloudTrail. Para mais informações, consulte:

• Visão geral da criação de uma trilha

• Serviços e integrações compatíveis com o CloudTrail

• Configuração notificações do Amazon SNS para o CloudTrail

• Como receber arquivos de log do CloudTrail de várias regiões e Como receber arquivos de log do CloudTrail de várias contas

O Security Hub é compatível com o log de todas as ações de API do Security Hub como eventos em logs do CloudTrail. Para visualizar uma lista de operações do Security Hub, consulte a Referência de API do Security Hub.

Quando uma atividade para as ações a seguir é registrada no CloudTrail, o valor de responseElements é definido como null. Isso garante que as informações confidenciais não sejam incluídas nos logs do CloudTrail.

• BatchImportFindings

• GetFindings

• GetInsights

• GetMembers

• UpdateFindings

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

• Se a solicitação foi feita com credenciais de usuário raiz ou do AWS Identity and Access Management (IAM)

• Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado

• Se a solicitação foi feita por outro serviço da AWS

Para obter mais informações, consulte Elemento de identidade do usuário do CloudTrail.

Exemplo: entradas de arquivo de log do Security Hub

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log a um bucket do Amazon S3 especificado. Os arquivos de log CloudTrail contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte, e inclui informações sobre a ação solicitada, data e hora da ação, parâmetros de solicitação e assim por diante. Os arquivos de log do CloudTrail não são um rastreamento de pilha ordenada de chamadas de API pública, portanto não são exibidos em uma ordem específica.

O exemplo a seguir mostra uma entrada de log CloudTrail que demonstra a CreateInsight ação. Neste exemplo, um insight chamado Test Insight será criado. O atributo ResourceId é especificado como o agregador Group by (Agrupar por) e nenhum filtro opcional para esse insight é especificado. Para obter mais informações sobre insights, consulte Insights no AWS Security Hub.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}