Registro em log de chamadas de API do Security Hub com o CloudTrail

O CSPM do AWS Security Hub é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, um perfil ou um serviço da AWS no CSPM do Security Hub. O CloudTrail captura as chamadas de API para o CSPM do Security Hub como eventos. As chamadas capturadas incluem as do console do CSPM do Security Hub e as de código para as operações de API do CSPM do Security Hub. Se você criar uma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon S3, incluindo eventos para o CSPM do Security Hub. Se você não configurar uma trilha, ainda poderá visualizar os eventos mais recentes no console do CloudTrail em Histórico de eventos. Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o CSPM do Security Hub, o endereço IP no qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.

Para saber mais sobre o CloudTrail, incluindo como configurá-lo e ativá-lo, consulte o AWS CloudTrail Guia do usuário do.

Informações do CSPM do Security Hub no CloudTrail

O CloudTrail é habilitado em sua Conta da AWS quando ela é criada. Quando a atividade do evento com suporte ocorre no CSPM do Security Hub, ela é registrada em um evento do CloudTrail juntamente com outros eventos de serviços da AWS no Histórico de eventos. É possível visualizar, pesquisar e baixar eventos recentes em sua conta. Para obter mais informações, consulte Viewing events with CloudTrail event history.

Para obter um registro contínuo de eventos em sua conta, incluindo eventos para o CSPM do Security Hub, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões do AWS. A trilha registra eventos de todas as regiões na partição da AWS e entrega os arquivos de log no bucket do Amazon S3 que você especificou Além disso, é possível configurar outros AWS serviços para melhor analisar e agir de acordo com dados coletados do evento nos logs CloudTrail. Para obter mais informações, consulte:

• Visão geral da criação de uma trilha

• Serviços e integrações compatíveis com o CloudTrail

• Configuração notificações do Amazon SNS para o CloudTrail

• Receber arquivos de log do CloudTrail de várias regiões e Receber arquivos de log do CloudTrail de várias contas

O CSPM do Security Hub oferece suporte ao registro em log de todas as ações de API do CSPM do Security Hub como eventos em logs do CloudTrail. Para visualizar uma lista de operações do CSPM do Security Hub, consulte a Referência de API do CSPM do Security Hub.

Quando uma atividade para as ações a seguir é registrada no CloudTrail, o valor de responseElements é definido como null. Isso garante que as informações confidenciais não sejam incluídas nos logs do CloudTrail.

• BatchImportFindings

• GetFindings

• GetInsights

• GetMembers

• UpdateFindings

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

• Se a solicitação foi feita com credenciais de usuário raiz ou do AWS Identity and Access Management (IAM)

• Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado

• Se a solicitação foi feita por outro serviço da AWS

Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

Exemplo: entradas de arquivo de log do CSPM do Security Hub

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log a um bucket Amazon S3 especificado. Os arquivos de log CloudTrail contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte, e inclui informações sobre a ação solicitada, data e hora da ação, parâmetros da solicitação e assim por diante. Os arquivos de log do CloudTrail não são um rastreamento de pilha ordenada de chamadas de API pública, portanto, não são exibidos em uma ordem específica.

O exemplo a seguir mostra uma entrada de log CloudTrail que demonstra a CreateInsight ação. Neste exemplo, um insight chamado Test Insight será criado. O atributo ResourceId é especificado como o agregador Group by (Agrupar por) e nenhum filtro opcional para esse insight é especificado. Para obter mais informações sobre insights, consulte Visualização de insights no CSPM do Security Hub.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}