SEC04-BP02 Capture registros, descobertas e métricas em locais padronizados

As equipes de segurança confiam em logs e descobertas para analisar eventos que podem indicar atividades não autorizadas ou alterações não intencionais. Para agilizar essa análise, capture logs e descobertas de segurança em locais padronizados.  Fazer isso disponibiliza pontos de dados de interesse para correlação e pode simplificar a integração de ferramentas.

Resultado desejado: você tem uma abordagem padronizada para coletar, analisar e visualizar dados de log, descobertas e métricas. As equipes de segurança podem correlacionar, analisar e visualizar com eficiência os dados de segurança em sistemas diferentes para descobrir possíveis eventos de segurança e identificar anomalias. Os sistemas de gerenciamento de informações e eventos de segurança (SIEM) ou outros mecanismos são integrados para consultar e analisar dados de log para respostas oportunas, rastreamento e escalonamento de eventos de segurança.

Práticas comuns que devem ser evitadas:

• As equipes são proprietárias e gerenciam de forma independente o registro em log e a coleta de métricas que são inconsistentes com a estratégia de registro em log da organização.

• As equipes não têm controles de acesso adequados para restringir a visibilidade e a alteração dos dados coletados.

• As equipes não controlam logs, descobertas e métricas de segurança como parte da política de classificação de dados.

• As equipes negligenciam os requisitos de soberania e localização dos dados ao configurar as coletas de dados.

Benefícios de implementar esta prática recomendada: uma solução de registro em log padronizada para coletar e consultar dados e eventos de registro melhora os insights derivados das informações neles contidas. Configurar um ciclo de vida automatizado para os dados de log coletados pode reduzir os custos incorridos pelo armazenamento de logs. É possível criar um controle de acesso refinado para as informações de log coletadas de acordo com a confidencialidade dos dados e os padrões de acesso necessários para as equipes. Você pode integrar ferramentas para correlacionar, visualizar e obter insights dos dados.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

O crescimento do AWS uso dentro de uma organização resulta em um número crescente de cargas de trabalho e ambientes distribuídos. Como cada um desses ambientes e workloads gera dados sobre as atividades dentro deles, capturar e armazenar esses dados localmente representa um desafio para as operações de segurança. As equipes de segurança usam ferramentas como sistemas de gerenciamento de eventos e informações de segurança (SIEM) para coletar dados de fontes distribuídas e passar por fluxos de trabalho de correlação, análise e resposta. Isso requer o gerenciamento de um conjunto complexo de permissões para acessar as várias fontes de dados e a sobrecarga adicional na operação dos processos de extração, transformação e carregamento (ETL).

Para superar esses desafios, considere agregar todas as fontes relevantes de dados de log de segurança em uma conta de arquivamento de registros, conforme descrito em Organizando seu AWS ambiente usando várias contas. Isso inclui todos os dados relacionados à segurança da sua workload e dos logs gerados pelos serviços da AWS , como AWS CloudTrail, AWS WAF, Elastic Load Balancing e Amazon Route 53. Há vários benefícios em capturar esses dados em locais padronizados, separados, Conta da AWS com as devidas permissões entre contas. Essa prática ajuda a evitar a violação de logs em workloads e ambientes comprometidos, fornece um único ponto de integração para ferramentas adicionais e oferece um modelo mais simplificado para configurar a retenção de dados e o ciclo de vida.  Avalie os impactos da soberania de dados, dos escopos de conformidade e de outras regulamentações para determinar se vários locais de armazenamento de dados de segurança e períodos de retenção são necessários.

Para facilitar a captura e padronização de logs e descobertas, avalie o Amazon Security Lake em sua conta de arquivamento de logs. Você pode configurar o Security Lake para ingerir automaticamente dados de fontes comuns CloudTrail, como Route 53EKS, Amazon e VPCFlow Logs. Você também pode configurar AWS Security Hub como fonte de dados no Security Lake, permitindo que você correlacione descobertas de outros AWS serviços, como Amazon GuardDuty e Amazon Inspector, com seus dados de log.  Você também pode usar integrações de fontes de dados de terceiros ou configurar fontes de dados personalizadas. Todas as integrações padronizam seus dados no formato Open Cybersecurity Schema Framework (OCSF) e são armazenadas em buckets do Amazon S3 como arquivos Parquet, eliminando a necessidade de processamento. ETL

O armazenamento de dados de segurança em locais padronizados fornece recursos avançados de análise.AWS recomenda que você implante ferramentas para análise de segurança que operem em um AWS ambiente em uma conta do Security Tooling separada da sua conta do Log Archive.  Essa abordagem permite implantar controles detalhados para proteger a integridade e a disponibilidade dos logs e do processo de gerenciamento de logs, diferentemente das ferramentas que os acessam.  Considere usar serviços, como o Amazon Athena, para executar consultas sob demanda que correlacionam várias fontes de dados. Você também pode integrar ferramentas de visualização, como a Amazon QuickSight. As soluções baseadas em IA estão se tornando cada vez mais disponíveis e podem desempenhar funções como traduzir descobertas em resumos legíveis por humanos e interação em linguagem natural.  Essas soluções geralmente são mais fáceis de integrar por terem um local de armazenamento de dados padronizado para consulta.

Etapas de implementação

1. Crie as contas do Log Archive e do Security Tooling

   1. Usando AWS Organizations, crie as contas Log Archive e Security Tooling em uma unidade organizacional de segurança. Se você estiver usando AWS Control Tower para gerenciar sua organização, as contas Log Archive e Security Tooling são criadas automaticamente para você. Configure perfis e permissões para acessar e administrar essas contas conforme necessário.

2. Configure seus locais de dados de segurança padronizados

   1. Determine sua estratégia para criar locais de dados de segurança padronizados.  Você pode conseguir isso por meio de opções como abordagens comuns de arquitetura de data lake, produtos de dados de terceiros ou Amazon Security Lake.AWS recomenda que você capture dados de segurança Regiões da AWS que estão cadastrados em suas contas, mesmo quando não estão em uso ativo.

3. Configurar a publicação da fonte de dados em seus locais padronizados

   1. Identifique as fontes de seus dados de segurança e configure-as para publicação em seus locais padronizados. Avalie as opções para exportar dados automaticamente no formato desejado, em vez daquelas em que ETL os processos precisam ser desenvolvidos. Com o Amazon Security Lake, você pode coletar dados de AWS fontes compatíveis e sistemas integrados de terceiros.

4. Configurar ferramentas para acessar seus locais padronizados

   1. Configure ferramentas como Amazon Athena QuickSight, Amazon ou soluções de terceiros para ter o acesso necessário aos seus locais padronizados.  Configure essas ferramentas para operar fora da conta de ferramentas de segurança com acesso de leitura entre contas à conta de arquivo de logs quando aplicável. Crie assinantes no Amazon Security Lake para fornecer a essas ferramentas acesso aos seus dados.

Recursos

Práticas recomendadas relacionadas:

• SEC01-BP01 Cargas de trabalho separadas usando contas

• SEC07-BP04 Defina o gerenciamento do ciclo de vida dos dados

• SEC08-BP04 Reforce o controle de acesso

• OPS08-BP02 Analisar registros de carga de trabalho

Documentos relacionados:

• AWS Documentos técnicos: Organizando seu AWS ambiente usando várias contas

• AWS Orientação prescritiva: Arquitetura AWS de referência de segurança ()AWS SRA

• Recomendações da AWS : Guia de log e monitoramento para proprietários de aplicações

Exemplos relacionados:

• Agregando, pesquisando e visualizando dados de log de fontes distribuídas com o Amazon Athena e a Amazon QuickSight

• Como visualizar as descobertas do Amazon Security Lake com a Amazon QuickSight

• Gere insights baseados em IA para o Amazon Security Lake usando o Amazon SageMaker Studio e o Amazon Bedrock

• Identifique anomalias de segurança cibernética em seus dados do Amazon Security Lake usando a Amazon SageMaker

• Ingira, transforme e entregue eventos publicados pelo Amazon Security Lake para o Amazon Service OpenSearch

• Como usar AWS Security Hub o Amazon OpenSearch Service para SIEM

Ferramentas relacionadas:

• Amazon Security Lake

• Integrações de parceiros do Amazon Security Lake

• Estrutura aberta do esquema de cibersegurança () OCSF

• Amazon Athena

• Amazon QuickSight

• Amazon Bedrock