通过可观测性机制获得可见性

查看已发生的安全事件的能力与建立适当的安全控制措施同样重要。在 Well-Architect AWS ed Framework 的安全支柱中，检测最佳实践包括在标准位置配置服务和应用程序日志以及捕获日志、发现和指标。要实施这些最佳实践，您必须记录有助于识别事件的信息，然后将这些信息处理成可供人类使用的格式，最好是在集中位置。

本指南建议您使用亚马逊简单存储服务 (Amazon S3) 来集中管理日志数据。Amazon S3 支持两者的日志存储 AWS Network Firewall 和 Amazon Route 53 Resolver DNS 防火墙。然后，您可以使用AWS Security Hub和 Amazon Security Lak e 将亚马逊 GuardDuty 调查结果和其他安全发现集中到一个位置。

记录网络流量

本指南的 “自动化预防和侦查安全控制” 部分介绍了使用 AWS Network Firewall 和 Amazon Route 53 Resolver DNS 防火墙自动响应网络威胁情报 (CTI)。我们建议您为这两项服务配置日志记录。您可以创建侦探控件，用于监控日志数据，并在受限域或 IP 地址试图通过防火墙发送流量时提醒您。

配置这些资源时，请考虑您的个人日志记录要求。例如，Network Firewall 的日志记录仅适用于您转发到状态规则引擎的流量。我们建议您遵循零信任模型，并将所有流量转发到有状态规则引擎。但是，如果您想降低成本，则可以排除组织信任的流量。

Network Firewall 和 DNS 防火墙都支持登录到 Amazon S3。有关为这些服务设置日志记录的更多信息，请参阅记录来自的网络流量 AWS Network Firewall和配置 DNS 防火墙的日志记录。对于这两项服务，您都可以通过配置对 Amazon S3 存储桶的日志记录 AWS Management Console。

将安全调查结果集中在 AWS

AWS Security Hub全面了解您的安全状态， AWS 并帮助您根据安全行业标准和最佳实践评估您的 AWS 环境。Security Hub 可以生成与您的安全控制相关的调查结果。它还可以接收来自其他 AWS 服务机构（例如亚马逊）的调查结果 GuardDuty。您可以使用 Security Hub 来集中管理来自您 AWS 账户和支持的第三方产品的调查结果和数据。 AWS 服务有关集成的更多信息，请参阅 Security Hub 文档中的了解 Security Hub 中的集成。

Security Hub 还包括自动化功能，可帮助您对安全问题进行分类和修复。例如，当安全检查失败时，您可以使用自动化规则自动更新关键调查发现。您还可以使用与 Amazon 的集成 EventBridge 来启动对特定发现的自动响应。有关更多信息，请参阅 Sec urity Hub 文档中的自动修改 Security Hub 发现并对其采取行动。

如果您使用亚马逊 GuardDuty，我们建议您将其配置 GuardDuty 为将其发现结果发送到 Security Hub。随后，Security Hub 可以在对您的安全状况进行分析时使用这些调查发现。有关更多信息，请参阅 GuardDuty 文档 AWS Security Hub中的与集成。

对于 Network Firewall 和 Route 53 Resolver DNS Firewall，您可以根据正在记录的网络流量创建自定义发现。Amazon Athena 是一种交互式查询服务，可帮助您使用标准 SQL 直接在 Amazon S3 中分析数据。您可以在 Athena 中构建查询，用于扫描 Amazon S3 中的日志并提取相关数据。有关说明，请参阅 Athena 文档中的入门。然后，您可以使用 AWS Lambda 函数将相关日志数据转换为AWS 安全查找格式 (ASFF)，并将结果发送到 Security Hub。以下是 Lambda 函数示例，它将来自网络防火墙的日志数据转换为 Security Hub 的调查结果：

Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};

您在提取和向 Security Hub 发送信息时所遵循的模式取决于您的个人业务需求。如果您需要定期发送数据，则可以使用 EventBridge 来启动该过程。如果您想在添加信息时收到提醒，则可以使用亚马逊简单通知服务 (Amazon SNS) Simple SNS SERVICE。有许多方法可以采用这种架构，因此必须进行适当的规划，以满足您的业务需求。

将 AWS 安全数据与其他企业数据集成

Amazon Security Lake 可以自动从集成服务和第三方服务中收集与安全相关的日志 AWS 服务 和事件数据。它还可以通过可自定义的保留和复制设置帮助您管理数据的生命周期。Security Lake 会将摄取的数据转换为 Apache Parquet 格式和名为开放网络安全架构框架 (OCSF) 的标准开源架构。在 OCSF 的支持下，Security Lake 可以标准化 AWS 并合并来自各种企业安全数据源的安全数据。其他 AWS 服务 和第三方服务可以订阅存储在 Security Lake 中的数据，用于事件响应和安全数据分析。

您可以将 Security Lake 配置为接收来自 Security Hub 的调查结果。要激活此集成，您必须启用这两项服务，并将 Security Hub 添加为安全湖中的来源。完成这些步骤后，Security Hub 开始将所有的调查发现发送到 Security Lake。Security Lake 会自动标准化 Security Hub 的发现结果并将其转换为 OCSF。在 Security Lake 中，你可以添加一个或多个订阅者来使用 Security Hub 的调查发现。有关更多信息，请参阅 Security Lake 文档 AWS Security Hub中的与集成。

以下视频《re AWS : inForce 2024-网络威胁情报共享》 AWS讨论了如何使用 Security Hub 和 Security Lake 集成来共享 CTI。