关于记录和监控的安全控制建议

日志和监控是威胁检测的重要方面。威胁检测是AWS 云采用框架 (AWS CAF) 中的安全视角功能之一。通过使用日志数据，您的组织可以监控您的环境，以了解和识别潜在的安全错误配置、威胁和意外行为。了解潜在威胁可以帮助您的组织确定安全控制的优先级，而有效的威胁检测可以帮助您更快地应对威胁。

在中配置至少一条多区域跟踪 CloudTrail

AWS CloudTrail帮助您审计您的治理、合规和运营风险 AWS 账户。用户、角色或执行的操作将作为事件记录 AWS 服务 在中 CloudTrail。事件包括在 AWS Management Console、 AWS Command Line Interface (AWS CLI) AWS SDKs 和中采取的操作 APIs。此事件历史记录可帮助您分析安全状况、跟踪资源变化和审计合规性。

要持续记录您的事件 AWS 账户，必须创建跟踪。应将每个跟踪配置为全部记录事件 AWS 区域。通过全部记录事件 AWS 区域，可以确保记录发生在您的中的所有事件，无论 AWS 账户 这些事件发生在哪个 AWS 区域 事件中。多区域跟踪可确保记录全球服务事件。

有关更多信息，请参阅以下资源：

• CloudTrail CloudTrail文档中的@@ 侦探安全最佳实践

• 将@@ 应用于一个区域的跟踪转换为应用于 CloudTrail 文档中的所有区域

• 在 CloudTrail文档中@@ 启用和禁用全局服务事件记录

在服务和应用程序级别配置日志记录

Well AWS -Architected Framework 建议您保留来自服务和应用程序的安全事件日志。这是审计、调查和操作用例的基本安全原则。服务和应用程序日志保留是一项常见的安全要求，由治理、风险和合规 (GRC) 标准、策略和程序驱动。

安全运营团队依靠日志和搜索工具来发现可能表明未经授权的活动或无意更改的潜在感兴趣事件。根据用例，您可以为不同的服务启用日志记录。例如，您可以记录 Amazon S3 存储桶访问权限、 AWS WAF Web ACL 流量、网络层的 Amazon API Gateway 流量或亚马逊 CloudFront 分配。

有关更多信息，请参阅以下资源：

• 在 AWS 架构博客中@@ 将 Amazon CloudWatch 日志流式传输到中央账户进行审计和分析

• 在 Well-Ar@@ chitecte AWS d Framework 中配置服务和应用程序日志

建立一个用于分析日志和响应安全事件的集中位置

手动分析日志和处理信息不足以跟上与复杂架构相关的信息量。仅靠分析和报告并不能便于及时将事件分配给正确的资源。Wel AWS l-Architected Framework 建议您将安全事件和发现 AWS 集成到通知和工作流程系统中，例如票务、错误或安全信息和事件管理 (SIEM) 系统。这些系统可帮助您分配、路由和管理安全事件。

有关更多信息，请参阅以下资源：

• 在 Well-Ar@@ chitecte AWS d Framework 中集中分析日志、发现和指标

• 在@@ 安全博客中使用和 Amazon Athena 分析安全、合规 CloudTrail 和运营活动 AWS

• AWS 在合作伙伴组合中提供威胁检测和响应服务的 AWS 合作伙伴

防止未经授权访问包含 CloudTrail 日志文件的 S3 存储桶

默认情况下， CloudTrail 日志文件存储在 Amazon S3 存储桶中。这是一种最佳安全实践，可以防止未经授权访问任何包含 CloudTrail 日志文件的 Amazon S3 存储桶。这可以帮助您维护这些日志的完整性、完整性和可用性，这对于取证和审计目的至关重要。如果您想记录包含 CloudTrail 日志文件的 S3 存储桶的数据事件，可以为此目的创建 CloudTrail 跟踪。

有关更多信息，请参阅以下资源：

• 在 Amazon S3 文档中@@ 为您的 S3 存储桶配置阻止公开访问设置

• CloudTrail 文档中的@@ 预防性安全最佳实 CloudTrail践

• 在 CloudTrail 文档中@@ 创建跟踪

配置安全组或网络变更警报 ACLs

Amazon Virtual Private Cloud（Amazon VPC）中的安全组控制允许访问和离开与其关联的资源的流量。网络访问控制列表 (ACL) 允许或拒绝 VPC 子网级别的特定入站或出站流量。这些资源对于管理 AWS 环境中的访问权限至关重要。

创建并配置 Amazon CloudWatch 警报，以便在安全组或网络 ACL 配置发生变化时通知您。将此警报配置为在每次执行 AWS API 调用以更新安全组时提醒您。您还可以使用诸如 Amazon EventBridge 和AWS Config之类的服务来自动响应这些类型的安全事件。

有关更多信息，请参阅以下资源：

• 在安全博客中@@ 自动恢复并接收有关您的 Amazon VPC 安全组变更的 AWS 通知

• 在 CloudWatch 文档中@@ 使用 Amazon CloudWatch 警报

• 在 Well-Ar AWS chitec@@ ted Framework 中实施可操作的安全事件

• 自动响应 Well-Architected Fram AWS ework 中的事件

为进入警报状态的 CloudWatch 警报配置警报

在中 CloudWatch，您可以指定警报在OKALARM、和INSUFFICIENT_DATA状态之间更改状态时会采取哪些操作。最常见的警报操作类型是通过向亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题发送消息来通知一个或多个人。您还可以配置要创建的警报OpsItems或事件 AWS Systems Manager。

我们建议您激活警报操作，以便在监控的指标超出定义的阈值时自动发出警报。监控警报可帮助您识别异常活动并快速响应安全和操作问题。

有关更多信息，请参阅以下资源：

• 在 Well-Ar AWS chitec@@ ted Framework 中实施可操作的安全事件

• CloudWatch 文档中的@@ 警报操作