使用记录 AWS Shield 网络安全控制器 API 调用 AWS CloudTrail - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、和 AWS Shield 网络安全总监
网络安全控制器中的信息 CloudTrail网络安全控制器 API 操作记录者 CloudTrail了解网络安全控制器日志文件条目使用 Amazon 监控 CloudTrail 日志 CloudWatch CloudTrail 使用网络安全主管的最佳实践

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用记录 AWS Shield 网络安全控制器 API 调用 AWS CloudTrail

AWS Shield 网络安全控制器与集成 AWS CloudTrail ,可将所有 API 调用记录为事件。这种集成可以捕获从网络安全控制器控制台发出的呼叫、对网络安全控制器的编程调用以及来自其他 AWS 服务的呼叫。 APIs

使用 CloudTrail,您可以在事件历史记录中查看最近发生的事件,或者创建跟踪以将持续的日志传送到 Amazon 简单存储服务存储桶。这些日志提供有关每个请求的详细信息,包括调用者的身份、时间、请求参数和响应。

要了解更多信息 CloudTrail,请参阅AWS CloudTrail 用户指南

网络安全控制器中的信息 CloudTrail

CloudTrail 将在您的 AWS 账户上自动启用。当网络安全控制器中发生活动时,会将其记录为事件 CloudTrail。要持续记录事件,请创建一个将日志文件传送到 Amazon S3 存储桶的跟踪。

有关创建和管理跟踪的更多信息,请参阅:

网络安全控制器 API 操作记录者 CloudTrail

所有网络安全控制器 API 操作均由 API 参考记录 CloudTrail 并记录在《API 参考》中。包括以下操作:

  • StartNetworkSecurityScan: 启动网络安全扫描

  • GetNetworkSecurityScan: 检索有关网络安全扫描的信息

  • ListResources: 列出服务中可用的资源

  • GetResource:检索有关特定资源的详细信息

  • ListFindings: 列出安全调查结果

  • GetFinding: 检索有关特定发现的详细信息

  • UpdateFinding:更新查找结果的状态或其他属性

  • ListRemediations: 列出调查结果的补救建议

  • ListInsights: 根据调查结果和资源列出见解

了解网络安全控制器日志文件条目

CloudTrail 日志条目包含有关谁发出了请求、何时发出请求以及使用了哪些参数的信息。以下是 StartNetworkSecurityScan 操作的示例:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:02:58Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "StartNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "RESCANNING",
            "startTime": "2023-11-28T22:02:58Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

以下是一个 GetNetworkSecurityScan 动作示例:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:03:15Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "GetNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "COMPLETE",
            "startTime": "2023-11-28T22:02:58Z",
            "completionTime": "2023-11-28T22:03:15Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

使用 Amazon 监控 CloudTrail 日志 CloudWatch

您可以使用 Amazon CloudWatch 监控 CloudTrail 日志中的特定 API 活动并发出警报。这可以帮助您检测未经授权的访问尝试、配置更改或异常活动模式。

要设置 CloudWatch 监控,请执行以下操作:

  1. 配置您的 CloudTrail 跟踪以将日志发送到 CloudWatch 日志

  2. 创建指标筛选器以从日志事件中提取特定信息

  3. 根据这些指标创建警报

有关详细说明,请参阅使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件

CloudTrail 使用网络安全主管的最佳实践

通过以下方式最大限度地提高安全性和可 CloudTrail审计性:

  • CloudTrail 在所有地区启用以实现全面覆盖

  • 启用日志文件完整性验证以检测未经授权的修改

  • 使用 IAM 按照最低权限原则控制对 CloudTrail 日志的访问权限

  • 使用@@ 警报为关键事件设置 CloudWatch 警报

  • 定期查看 CloudTrail 日志以识别异常活动