本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SEC04-BP02 在标准化位置捕获日志、发现结果和指标
安全团队依靠日志和调查发现来分析事件,找出可能表明出现了未经授权活动或意外更改的事件。为了简化这种分析过程,请将安全日志和调查发现收集到标准化位置。 这样就能将需要分析的数据点用于关联,并可以简化工具集成。
期望结果:您采用标准化的方法来收集、分析和可视化日志数据、调查发现和指标。安全团队可以高效地关联、分析和可视化不同系统的安全数据,以便发现潜在的安全事件并识别异常情况。集成了安全信息和事件管理 (SIEM) 系统或其他机制,用于查询和分析日志数据,以便及时响应、跟踪和上报安全事件。
常见反模式:
-
团队独立负责和管理日志记录及指标的收集,但是采取了与企业的日志记录策略不一致的方法。
-
团队没有采取足够的访问控制措施来限制所收集数据的可见性以及对数据的更改。
-
团队没有将其安全日志、调查发现和指标包括在数据分类策略中进行管理。
-
团队在配置数据收集时,忽略了数据主权和本地驻留要求。
建立此最佳实践的好处:采用标准化日志记录解决方案来收集和查询日志数据及事件,可以改善从所包含的信息中获得的见解。为收集的日志数据配置自动处理生命周期,可以降低日志存储产生的成本。您可以根据数据的敏感性和团队需要的访问模式,对收集的日志信息建立精细的访问控制。您可以集成工具,用于关联和可视化数据,以及从数据中发掘洞察。
在未建立这种最佳实践的情况下暴露的风险等级:中
实施指导
组织内部 AWS 使用量的增长会导致分布式工作负载和环境的数量不断增加。由于这些工作负载和环境都会生成有关其内部活动的数据,因此在本地收集和存储这些数据对安全运营带来了挑战。安全团队使用诸如安全信息和事件管理 (SIEM) 系统之类的工具从分布式来源收集数据,并进行关联、分析和响应工作流程。这需要管理一组复杂的访问各种数据源的权限,以及操作提取、转换和加载 (ETL) 过程的额外开销。
要克服这些挑战,请考虑将所有相关的安全日志数据源聚合到日志存档帐户中,如使用多个帐户组织 AWS 环境中所述。这包括您的工作负载的所有与安全相关的数据,以及各种 AWS
服务生成的日志,例如 AWS CloudTrail
为了简化日志和调查发现的收集和标准化工作,请评估在您的日志存档账户中是否适合使用 Amazon Security Lake。您可以将 Security Lake 配置为自动采集来自常见来源的数据 CloudTrail,例如 Route 53 EKS、Amazon
将安全数据存储在标准化位置可提供高级分析功能。AWS 建议您将 AWS 环境中运行的安全分析工具部署到与您的日志存档帐户分开的 Sec ur ity Tools 帐户中。 通过这种方法,您可以实施深入的控制措施,用来保护日志和日志管理流程的完整性和可用性,与访问这些日志的工具区分开。 考虑使用服务(例如 Amazon Athena
实施步骤
-
创建日志存档账户和安全工具账户
-
使用 AWS Organizations在安全组织单位下创建日志存档和安全工具帐户。如果您使用 AWS Control Tower 管理您的组织,则会自动为您创建日志存档和安全工具帐户。您可以根据需要,配置用于访问和管理这些账户的角色和权限。
-
-
配置标准化安全数据位置
-
确定创建标准化安全数据位置的策略。 您可以通过常见的数据湖架构方法、第三方数据产品或 Amazon Security La ke 等选项来实现这一目标。AWS 建议您从 AWS 区域 账户选择加入的安全数据中捕获安全数据,即使这些数据未在使用中。
-
-
将数据来源配置为发布到您的标准化位置
-
确定安全数据的来源,并将其配置为发布到您的标准化位置。 评估以所需格式自动导出数据的选项,而不是需要开发ETL流程的选项。 借助 Amazon Security Lake,您可以从支持的 AWS 来源和集成的第三方系统收集数据。
-
-
配置工具来访问您的标准化位置
-
配置诸如 Amazon Athena、A QuickSight mazon 或第三方解决方案之类的工具,使其能够访问您的标准化地点。 将这些工具配置为在安全工具账户之外运行,并在适用时,允许对日志存档账户的跨账户读取访问。在 Amazon Security Lake 上创建订阅用户,以便向这些工具提供对您数据的访问权限。
-
资源
相关最佳实践:
相关文档:
相关示例:
相关工具:
