透過可觀測性機制獲得可見性

檢視已發生之安全事件的功能與建立適當的安全控制同樣重要。在 AWS Well-Architected Framework 的安全支柱中，偵測最佳實務包括設定服務和應用程式記錄，以及在標準化位置擷取日誌、問題清單和指標。若要實作這些最佳實務，您必須記錄可協助您識別事件的資訊，然後以人類取用的格式處理該資訊，最好是在集中位置。

本指南建議您使用 Amazon Simple Storage Service (Amazon S3) 來集中日誌資料。Amazon S3 支援 AWS Network Firewall 和 Amazon Route 53 Resolver DNS 防火牆的日誌儲存。然後，您可以使用 AWS Security Hub和 Amazon Security Lake 將 Amazon GuardDuty 調查結果和其他安全調查結果集中到單一位置。

記錄網路流量

本指南的自動化預防性和偵測性安全控制章節說明使用 AWS Network Firewall 和 Amazon Route 53 Resolver DNS 防火牆來自動化對網路威脅情報 (CTI) 的回應。建議您為這兩種服務設定記錄。您可以建立偵測性控制項來監控日誌資料，並在受限制的網域或 IP 地址嘗試透過防火牆傳送流量時提醒您。

設定這些資源時，請考慮您的個別記錄需求。例如，網路防火牆的記錄僅適用於您轉送到具狀態規則引擎的流量。我們建議您遵循零信任模型，並將所有流量轉送至具狀態規則引擎。不過，如果您想要降低成本，您可以排除組織信任的流量。

Network Firewall 和 DNS Firewall 都支援記錄到 Amazon S3。如需設定這些服務記錄的詳細資訊，請參閱從 記錄網路流量 AWS Network Firewall和設定 DNS 防火牆記錄。對於這兩種服務，您可以透過 設定 Amazon S3 儲存貯體的記錄 AWS Management Console。

在 中集中化安全調查結果 AWS

AWS Security Hub 提供 中安全狀態的完整檢視， AWS 並協助您根據安全產業標準和最佳實務來評估您的 AWS 環境。Security Hub 可以產生與您的安全控制相關聯的問題清單。它也可以接收其他 的問題清單 AWS 服務，例如 Amazon GuardDuty。您可以使用 Security Hub 集中來自 的調查結果和資料 AWS 帳戶 AWS 服務，以及支援的第三方產品。如需整合的詳細資訊，請參閱 Security Hub 文件中的了解 Security Hub 中的整合。

Security Hub 也包含自動化功能，可協助您分類和修復安全問題。例如，您可以使用自動化規則，在安全檢查失敗時自動更新關鍵問題清單。您也可以使用與 Amazon EventBridge 的整合來啟動對特定調查結果的自動回應。如需詳細資訊，請參閱 Security Hub 文件中的自動修改 Security Hub 問題清單並對其採取行動。

如果您使用 Amazon GuardDuty，我們建議您設定 GuardDuty 將其調查結果傳送至 Security Hub。Security Hub 接著可將這些問題清單納入其安全狀態的分析中。如需詳細資訊，請參閱 GuardDuty 文件中的整合 與 AWS Security Hub 。

對於 Network Firewall 和 Route 53 Resolver DNS Firewall，您可以從您正在記錄的網路流量建立自訂問題清單。Amazon Athena 是一種互動式查詢服務，可協助您使用標準 SQL 直接分析 Amazon S3 中的資料。您可以在 Athena 中建構查詢，以掃描 Amazon S3 中的日誌並擷取相關資料。如需說明，請參閱 Athena 文件中的入門。然後，您可以使用 AWS Lambda 函數將相關日誌資料轉換為AWS 安全調查結果格式 (ASFF)，並將調查結果傳送至 Security Hub。以下是將日誌資料從 Network Firewall 轉換為 Security Hub 調查結果的範例 Lambda 函數：

Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};

您用於擷取資訊並將其傳送至 Security Hub 的模式取決於您的個人業務需求。如果您需要定期傳送資料，您可以使用 EventBridge 啟動程序。如果您想要在新增資訊時收到提醒，您可以使用 Amazon Simple Notification Service (Amazon SNS)。處理此架構的方法有很多，因此正確規劃以滿足您的業務需求非常重要。

將安全資料與其他企業資料整合 AWS

Amazon Security Lake 可以自動從整合和第三方服務收集與安全相關的日誌 AWS 服務 和事件資料。它還可協助您使用可自訂的保留和複寫設定來管理資料的生命週期。Security Lake 會將擷取的資料轉換為 Apache Parquet 格式，以及稱為開放式網路安全結構描述架構 (OCSF) 的標準開放原始碼結構描述。透過 OCSF 支援，Security Lake 會標準化和結合來自 AWS 和各種企業安全資料來源的安全資料。其他 AWS 服務 和第三方服務可以訂閱存放在 Security Lake 中的資料，以進行事件回應和安全資料分析。

您可以將 Security Lake 設定為從 Security Hub 接收問題清單。若要啟用此整合，您必須啟用這兩個服務，並在 Security Lake 中新增 Security Hub 做為來源。完成這些步驟後，Security Hub 會開始將所有調查結果傳送至 Security Lake。Security Lake 會自動標準化 Security Hub 調查結果並將其轉換為 OCSF。在 Security Lake 中，您可以新增一或多個訂閱者來取用 Security Hub 調查結果。如需詳細資訊，請參閱 Security Lake 文件中的整合 與 AWS Security Hub 。

以下 reAWS ：Inforce 2024 - 網路威脅情報分享 AWS會討論如何使用 Security Hub 和 Security Lake 整合來共用 CTI。