記錄和監控的安全控制建議

記錄和監控是威脅偵測的重要層面。威脅偵測是AWS 雲端採用架構 (AWS CAF) 中的安全透視功能之一。透過使用日誌資料，您的組織可以監控您的環境，以了解並識別潛在的安全錯誤組態、威脅和意外行為。了解潛在威脅可協助您的組織排定安全控制的優先順序，而有效的威脅偵測可協助您更快速地回應威脅。

在 CloudTrail 中設定至少一個多區域追蹤

AWS CloudTrail 可協助您稽核 的控管、合規和營運風險 AWS 帳戶。使用者、角色或 採取的動作 AWS 服務 會在 CloudTrail 中記錄為事件。事件包括 、 AWS Command Line Interface (AWS CLI) AWS Management Console、 和 AWS SDKs和 APIs中採取的動作。此事件歷史記錄可協助您分析安全狀態、追蹤資源變更和稽核合規。

若要持續記錄 中的事件 AWS 帳戶，您必須建立追蹤。每個線索都應設定為記錄所有事件 AWS 區域。透過在所有 中記錄事件 AWS 區域，您可以確保 AWS 帳戶 記錄在您 中發生的所有事件，無論 AWS 區域 它們發生在哪個 中。多區域追蹤可確保記錄全域服務事件。

如需詳細資訊，請參閱下列資源：

• CloudTrail 文件中的 CloudTrail 偵測安全最佳實務 CloudTrail

• 轉換套用至一個區域的追蹤，以套用至 CloudTrail 文件中的所有區域 CloudTrail

• 在 CloudTrail 文件中啟用和停用全域服務事件記錄

在服務和應用程式層級設定記錄

AWS Well-Architected Framework 建議您保留來自 服務和應用程式的安全事件日誌。這是稽核、調查和操作使用案例安全性的基本原則。服務和應用程式日誌保留是常見的安全要求，由控管、風險和合規 (GRC) 標準、政策和程序驅動。

安全營運團隊倚賴日誌和搜尋工具來探索可能表示未經授權的活動或意外變更的潛在關注事件。您可以根據使用案例啟用不同 服務的日誌記錄。例如，您可以記錄 Amazon S3 儲存貯體存取、 AWS WAF Web ACL 流量、網路層的 Amazon API Gateway 流量或 Amazon CloudFront 分佈。

如需詳細資訊，請參閱下列資源：

• 將 Amazon CloudWatch Logs 串流到 架構部落格中的集中式帳戶以進行稽核和分析 AWS

• 在 AWS Well-Architected Framework 中設定服務和應用程式記錄

建立用於分析日誌和回應安全事件的集中位置

手動分析日誌和處理資訊不足以跟上與複雜架構相關聯的資訊量。分析和報告本身無法協助及時將事件指派給正確的資源。 AWS Well-Architected Framework 建議您將 AWS 安全事件和調查結果整合到通知和工作流程系統中，例如票證、錯誤或安全資訊和事件管理 (SIEM) 系統。這些系統可協助您指派、路由和管理安全事件。

如需詳細資訊，請參閱下列資源：

• 在 AWS Well-Architected Framework 中集中分析日誌、調查結果和指標

• 安全部落格中的使用 CloudTrail 和 Amazon Athena 分析安全性、合規性和操作活動 AWS

• 在 AWS 合作夥伴產品組合中提供威脅偵測和回應服務的 AWS 合作夥伴

防止未經授權存取包含 CloudTrail 日誌檔案的 S3 儲存貯體

根據預設，CloudTrail 日誌檔案會存放在 Amazon S3 儲存貯體中。安全最佳實務是防止未經授權存取包含 CloudTrail 日誌檔案的任何 Amazon S3 儲存貯體。這可協助您維護這些日誌的完整性、完整性和可用性，這對於鑑識和稽核目的至關重要。如果您想要為包含 CloudTrail 日誌檔案的 S3 儲存貯體記錄資料事件，您可以為此建立 CloudTrail 追蹤。

如需詳細資訊，請參閱下列資源：

• 在 Amazon S3 文件中為您的 S3 儲存貯體設定封鎖公開存取設定 Amazon S3

• CloudTrail 文件中的 CloudTrail 預防性安全最佳實務

• 在 CloudTrail 文件中建立追蹤

設定安全群組或網路 ACLs 變更的提醒

Amazon Virtual Private Cloud (Amazon VPC) 中的安全群組會控制允許存取的流量，並保留與其相關聯的資源。網路存取控制清單 (ACL) 允許或拒絕 VPC 子網路層級的特定傳入或傳出流量。這些資源對於管理您 AWS 環境中的存取至關重要。

建立和設定 Amazon CloudWatch 警示，在安全群組或網路 ACL 組態變更時通知您。設定此警示，在每次執行 API 呼叫以更新安全群組時 AWS 提醒您。您也可以使用 服務，例如 Amazon EventBridge 和 AWS Config，自動回應這些類型的安全事件。

如需詳細資訊，請參閱下列資源：

• AWS 安全部落格中的自動還原和接收 Amazon VPC 安全群組變更的通知

• CloudWatch 文件中的使用 Amazon CloudWatch 警示 CloudWatch

• 在 AWS Well-Architected 架構中實作可採取動作的安全事件

• 自動回應 Well-Architected Framework 中的事件 AWS

為進入 ALARM 狀態的 CloudWatch 警示設定警示

在 CloudWatch 中，您可以指定警示在 OK、 ALARM和 INSUFFICIENT_DATA 狀態之間變更狀態時所採取的動作。最常見的警示動作類型是透過傳送訊息至 Amazon Simple Notification Service (Amazon SNS) 主題來通知一或多個人員。您也可以設定警示，在 中建立 OpsItems 或事件 AWS Systems Manager。

建議您啟用警示動作，以便在受監控指標超出定義的閾值時自動發出警示。監控警示可協助您識別異常活動，並快速回應安全性和操作問題。

如需詳細資訊，請參閱下列資源：

• 在 AWS Well-Architected 架構中實作可採取動作的安全事件

• CloudWatch 文件中的警示動作