選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

記錄和監控的安全控制建議 - AWS 規範指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

記錄和監控的安全控制建議

記錄和監控是威脅偵測的重要層面。威脅偵測是AWS 雲端採用架構 (AWS CAF) 中的安全性觀點功能之一。透過使用記錄資料,您的組織可以監控您的環境,以瞭解並識別潛在的安全性錯誤設定、威脅和未預期的行為。瞭解潛在威脅可協助您的組織排定安全性控制的優先順序,而有效的威脅偵測可協助您更快速地回應威脅。

至少在中設定一個多區域追蹤 CloudTrail

AWS CloudTrail可協助您稽核您的 AWS 帳戶. 使用者、角色或使用者所執行的動作 AWS 服務 會記錄為中的事件 CloudTrail。事件包括在 AWS Management Console、 AWS Command Line Interface (AWS CLI) 和 AWS SDK 和 API 中採取的動作。此事件歷程記錄可協助您分析安全狀況、追蹤資源變更,以及稽核合規性。

若要在您的中持續記錄事件 AWS 帳戶,您必須建立追蹤。應將每個追蹤設定為全部記錄事件 AWS 區域。通過記錄 all 事件 AWS 區域,您可以確保記錄發生在您 AWS 帳戶 的所有事件,無論事件發生 AWS 區域 在哪一個事件。多區域追蹤可確保記錄全域服務事件

如需詳細資訊,請參閱下列資源:

在服務和應用程式層級設定記錄

AWS Well-Architected 的架構建議您保留來自服務和應用程式的安全性事件記錄。這是稽核、調查和操作使用案例的安全性基本原則。服務和應用程式記錄檔保留是一項常見的安全性需求,受到控管、風險與法規遵循 (GRC) 標準、原則和程序所驅動。

安全性作業團隊依賴記錄和搜尋工具來探索可能表示未經授權活動或意外變更的潛在感興趣事件。您可以根據使用案例啟用不同服務的記錄功能。例如,您可以記錄 Amazon S3 儲存貯體存取、 AWS WAF Web ACL 流量、網路層上的 Amazon API Gateway 流量或 Amazon CloudFront 分發。

如需詳細資訊,請參閱下列資源:

建立集中式位置以分析記錄及回應安全事件

手動分析記錄和處理資訊不足以跟上與複雜架構相關的資訊量。單獨進行分析和報告並不能及時將事件指派給正確的資源。 AWS Well-Architected 的架構建議您將 AWS 安全事件和發現項目整合到通知和工作流程系統中,例如工單、錯誤或安全性資訊和事件管理 (SIEM) 系統。這些系統可協助您指派、路由和管理安全性事件。

如需詳細資訊,請參閱下列資源:

防止未經授權存取包含 CloudTrail 日誌檔的 S3 儲存貯體

根據預設, CloudTrail 日誌檔案會存放在 Amazon S3 儲存貯體中。防止未經授權存取包含 CloudTrail 日誌檔的任何 Amazon S3 儲存貯體,這是一項安全最佳實務。這可協助您維護這些記錄檔的完整性、完整性和可用性,這對於鑑識和稽核而言至關重要。如果您想要記錄包含日 CloudTrail 誌檔的 S3 儲存貯體的資料事件,您可以為此建立 CloudTrail 追蹤。

如需詳細資訊,請參閱下列資源:

設定安全性群組或網路 ACL 變更的警示

Amazon 虛擬私有雲 (Amazon VPC) 中的安全群組可控制允許到達和離開與其相關聯資源的流量。網路存取控制清單 (ACL) 允許或拒絕 VPC 子網路層級的特定輸入或輸出流量。這些資源對於管理 AWS 環境中的存取至關重要。

建立並設定 Amazon CloudWatch 警示,在安全群組或網路 ACL 組態變更時通知您。設定此警示,以便在每次執行 AWS API 呼叫以更新安全群組時發出警示。您也可以使用 Amazon EventBridgeAWS Config等服務來自動回應這些類型的安全事件。

如需詳細資訊,請參閱下列資源:

針對進入警示狀態的 CloudWatch 警示設定警示

在中 CloudWatch,您可以指定警示在、和INSUFFICIENT_DATA狀態之間變更狀態時所OK採取的動作。ALARM最常見的警示動作類型是將訊息傳送至 Amazon 簡單通知服務 (Amazon SNS) 主題來通知一個或多個人。您也可以在中設定要建立OpsItems事件的警示 AWS Systems Manager。

建議您啟動警示動作,以在受監控的測量結果超出定義的臨界值時自動發出警示。監控警報可協助您識別異常活動,並快速回應安全性和操作問題。

如需詳細資訊,請參閱下列資源:

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。