本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
記錄和監控的安全控制建議
記錄和監控是威脅偵測的重要層面。威脅偵測是AWS 雲端採用架構 (AWS CAF)
此區段中的控制項:
至少在中設定一個多區域追蹤 CloudTrail
AWS CloudTrail可協助您稽核您的 AWS 帳戶. 使用者、角色或使用者所執行的動作 AWS 服務 會記錄為中的事件 CloudTrail。事件包括在 AWS Management Console、 AWS Command Line Interface (AWS CLI) 和 AWS SDK 和 API 中採取的動作。此事件歷程記錄可協助您分析安全狀況、追蹤資源變更,以及稽核合規性。
若要在您的中持續記錄事件 AWS 帳戶,您必須建立追蹤。應將每個追蹤設定為全部記錄事件 AWS 區域。通過記錄 all 事件 AWS 區域,您可以確保記錄發生在您 AWS 帳戶 的所有事件,無論事件發生 AWS 區域 在哪一個事件。多區域追蹤可確保記錄全域服務事件。
如需詳細資訊,請參閱下列資源:
在服務和應用程式層級設定記錄
AWS Well-Architected 的架構建議您保留來自服務和應用程式的安全性事件記錄。這是稽核、調查和操作使用案例的安全性基本原則。服務和應用程式記錄檔保留是一項常見的安全性需求,受到控管、風險與法規遵循 (GRC) 標準、原則和程序所驅動。
安全性作業團隊依賴記錄和搜尋工具來探索可能表示未經授權活動或意外變更的潛在感興趣事件。您可以根據使用案例啟用不同服務的記錄功能。例如,您可以記錄 Amazon S3 儲存貯體存取、 AWS WAF Web ACL 流量、網路層上的 Amazon API Gateway 流量或 Amazon CloudFront 分發。
如需詳細資訊,請參閱下列資源:
-
在 AWS 架構部落格中將 Amazon CloudWatch 日誌串流到集中式帳戶以進行稽核和分析
-
在 AWS Well-Architected 的架構中設定服務和應用程式記錄
建立集中式位置以分析記錄及回應安全事件
手動分析記錄和處理資訊不足以跟上與複雜架構相關的資訊量。單獨進行分析和報告並不能及時將事件指派給正確的資源。 AWS Well-Architected 的架構建議您將 AWS 安全事件和發現項目整合到通知和工作流程系統中,例如工單、錯誤或安全性資訊和事件管理 (SIEM) 系統。這些系統可協助您指派、路由和管理安全性事件。
如需詳細資訊,請參閱下列資源:
-
在 AWS Well-Architected 的架構中集中分析日誌、發現項目和指標
-
AWS 在合作夥伴組合中提供威脅偵測與回應服務
的合 AWS 作夥伴
防止未經授權存取包含 CloudTrail 日誌檔的 S3 儲存貯體
根據預設, CloudTrail 日誌檔案會存放在 Amazon S3 儲存貯體中。防止未經授權存取包含 CloudTrail 日誌檔的任何 Amazon S3 儲存貯體,這是一項安全最佳實務。這可協助您維護這些記錄檔的完整性、完整性和可用性,這對於鑑識和稽核而言至關重要。如果您想要記錄包含日 CloudTrail 誌檔的 S3 儲存貯體的資料事件,您可以為此建立 CloudTrail 追蹤。
如需詳細資訊,請參閱下列資源:
-
在 Amazon S3 文件中設定 S3 儲存貯體的區塊公開存取設定
-
在 CloudTrail 文件中建立追蹤
設定安全性群組或網路 ACL 變更的警示
Amazon 虛擬私有雲 (Amazon VPC) 中的安全群組可控制允許到達和離開與其相關聯資源的流量。網路存取控制清單 (ACL) 允許或拒絕 VPC 子網路層級的特定輸入或輸出流量。這些資源對於管理 AWS 環境中的存取至關重要。
建立並設定 Amazon CloudWatch 警示,在安全群組或網路 ACL 組態變更時通知您。設定此警示,以便在每次執行 AWS API 呼叫以更新安全群組時發出警示。您也可以使用 Amazon EventBridge 和AWS Config等服務來自動回應這些類型的安全事件。
如需詳細資訊,請參閱下列資源:
-
在安全部落格中自動還原和接收有關 Amazon VPC 安全群組變更的
通知 AWS -
在 CloudWatch 文檔中使用 Amazon CloudWatch 警報
-
在 AWS Well-Architected 的架構中實作可行的安全事件
-
在 Well-Architec@@ ted 的 AWS 架構中自動回應事件
針對進入警示狀態的 CloudWatch 警示設定警示
在中 CloudWatch,您可以指定警示在、和INSUFFICIENT_DATA
狀態之間變更狀態時所OK
採取的動作。ALARM
最常見的警示動作類型是將訊息傳送至 Amazon 簡單通知服務 (Amazon SNS) 主題來通知一個或多個人。您也可以在中設定要建立OpsItems或事件的警示 AWS Systems Manager。
建議您啟動警示動作,以在受監控的測量結果超出定義的臨界值時自動發出警示。監控警報可協助您識別異常活動,並快速回應安全性和操作問題。
如需詳細資訊,請參閱下列資源: