本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
選取並啟用日誌來源
在安全調查之前,您需要擷取相關日誌,以追溯重建 AWS 帳戶中的活動。選取並啟用與其 AWS 帳戶工作負載相關的日誌來源。
AWS CloudTrail 是一種記錄服務,可追蹤針對擷取 AWS 服務活動 AWS 的帳戶發出的 API 呼叫。它預設為啟用,並保留 90 天的管理事件,這些事件可透過 CloudTrail 的事件歷史記錄設施 AWS Management Console使用 AWS CLI、 或 AWS SDK 擷取。若要延長資料事件的保留和可見性,您需要建立 CloudTrail Trail 並與 Amazon S3 儲存貯體建立關聯,以及選擇性地與 CloudWatch 日誌群組建立關聯。或者,您可以建立 CloudTrail Lake,這會保留 CloudTrail 日誌長達七年,並提供以 SQL 為基礎的查詢設施。
AWS 建議使用 VPC 的客戶分別使用 VPC 流程日誌和 Amazon Route 53 解析程式查詢日誌來啟用網路流量和 DNS 日誌,並將其串流到 Amazon S3 儲存貯體或 CloudWatch 日誌群組。您可以為 VPC、子網路或網路界面建立 VPC 流程日誌。對於 VPC 流程日誌,您可以選擇啟用流程日誌以降低成本的方式和位置。
AWS CloudTrail 日誌、VPC 流程日誌和 Route 53 解析程式查詢日誌是支援 中安全調查的基本日誌三角結構 AWS。
AWS 服務可以產生基本記錄 trifecta 未擷取的日誌,例如 Elastic Load Balancing 日誌、 AWS WAF 日誌、 AWS Config 記錄器日誌、Amazon GuardDuty 調查結果、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌,以及 Amazon EC2 執行個體作業系統和應用程式日誌。如需記錄和監控選項的完整清單附錄 A:雲端功能定義,請參閱 。