使用 記錄 AWS Shield 網路安全主管 API 呼叫 AWS CloudTrail - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管
CloudTrail 中的網路安全主管資訊CloudTrail 記錄的網路安全主管 API 操作了解網路安全主管日誌檔案項目使用 Amazon CloudWatch 監控 CloudTrail 日誌CloudTrail 與網路安全主管的最佳實務

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 記錄 AWS Shield 網路安全主管 API 呼叫 AWS CloudTrail

AWS Shield 網路安全主管與 整合 AWS CloudTrail ,將所有 API 呼叫記錄為事件。此整合會擷取從網路安全主管主控台發出的呼叫、對網路安全主管 APIs程式設計呼叫,以及從其他 AWS 服務發出的呼叫。

使用 CloudTrail,您可以在事件歷史記錄中檢視最近的事件,或建立追蹤,以將持續日誌交付至 Amazon Simple Storage Service 儲存貯體。這些日誌提供每個請求的詳細資訊,包括發起人的身分、時間、請求參數和回應。

若要進一步了解 CloudTrail,請參閱「AWS CloudTrail 使用者指南」

CloudTrail 中的網路安全主管資訊

AWS 您的帳戶會自動啟用 CloudTrail。當網路安全主管中發生活動時,它會在 CloudTrail 中記錄為事件。如需持續記錄事件,請建立將日誌檔案交付至 Amazon S3 儲存貯體的線索。

如需建立和管理追蹤的詳細資訊,請參閱:

CloudTrail 記錄的網路安全主管 API 操作

CloudTrail 會記錄所有網路安全主管 API 操作,並記錄在 API 參考中。包含下列操作:

  • StartNetworkSecurityScan:啟動網路安全掃描

  • GetNetworkSecurityScan:擷取網路安全掃描的相關資訊

  • ListResources:列出服務中可用的資源

  • GetResource:擷取特定資源的詳細資訊

  • ListFindings:列出安全性問題清單

  • GetFinding:擷取特定調查結果的詳細資訊

  • UpdateFinding:更新問題清單的狀態或其他屬性

  • ListRemediations:列出問題清單的修復建議

  • ListInsights:根據調查結果和資源列出洞見

了解網路安全主管日誌檔案項目

CloudTrail 日誌項目包含有關提出請求的人員、提出請求的時間,以及使用哪些參數的資訊。以下是 StartNetworkSecurityScan 動作的範例:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:02:58Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "StartNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "RESCANNING",
            "startTime": "2023-11-28T22:02:58Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

以下是 GetNetworkSecurityScan 動作的範例:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:03:15Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "GetNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "COMPLETE",
            "startTime": "2023-11-28T22:02:58Z",
            "completionTime": "2023-11-28T22:03:15Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

使用 Amazon CloudWatch 監控 CloudTrail 日誌

您可以使用 Amazon CloudWatch 來監控和提醒 CloudTrail 日誌中的特定 API 活動。這可協助您偵測未經授權的存取嘗試、組態變更或異常活動模式。

若要設定 CloudWatch 監控:

  1. 設定 CloudTrail 追蹤以將日誌傳送至 CloudWatch Logs

  2. 建立指標篩選條件,從日誌事件擷取特定資訊

  3. 根據這些指標建立警示

如需詳細說明,請參閱使用 Amazon CloudWatch Logs 監控 CloudTrail 日誌檔案

CloudTrail 與網路安全主管的最佳實務

若要使用 CloudTrail 最大化安全性和可稽核性:

  • 在所有區域中啟用 CloudTrail 以獲得全面涵蓋

  • 啟用日誌檔案完整性驗證,以偵測未經授權的修改

  • 使用 IAM 來控制遵循最低權限原則對 CloudTrail 日誌的存取

  • 使用 CloudWatch 警示設定關鍵事件的警示

  • 定期檢閱 CloudTrail 日誌以識別異常活動