SEC04-BP01 設定服務和應用程式記錄

保留服務和應用程式的安全事件日誌這是稽核、調查和操作使用案例的基礎原則，以及由管控、風險和合規 (GRC) 標準、政策和程序所推動的常見安全需求。

預期成果：組織應該能夠在需要執行內部程序或義務時，例如安全事件回應，以可靠且一致的方式及時從 AWS 服務和應用程式擷取安全事件日誌。考慮集中日誌以達到更佳的營運成果。

常見的反模式：

• 日誌存放太久或太早刪除。

• 每個人都能存取日誌。

• 日誌的管控和使用完全仰賴手動程序。

• 儲存每一種日誌以備不時之需。

• 只在必要時檢查日誌完整性。

建立此最佳實務的優勢：對安全事件和證據來源實作根本原因分析 (RCA) 機制，以履行管控、風險和合規義務。

未建立此最佳實務時的風險暴露等級：高

實作指引

根據您的需求進行安全調查或其他使用案例期間，您需要能夠審查相關日誌以記錄和了解該事件的全部範圍和時間表。產生警示也需要日誌，以指出特定關注的動作已發生。選擇、啟用、儲存和設定查詢與擷取機制和警示至關重要。

實作步驟

• 選擇和啟用日誌來源。 在安全調查之前，您需要擷取相關日誌以追溯的方式重新建構 AWS 帳戶 中的活動。選擇並啟用與您的工作負載相關的日誌來源。

  日誌來源選擇條件應該根據您的業務所需的使用案例。使用 AWS CloudTrail 或 AWS Organizations 線索為每個 AWS 帳戶 建立線索，以及為其設定 Amazon S3 儲存貯體。

  AWS CloudTrail 是一種記錄服務，會追蹤對 AWS 帳戶 的 API 呼叫以擷取 AWS 服務活動。預設啟用時，此服務會保留 90 天的管理活動，而其能以 AWS Management Console、AWS CLI 或 AWS SDK 透過 CloudTrail 事件歷史記錄擷取。如需較長的保留期間和資料事件的能見度，可建立 CloudTrail 線索並將其與 Amazon S3 儲存貯體建立關聯，也可以選擇與 Amazon CloudWatch 日誌群組相關聯。或者，您可以建立 CloudTrail Lake，這會將 CloudTrail 日誌保留長達七年，並提供以 SQL 為基礎的查詢設施。

  AWS 建議使用 VPC 的客戶分別使用 VPC Flow Logs 和 Amazon Route 53 解析器查詢日誌來啟用網路流量和 DNS 日誌，並將它們串流處理到 Amazon S3 儲存貯體或 CloudWatch 日誌群組。您可以為 VPC、子網路或網路介面建立 VPC 流程日誌。對於 VPC Flow Logs，您可以選擇何時何地使用 Flow Logs 來降低成本。

  AWS CloudTrail 日誌、VPC Flow Logs 和 Route 53 解析器查詢日誌是在 AWS 中支援安全調查的基本記錄來源。您還可以使用 Amazon Security Lake 以 Apache Parquet 格式和 Open Cybersecurity Schema Framework (OCSF) 收集、正規化並儲存此日誌資料，此種格式隨時可供查詢。Security Lake 還支援其他 AWS 日誌以及來自第三方來源的日誌。

  AWS 服務可產生基本日誌來源未擷取的日誌，例如 Elastic Load Balancing 日誌、AWS WAF 日誌、AWS Config 記錄器日誌、Amazon GuardDuty 發現結果、 Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌和 Amazon EC2 執行個體作業系統及應用程式日誌。如需記錄和監控選項的完整清單，請參閱《AWS 安全事件回應指南》的附錄 A：雲端功能定義 – 記錄和事件。

• 每個 AWS 服務和應用程式的研究記錄功能： 每個 AWS 服務和應用程式都為您提供日誌儲存的選項，而其各自有自己的保留和生命週期功能。兩個最常見的日誌儲存服務是 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudWatch。如需長期保留，建議使用具成本效益和彈性生命週期功能的 Amazon S3。若主要的記錄選項是 Amazon CloudWatch 日誌，您應該考慮將較不常存取的日誌封存到 Amazon S3，作為一種選項。

• 選擇日誌儲存：日誌儲存的選擇通常與您使用的查詢工具、保留功能、熟悉度和成本有關。日誌儲存的主要選項是 Amazon S3 儲存貯體或 CloudWatch 日誌群組。

  Amazon S3 儲存貯體提供符合成本效益、耐用的儲存方式，並且具備可選擇的生命週期政策。存放在 Amazon S3 儲存貯體的日誌可使用 Amazon Athena 之類的服務進行查詢。

  CloudWatch 日誌群組透過 CloudWatch Logs Insights 提供耐用的儲存方式和內建查詢設施。

• 識別適當的日誌保留時間 ：當您使用 Amazon S3 儲存貯體或 CloudWatch 日誌群組來存放日誌時，您必須為每個日誌來源建立充分的生命週期，以最佳化儲存和擷取成本。客戶一般擁有三個月到一年的時間使日誌隨時可供查詢，並且最長可保留七年。可用性和保留時間的選擇應該配合您的安全需求與各種法令、法規和業務規定。

• 依照適當的保留和生命週期政策為每個 AWS 服務和應用程式啟用記錄功能：對於組織內的每個 AWS 服務或應用程式，尋找特定的記錄設定指引：

  • 設定 AWS CloudTrail 線索

  • 設定 VPC Flow Logs

  • 設定 Amazon GuardDuty 發現結果匯出

  • 設定 AWS Config 記錄

  • 設定 AWS WAF Web ACL 流量

  • 設定 AWS Network Firewall 網路流量日誌

  • 設定 Elastic Load Balancing 存取日誌

  • 設定 Amazon Route 53 解析器查詢日誌

  • 設定 Amazon RDS 日誌

  • 設定 Amazon EKS 控制平面日誌

  • 為 Amazon EC2 執行個體和內部部署伺服器設定 Amazon CloudWatch 代理程式

• 為日誌選擇並實作查詢機制：對於日誌查詢，您可以使用 CloudWatch Logs Insights (適用於存放在 CloudWatch 日誌群組中的資料) 以及 Amazon Athena 和 Amazon OpenSearch Service (適用於存放在 Amazon S3 中的資料)。您還可以使用第三方查詢工具，例如安全資訊和事件管理 (SIEM) 服務。

  選擇日誌查詢工具的過程中應該考慮安全營運的人員、程序和技術層面。選擇符合營運、業務和安全需求的工具，並且可供存取和長期維護。請記住，將要掃描的日誌數目維持在日誌查詢工具限制之內，以便以最佳狀態運作。因為成本或技術限制的關係，擁有多個查詢工具十分常見。

  例如，您可能使用第三方安全資訊和事件管理 (SIEM) 工具對過去 90 天的資料執行查詢，但基於 SIME 的日誌擷取成本，而使用 Athena 來執行超過 90 天的查詢。無論實作方式為何，請確認您的方法將所需的工具數量最小化以最大化營運效率，尤其是在安全事件調查期間。

• 使用日誌提供警示：AWS 透過數種安全服務提供警示功能：

  • AWS Config 可監控和記錄 AWS 資源組態，並讓您根據所需的組態自動評估和修復。

  • Amazon GuardDuty 是威脅偵測服務，會持續監控惡意活動和未授權行為以保護 AWS 帳戶 和工作負載。GuardDuty 會擷取、彙總和分析來自如 AWS CloudTrail 管理和資料事件、DNS 日誌、VPC Flow Logs 和 Amazon EKS 稽核日誌等來源的資訊。GuardDuty 會直接從 CloudTrail、VPC Flow Logs、DNS 查詢日誌和 Amazon EKS 提取獨立資料串流。您不需要管理 Amazon S3 儲存貯體或修改您收集和儲存日誌的方式。仍舊建議您保留這些日誌，供自身調查和合規用途。

  • AWS Security Hub 提供以單一位置從多個 AWS 服務和選用的第三方產品將安全警示或發現結果加以彙總、組織和排列優先順序，為您提供安全提醒和合規狀態的全面檢視。

  您還可以使用自訂警示產生引擎，取得這些服務未涵蓋的安全警示或與您的環境相關的特定警示。如需有關建立這些警示和偵測的資訊，請參閱《AWS 安全事件回應指南》中的偵測。

資源

相關的最佳實務：

• SEC04-BP02 在標準化的位置擷取日誌、調查結果和指標

• SEC07-BP04 定義可擴展的資料生命週期管理

• SEC10-BP06 預先部署工具

相關文件：

• AWS 安全事件應變指南

• Amazon Security Lake 入門

• 入門：Amazon CloudWatch Logs

• 安全合作夥伴解決方案：記錄與監控

相關影片：

• AWS re:Invent 2022 - Amazon Security Lake 簡介

相關範例：

• Assisted Log Enabler for AWS

• AWS Security Hub 發現結果歷史匯出

相關工具：

• Snowflake for Cybersecurity