SEC04-BP02 在標準化的位置擷取日誌、調查結果和指標
安全團隊依賴日誌和調查結果來分析可能代表未經授權活動或意外變更的事件。為了簡化此分析,您可在標準化的位置擷取安全日誌和調查結果。 這樣就能提供關注的資料點來建立相互關聯,並且可簡化工具整合。
預期成果:您採用標準化的方式來收集、分析和視覺化日誌資料、調查結果和指標。安全團隊能夠有效率地跨分散的系統建立相互關聯、分析和視覺化安全資料,藉此發現可能發生的安全事件並識別異常。安全資訊和事件管理 (SIEM) 系統或其他機制經整合後,即可查詢和分析日誌資料,以便及時回應、追蹤和向上呈報安全事件。
常見的反模式:
-
多個團隊各自擁有並管理記錄和指標收集工作,而他們的工作方式卻與組織的記錄策略不一致。
-
團隊沒有適當的存取控制可用來限制所收集資料的可見性和更改。
-
團隊未將控管安全日誌、調查結果和指標納入其資料分類政策中。
-
團隊在設定資料收集時,忽略了資料主權和本地化需求。
建立此最佳實務的優勢:擁有標準化的記錄解決方案可用來收集和查詢日誌資料和事件,如此就能改善從內含的資訊中產生的洞察。為收集的日誌資料設定自動化生命週期,可降低日誌儲存所伴隨的成本。您可以根據團隊所需的資料敏感度和存取模式,為收集的日誌資訊建置精細的存取控制。您可以整合工具來建立資料的相互關聯、視覺化資料,以及從資料中產生洞察。
未建立此最佳實務時的風險暴露等級:中
實作指引
隨著組織內 AWS 的使用增加,分散的工作負載和環境數量也會增加。由於這些工作負載和環境會各自產生其內部活動的相關資料,因此在本地擷取和儲存這些資料會為安全營運方面帶來挑戰。安全團隊會使用安全資訊和事件管理 (SIEM) 系統等工具從分散的來源收集資料,並進行相互關聯、分析和回應工作流程。這個過程需要管理一組複雜的許可來存取各種資料來源,還會在操作擷取、轉換和載入 (ETL) 程序上帶來額外的負擔。
為了克服這些挑戰,可考慮依照使用多個帳戶整理您的 AWS 環境所述,將所有相關的安全日誌資料來源彙總到日誌封存帳戶中。這包括來自您的工作負載和 AWS 服務所產生日誌的所有安全相關資料,例如 AWS CloudTrail
為了輕鬆擷取和標準化日誌和調查結果,請在您的日誌封存帳戶中評估 Amazon Security Lake。您可以將 Security Lake 設定為自動從常見的來源擷取資料,例如 CloudTrail、Route 53、Amazon EKS
將安全資料儲存在標準化的位置可提供進階分析功能。AWS 建議您將在 AWS 環境中操作的安全分析工具部署到安全工具帳戶中,與您的日誌封存帳戶加以區隔。 這種方法可讓您深入實作控制措施,以保護日誌和日誌管理程序的完整性和可用性,有別於用於存取日誌的工具。 考慮使用 Amazon Athena
實作步驟
-
建立日誌封存和安全工具帳戶
-
使用 AWS Organizations,在安全組織單位下建立日誌封存和安全工具帳戶。如果您使用 AWS Control Tower 來管理組織,則會自動為您建立日誌封存和安全工具帳戶。視需要設定存取和管理這些帳戶的角色與許可。
-
-
設定標準化的安全資料位置
-
確定您用來建立標準化安全資料位置的策略。 您可以透過像是通用資料湖架構方法、第三方資料產品或 Amazon Security Lake 等選項達成此目的。AWS 建議您從為帳戶設為選擇加入的 AWS 區域 擷取安全資料 (即使沒有在作用中)。
-
-
設定將資料來源發佈到標準化位置
-
識別安全資料的來源,並將它們設定為發佈到您的標準化位置。 評估以所需格式自動匯出資料的選項,而不是需要開發 ETL 程序的選項。 有了 Amazon Security Lake,您可以從受支援的 AWS 來源和經過整合的第三方系統收集資料。
-
-
設定工具以存取標準化位置
-
設定 Amazon Athena、Amazon QuickSight 或第三方解決方案等工具,使其具備存取您的標準化位置所需的權限。 設定這些工具,以適時透過對日誌封存帳戶的跨帳戶讀取存取權在安全工具帳戶之外操作。在 Amazon Security Lake 中建立訂閱者,以便為這些工具提供對您資料的存取權。
-
資源
相關的最佳實務:
相關文件:
相關範例:
相關工具:
