SEC 4: Wie erkennen und untersuchen Sie Sicherheitsereignisse?

Erfassen und analysieren Sie Ereignisse mithilfe von Protokollen und Kennzahlen, um Einblick zu erhalten. Ergreifen Sie Maßnahmen bei Sicherheitsereignissen und potenziellen Bedrohungen, um Ihren Workload zu schützen.

Ressourcen

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Bewährte Methoden:

Verbesserungsplan

Konfigurieren der Service- und Anwendungsprotokollierung

  • Aktivieren der Protokollierung von AWS-Services: Aktivieren Sie die Protokollierung von AWS-Services entsprechend Ihren Anforderungen. Folgende Protokollfunktionen sind verfügbar: VPC Flow Logs, ELB-Protokolle, S3-Bucket-Protokolle, CloudFront-Zugriffsprotokolle, Route 53-Abfrageprotokolle und Amazon RDS-Protokolle.
    AWS Answers: native AWS security-logging capabilities
  • Auswerten und Aktivieren der Protokollierung von Betriebssystemen und anwendungsspezifisch: Bewerten und aktivieren Sie die Protokollierung von betriebssystem- und anwendungsspezifischen Protokollen, um verdächtiges Verhalten zu erkennen.
    Getting started with CloudWatch Logs
    Developer Tools/Log Analysis
  • Anwenden von angemessenen Kontrollen auf die Protokolle: Protokolle können vertrauliche Informationen enthalten und nur autorisierte Benutzer sollten Zugriff darauf haben. Erwägen Sie, die Berechtigungen auf S3-Buckets und CloudWatch Logs-Protokollgruppen einzuschränken.
    Authentication and Access Control for Amazon CloudWatch
    Identity and access management in Amazon S3
  • Konfigurieren von Amazon GuardDuty: Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen für E-Mails mithilfe des Labors.
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • Konfigurieren eines benutzerdefinierten Prüfprotokolls in CloudTrail: Durch das Konfigurieren eines Prüfprotokolls können Sie Protokolle über den Standardzeitraum hinaus speichern und analysieren.
    Creating a trail in CloudTrail
    Lab: Automated Deployment of Detective Controls
  • Aktivieren von AWS Config: AWS Config bietet Ihnen einen detaillierten Überblick über die Konfiguration der AWS-Ressourcen unter Ihrem AWS-Konto. Hierzu zählt auch, wie die Ressourcen zueinander in Verbindung stehen und wie sie in der Vergangenheit konfiguriert wurden. So können Sie erkennen, wie sich die Konfigurationen und Beziehungen mit der Zeit ändern.
    AWS Config
    Lab: Automated Deployment of Detective Controls
  • Aktivieren von AWS Security Hub: AWS Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen, Ihre Compliance mit den Standards und bewährten Methoden der Sicherheitsbranche zu überprüfen. Security Hub sammelt Sicherheitsdaten von allen AWS-Konten, -Services und unterstützten Produkten von Drittanbietern und hilft Ihnen, Ihre Sicherheitstrends zu analysieren und Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.
    AWS Security Hub
  • Zentrale Analyse von Protokollen, Ergebnissen und Metriken

  • Bewerten der Funktionen zur Protokollverarbeitung: Bewerten der für die Verarbeitung von Protokollen verfügbaren Optionen
    Use Amazon Elasticsearch Service to log and monitor (almost) everything
    Find a partner that specializes in logging and monitoring solutions
  • Testen von Amazon Athena als Ausgangspunkt für die Analyse von CloudTrail-Protokollen
    Configuring Athena to analyze CloudTrail logs
  • Implementieren der zentralen Protokollierung in AWS: AWS-Beispiellösung zur Zentralisierung der Protokollierung aus mehreren Quellen.
    Centralize logging solution
  • Implementieren der zentralen Protokollierung mit dem Partner: APN-Partner bieten Lösungen, mit denen Sie Protokolle zentral analysieren können.
    Logging and Monitoring
  • Automatisieren der Reaktion auf Ereignisse

  • Implementieren automatisierter Warnungen mit Amazon GuardDuty: Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihre AWS-Konten und -Workloads zu deren Schutz fortlaufend auf böswillige oder unbefugte Verhaltensweisen überwacht. Aktivieren Sie GuardDuty und konfigurieren Sie automatisierte Warnungen.
    Lab: Automated Deployment of Detective Controls
  • Automatische Untersuchungsprozesse: Entwickeln Sie automatische Prozesse, die ein Ereignis untersuchen und Berichte an einen Administrator senden, um Zeit zu sparen.
    Lab: Amazon GuardDuty hands on
  • Implementieren von umsetzbaren Sicherheitsereignissen

  • Ermitteln von Metriken, die für AWS-Services verfügbar sind: Ermitteln Sie die Metriken, die über CloudWatch für die Services verfügbar sind, die Sie verwenden.
    AWS service documentation
    Using Amazon CloudWatch Metrics
  • Konfigurieren von Amazon CloudWatch-Alarmen: .
    Using Amazon CloudWatch Alarms