SEC 4: In che modo individui ed esamini gli eventi di sicurezza?

Acquisisci ed analizza gli eventi a partire da log e parametri per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro.

Risorse

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Best practice:

Piano di miglioramento

Configurazione della registrazione di log dei servizi e delle applicazioni

  • Abilitazione della registrazione dei servizi AWS: Abilita la registrazione dei servizi AWS per soddisfare i tuoi requisiti. Tra le capacità di registrazione troviamo: log di flusso VPC, log ELB, log di bucket S3, log di accesso CloudFront, log di query Route 53 e log Amazon RDS.
    AWS Answers: native AWS security-logging capabilities
  • Valutazione e abilitazione della registrazione di sistemi operativi e log specifici per l'applicazione: Valuta e abilita la registrazione di sistemi operativi e log specifici per l'applicazione, così da rilevare eventuali comportamenti sospetti.
    Getting started with CloudWatch Logs
    Developer Tools/Log Analysis
  • Applicazione di controlli appropriati ai log: I log possono contenere informazioni sensibili e solo gli utenti autorizzati devono averne accesso. Considera la possibilità di limitare le autorizzazioni per i bucket S3 e i gruppi di log CloudWatch Logs.
    Authentication and Access Control for Amazon CloudWatch
    Identity and access management in Amazon S3
  • Configurazione di Amazon GuardDuty: Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e account AWS. Abilita GuardDuty e configura gli avvisi automatici per e-mail utilizzando il laboratorio.
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • Configurazione di un percorso personalizzato in CloudTrail: La configurazione di un percorso ti permette di memorizzare log per un tempo maggiore del periodo predefinito e analizzarli in un secondo momento.
    Creating a trail in CloudTrail
    Lab: Automated Deployment of Detective Controls
  • Abilitazione di AWS Config: AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo account AWS. In essa sono inclusi il modo in cui le risorse sono correlate tra loro e il modo in cui erano configurate in precedenza, in modo da poter vedere il cambiamento di configurazioni e relazioni nel corso del tempo.
    AWS Config
    Lab: Automated Deployment of Detective Controls
  • Abilitazione di AWS Security Hub: AWS Security Hub fornisce una panoramica completa dello stato di sicurezza in AWS e aiuta a verificare la conformità agli standard e alle best practice del settore in materia di sicurezza. Security Hub raccoglie i dati sulla sicurezza da tutti gli account AWS, i servizi e i prodotti di partner terzi supportati, per contribuire ad analizzare i trend di sicurezza e a identificare i problemi di sicurezza con la priorità più alta.
    AWS Security Hub
  • Analisi di log, risultati e parametri a livello centrale

  • Valutazione delle capacità di elaborazione dei log: Valuta le opzioni a disposizione per l'elaborazione dei log
    Use Amazon Elasticsearch Service to log and monitor (almost) everything
    Find a partner that specializes in logging and monitoring solutions
  • Come punto di partenza per l'analisi dei log di CloudTrail, prova Amazon Athena
    Configuring Athena to analyze CloudTrail logs
  • Implementazione della registrazione centralizzata in AWS: Soluzione di esempio AWS per centralizzare la registrazione da più origini.
    Centralize logging solution
  • Implementazione della registrazione centralizzata con partner: I partner APN offrono soluzioni che aiutano ad analizzare i log in modo centralizzato.
    Logging and Monitoring
  • Automazione delle risposte agli eventi

  • Implementazione di avvisi automatici con Amazon GuardDuty: Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e account AWS. Abilita GuardDuty e configura gli avvisi automatici.
    Lab: Automated Deployment of Detective Controls
  • Automatizzazione dei processi di indagine: Sviluppa processi automatizzati per indagare su un evento e riferire informazioni a un amministratore per risparmiare tempo.
    Lab: Amazon GuardDuty hands on
  • Implementazione di eventi di sicurezza fruibili

  • Ricerca dei parametri disponibili per i servizi AWS: Scopri i parametri a disposizione attraverso CloudWatch per i servizi in uso.
    AWS service documentation
    Using Amazon CloudWatch Metrics
  • Configurazione di avvisi di Amazon CloudWatch: .
    Using Amazon CloudWatch Alarms