SEC 4: In che modo individui ed esamini gli eventi di sicurezza?

Acquisisci ed analizza gli eventi a partire da log e parametri per acquistare visibilità. Agisci su eventi di sicurezza e potenziali minacce per contribuire a rendere sicuro il carico di lavoro.

Risorse

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Best practice:

• Configurazione della registrazione di log dei servizi e delle applicazioni: Configura la registrazione di log per tutto il carico di lavoro, inclusi log di applicazioni, di risorse e di servizi AWS. Assicurati ad esempio che AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty e AWS Security Hub siano abilitati per tutti gli account all'interno dell'organizzazione.

• Analisi di log, risultati e parametri a livello centrale: È opportuno raccogliere tutti i log, i parametri e la telemetria a livello centrale e analizzarli automaticamente per rilevare anomalie e indici di attività non autorizzate. Un pannello di controllo consente di accedere facilmente a informazioni sullo stato aggiornate in tempo reale. Ad esempio, assicurati che i log di Amazon GuardDuty e Security Hub vengano inviati a una posizione centrale per avvisi e analisi.

• Automazione delle risposte agli eventi: L'utilizzo dell'automazione per analizzare e correggere gli eventi riduce l'impegno e il rischio di errori umani e consente di dimensionare le capacità di analisi. Le revisioni periodiche ti aiuteranno a ottimizzare gli strumenti di automazione e a effettuare un'iterazione costante. Ad esempio, rendi automatiche le risposte agli eventi di Amazon GuardDuty automatizzando la prima fase di verifica, quindi esegui l'iterazione per ridurre gradualmente l'impegno umano.

• Implementazione di eventi di sicurezza fruibili: Crea e invia al tuo team avvisi fruibili. Assicurati che includano informazioni pertinenti affinché il team possa intervenire. Ad esempio, verifica che gli avvisi di Amazon GuardDuty e AWS Security Hub siano inviati al team perché vi risponda direttamente oppure che siano inviati agli strumenti di automazione della risposta, con il team tenuto al corrente attraverso messaggi provenienti dal framework di automazione.

Piano di miglioramento

Configurazione della registrazione di log dei servizi e delle applicazioni

Abilitazione della registrazione dei servizi AWS: Abilita la registrazione dei servizi AWS per soddisfare i tuoi requisiti. Tra le capacità di registrazione troviamo: log di flusso VPC, log ELB, log di bucket S3, log di accesso CloudFront, log di query Route 53 e log Amazon RDS.
AWS Answers: native AWS security-logging capabilities

Valutazione e abilitazione della registrazione di sistemi operativi e log specifici per l'applicazione: Valuta e abilita la registrazione di sistemi operativi e log specifici per l'applicazione, così da rilevare eventuali comportamenti sospetti.
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

Applicazione di controlli appropriati ai log: I log possono contenere informazioni sensibili e solo gli utenti autorizzati devono averne accesso. Considera la possibilità di limitare le autorizzazioni per i bucket S3 e i gruppi di log CloudWatch Logs.
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

Configurazione di Amazon GuardDuty: Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e account AWS. Abilita GuardDuty e configura gli avvisi automatici per e-mail utilizzando il laboratorio.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Configurazione di un percorso personalizzato in CloudTrail: La configurazione di un percorso ti permette di memorizzare log per un tempo maggiore del periodo predefinito e analizzarli in un secondo momento.
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

Abilitazione di AWS Config: AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo account AWS. In essa sono inclusi il modo in cui le risorse sono correlate tra loro e il modo in cui erano configurate in precedenza, in modo da poter vedere il cambiamento di configurazioni e relazioni nel corso del tempo.
AWS Config
Lab: Automated Deployment of Detective Controls

Abilitazione di AWS Security Hub: AWS Security Hub fornisce una panoramica completa dello stato di sicurezza in AWS e aiuta a verificare la conformità agli standard e alle best practice del settore in materia di sicurezza. Security Hub raccoglie i dati sulla sicurezza da tutti gli account AWS, i servizi e i prodotti di partner terzi supportati, per contribuire ad analizzare i trend di sicurezza e a identificare i problemi di sicurezza con la priorità più alta.
AWS Security Hub

Analisi di log, risultati e parametri a livello centrale

Valutazione delle capacità di elaborazione dei log: Valuta le opzioni a disposizione per l'elaborazione dei log
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

Come punto di partenza per l'analisi dei log di CloudTrail, prova Amazon Athena
Configuring Athena to analyze CloudTrail logs

Implementazione della registrazione centralizzata in AWS: Soluzione di esempio AWS per centralizzare la registrazione da più origini.
Centralize logging solution

Implementazione della registrazione centralizzata con partner: I partner APN offrono soluzioni che aiutano ad analizzare i log in modo centralizzato.
Logging and Monitoring

Automazione delle risposte agli eventi

Implementazione di avvisi automatici con Amazon GuardDuty: Amazon GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e account AWS. Abilita GuardDuty e configura gli avvisi automatici.
Lab: Automated Deployment of Detective Controls

Automatizzazione dei processi di indagine: Sviluppa processi automatizzati per indagare su un evento e riferire informazioni a un amministratore per risparmiare tempo.
Lab: Amazon GuardDuty hands on

Implementazione di eventi di sicurezza fruibili

Ricerca dei parametri disponibili per i servizi AWS: Scopri i parametri a disposizione attraverso CloudWatch per i servizi in uso.
AWS service documentation
Using Amazon CloudWatch Metrics

Configurazione di avvisi di Amazon CloudWatch: .
Using Amazon CloudWatch Alarms