SEC 4: Como você detecta e investiga eventos de segurança?

Capture e analise eventos de logs e métricas para gerar visibilidade. Tome medidas em eventos de segurança e potenciais ameaças para ajudar a proteger sua carga de trabalho.

Recursos

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Melhores práticas:

• Configurar registro em log de serviço e aplicativo: Configure o registro em log em toda a carga de trabalho, incluindo logs de aplicativos, logs de recursos e logs de serviços da AWS. Por exemplo, verifique se o AWS CloudTrail, o Amazon CloudWatch Logs, o Amazon GuardDuty e o AWS Security Hub estão habilitados para todas as contas da organização.

• Analisar logs, descobertas e métricas de forma centralizada: Todos os logs, métricas e telemetria devem ser coletados centralmente e analisados automaticamente para detectar anomalias e indicadores de atividade não autorizada. Um painel pode fornecer informações sobre a integridade fáceis de acessar em tempo real. Por exemplo, certifique-se de que os logs do Amazon GuardDuty e do Security Hub sejam enviados para um local central para fins de alertas e análises.

• Automatizar a resposta a eventos: O uso de automação para investigar e corrigir eventos reduz o esforço humano e erros e permite escalar recursos de investigação. Análises regulares ajudarão você a ajustar ferramentas de automação e iterar continuamente. Por exemplo, automatize respostas a eventos do Amazon GuardDuty automatizando a primeira etapa de investigação e, em seguida, itere para remover gradualmente o esforço humano.

• Implementar eventos de segurança acionáveis: Crie alertas para serem enviados à sua equipe para ação. Certifique-se de que os alertas incluam informações relevantes para a equipe agir. Por exemplo, certifique-se de que os alertas do Amazon GuardDuty e do AWS Security Hub sejam enviados à equipe para ação ou enviados a ferramentas de automação de resposta que mantêm a equipe informada por meio de mensagens da estrutura de automação.

Plano de melhoria

Configurar registro em log de serviço e aplicativo

Habilitar o registro em log de serviços da AWS: Habilite o registro em log de serviços da AWS para atender aos seus requisitos. Recursos de registro em log incluem: VPC Flow Logs, logs do ELB, logs de bucket do S3, logs de acesso do CloudFront, logs de consulta do Route 53 e logs do Amazon RDS.
AWS Answers: native AWS security-logging capabilities

Avaliar e habilitar o registro em log de sistemas operacionais e específicos do aplicativo: Avalie e habilite o registro em log de sistemas operacionais e logs específicos de aplicativos para detectar comportamentos suspeitos.
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

Aplicar controles adequados aos logs: Os logs podem conter informações confidenciais e somente usuários autorizados devem ter acesso. Considere restringir as permissões aos grupos de logs dos buckets do S3 e do CloudWatch Logs.
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

Configurar o Amazon GuardDuty: O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e cargas de trabalho da AWS. Habilite o GuardDuty e configure alertas automatizados para enviar e-mails usando o laboratório.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Configurar trilha personalizada no CloudTrail: A configuração de uma trilha permite armazenar logs por mais tempo que o período padrão e analisá-los posteriormente.
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

Habilitar o AWS Config: O AWS Config oferece uma visualização detalhada da configuração dos recursos da AWS em uma conta da AWS. Isso inclui como os recursos se relacionam entre si e como foram configurados anteriormente, permitindo que você veja como as configurações e os relacionamentos mudam ao longo do tempo.
AWS Config
Lab: Automated Deployment of Detective Controls

Habilitar o AWS Security Hub: O AWS Security Hub oferece uma visão abrangente do estado de segurança na AWS e ajuda você a verificar a conformidade com os padrões e as melhores práticas de segurança do setor. O Security Hub coleta dados de segurança de várias contas da AWS, serviços e produtos compatíveis de parceiros de terceiros e ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade.
AWS Security Hub

Analisar logs, descobertas e métricas de forma centralizada

Avaliar os recursos de processamento de log: Avalie as opções que estão disponíveis para o processamento de logs
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

Para começar a analisar logs do CloudTrail, teste o Amazon Athena
Configuring Athena to analyze CloudTrail logs

Implementar o registro em log centralizado na AWS: Solução de exemplo da AWS para centralizar o registro em log de várias fontes.
Centralize logging solution

Implementar o registro em log centralizado com o parceiro: Os parceiros do APN têm soluções para ajudá-lo a analisar logs de forma centralizada.
Logging and Monitoring

Automatizar a resposta a eventos

Implementar alertas automatizados com o Amazon GuardDuty: O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e cargas de trabalho da AWS. Habilite o GuardDuty e configure alertas automatizados.
Lab: Automated Deployment of Detective Controls

Automatizar processos de investigação: Desenvolva processos automatizados que investigam um evento e relatam informações a um administrador para economizar tempo.
Lab: Amazon GuardDuty hands on

Implementar eventos de segurança acionáveis

Descobrir métricas disponíveis para serviços da AWS: Descubra as métricas que estão disponíveis por meio do CloudWatch para os serviços que você está usando.
AWS service documentation
Using Amazon CloudWatch Metrics

Configurar alarmes do Amazon CloudWatch: .
Using Amazon CloudWatch Alarms