Esse conteúdo está desatualizado. Esta versão da Well-Architected Framework agora pode ser encontrada em: https://docs.aws.amazon.com/pt_br/wellarchitected/2022-03-31/framework/security.html

SEC 4: Como você detecta e investiga eventos de segurança?

Capture e analise eventos de logs e métricas para gerar visibilidade. Tome medidas em eventos de segurança e potenciais ameaças para ajudar a proteger sua carga de trabalho.

Recursos

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Melhores práticas:

Plano de melhoria

Configurar registro em log de serviço e aplicativo

  • Habilitar o registro em log de serviços da AWS: Habilite o registro em log de serviços da AWS para atender aos seus requisitos. Recursos de registro em log incluem: VPC Flow Logs, logs do ELB, logs de bucket do S3, logs de acesso do CloudFront, logs de consulta do Route 53 e logs do Amazon RDS.
    AWS Answers: native AWS security-logging capabilities
  • Avaliar e habilitar o registro em log de sistemas operacionais e específicos do aplicativo: Avalie e habilite o registro em log de sistemas operacionais e logs específicos de aplicativos para detectar comportamentos suspeitos.
    Getting started with CloudWatch Logs
    Developer Tools/Log Analysis
  • Aplicar controles adequados aos logs: Os logs podem conter informações confidenciais e somente usuários autorizados devem ter acesso. Considere restringir as permissões aos grupos de logs dos buckets do S3 e do CloudWatch Logs.
    Authentication and Access Control for Amazon CloudWatch
    Identity and access management in Amazon S3
  • Configurar o Amazon GuardDuty: O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e cargas de trabalho da AWS. Habilite o GuardDuty e configure alertas automatizados para enviar e-mails usando o laboratório.
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • Configurar trilha personalizada no CloudTrail: A configuração de uma trilha permite armazenar logs por mais tempo que o período padrão e analisá-los posteriormente.
    Creating a trail in CloudTrail
    Lab: Automated Deployment of Detective Controls
  • Habilitar o AWS Config: O AWS Config oferece uma visualização detalhada da configuração dos recursos da AWS em uma conta da AWS. Isso inclui como os recursos se relacionam entre si e como foram configurados anteriormente, permitindo que você veja como as configurações e os relacionamentos mudam ao longo do tempo.
    AWS Config
    Lab: Automated Deployment of Detective Controls
  • Habilitar o AWS Security Hub: O AWS Security Hub oferece uma visão abrangente do estado de segurança na AWS e ajuda você a verificar a conformidade com os padrões e as melhores práticas de segurança do setor. O Security Hub coleta dados de segurança de várias contas da AWS, serviços e produtos compatíveis de parceiros de terceiros e ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade.
    AWS Security Hub
  • Analisar logs, descobertas e métricas de forma centralizada

  • Avaliar os recursos de processamento de log: Avalie as opções que estão disponíveis para o processamento de logs
    Use Amazon OpenSearch Service to log and monitor (almost) everything
    Find a partner that specializes in logging and monitoring solutions
  • Para começar a analisar logs do CloudTrail, teste o Amazon Athena
    Configuring Athena to analyze CloudTrail logs
  • Implementar o registro em log centralizado na AWS: Solução de exemplo da AWS para centralizar o registro em log de várias fontes.
    Centralize logging solution
  • Implementar o registro em log centralizado com o parceiro: Os parceiros do APN têm soluções para ajudá-lo a analisar logs de forma centralizada.
    Logging and Monitoring
  • Automatizar a resposta a eventos

  • Implementar alertas automatizados com o Amazon GuardDuty: O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e cargas de trabalho da AWS. Habilite o GuardDuty e configure alertas automatizados.
    Lab: Automated Deployment of Detective Controls
  • Automatizar processos de investigação: Desenvolva processos automatizados que investigam um evento e relatam informações a um administrador para economizar tempo.
    Lab: Amazon GuardDuty hands on
  • Implementar eventos de segurança acionáveis

  • Descobrir métricas disponíveis para serviços da AWS: Descubra as métricas que estão disponíveis por meio do CloudWatch para os serviços que você está usando.
    AWS service documentation
    Using Amazon CloudWatch Metrics
  • Configurar alarmes do Amazon CloudWatch: .
    Using Amazon CloudWatch Alarms