SEC 4: Como você detecta e investiga eventos de segurança?
Capture e analise eventos de logs e métricas para gerar visibilidade. Tome medidas em eventos de segurança e potenciais ameaças para ajudar a proteger sua carga de trabalho.
Recursos
Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring
Melhores práticas:
-
Configurar registro em log de serviço e aplicativo: Configure o registro em log em toda a carga de trabalho, incluindo logs de aplicativos, logs de recursos e logs de serviços da AWS. Por exemplo, verifique se o AWS CloudTrail, o Amazon CloudWatch Logs, o Amazon GuardDuty e o AWS Security Hub estão habilitados para todas as contas da organização.
-
Analisar logs, descobertas e métricas de forma centralizada: Todos os logs, métricas e telemetria devem ser coletados centralmente e analisados automaticamente para detectar anomalias e indicadores de atividade não autorizada. Um painel pode fornecer informações sobre a integridade fáceis de acessar em tempo real. Por exemplo, certifique-se de que os logs do Amazon GuardDuty e do Security Hub sejam enviados para um local central para fins de alertas e análises.
-
Automatizar a resposta a eventos: O uso de automação para investigar e corrigir eventos reduz o esforço humano e erros e permite escalar recursos de investigação. Análises regulares ajudarão você a ajustar ferramentas de automação e iterar continuamente. Por exemplo, automatize respostas a eventos do Amazon GuardDuty automatizando a primeira etapa de investigação e, em seguida, itere para remover gradualmente o esforço humano.
-
Implementar eventos de segurança acionáveis: Crie alertas para serem enviados à sua equipe para ação. Certifique-se de que os alertas incluam informações relevantes para a equipe agir. Por exemplo, certifique-se de que os alertas do Amazon GuardDuty e do AWS Security Hub sejam enviados à equipe para ação ou enviados a ferramentas de automação de resposta que mantêm a equipe informada por meio de mensagens da estrutura de automação.
Plano de melhoria
Configurar registro em log de serviço e aplicativo
AWS Answers: native AWS security-logging capabilities
Getting started with CloudWatch Logs
Developer Tools/Log Analysis
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls
AWS Config
Lab: Automated Deployment of Detective Controls
AWS Security Hub
Analisar logs, descobertas e métricas de forma centralizada
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions
Configuring Athena to analyze CloudTrail logs
Centralize logging solution
Logging and Monitoring
Automatizar a resposta a eventos
Lab: Automated Deployment of Detective Controls
Lab: Amazon GuardDuty hands on
Implementar eventos de segurança acionáveis
AWS service documentation
Using Amazon CloudWatch Metrics
Using Amazon CloudWatch Alarms