Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren Sie die Protokollierung und Überwachung von Sicherheitsereignissen in Ihrer AWS IoT Umgebung
Erstellt von Prateek Prakash () AWS
Übersicht
Sicherzustellen, dass Ihre Internet of Things (IoT) -Umgebungen sicher sind, ist eine wichtige Priorität, insbesondere weil Unternehmen Milliarden von Geräten mit ihren IT-Umgebungen verbinden. Dieses Muster bietet eine Referenzarchitektur, mit der Sie die Protokollierung und Überwachung von Sicherheitsereignissen in Ihrer IoT-Umgebung auf dem implementieren können AWS Cloud. In der Regel besteht eine IoT-Umgebung auf der AWS Cloud aus den folgenden drei Ebenen:
IoT-Geräte, die relevante Telemetriedaten generieren.
AWS IoT Dienste (z. B., AWS IoT CoreAWS IoT Device Management, oder AWS IoT Device Defender), die Ihre IoT-Geräte mit anderen Geräten verbinden und AWS-Services.
Backend AWS-Services , das bei der Verarbeitung von Telemetriedaten hilft und nützliche Einblicke für Ihre verschiedenen geschäftlichen Anwendungsfälle bietet.
Die Best Practices des Whitepapers AWS IoT Lens — AWS Well-Architected Framework können Ihnen helfen, Ihre Cloud-basierte Architektur zu überprüfen und zu verbessern und die geschäftlichen Auswirkungen Ihrer Designentscheidungen besser zu verstehen. Eine wichtige Empfehlung ist, dass Sie Anwendungsprotokolle und Metriken auf Ihren Geräten und in der analysieren. AWS Cloud Sie können dies erreichen, indem Sie verschiedene Ansätze und Techniken (z. B. Bedrohungsmodellierung
Dieses Muster beschreibt, wie Sicherheitsdienste verwendet AWS IoT werden, um eine Referenzarchitektur für Sicherheitsprotokollierung und Überwachung für eine IoT-Umgebung auf dem zu entwerfen und zu implementieren AWS Cloud. Diese Architektur baut auf bestehenden bewährten AWS Sicherheitsmethoden auf und wendet sie auf Ihre IoT-Umgebung an.
Voraussetzungen und Einschränkungen
Voraussetzungen
Eine bestehende Landezonenumgebung. Weitere Informationen dazu finden Sie im Leitfaden Einrichtung einer sicheren und skalierbaren AWS Umgebung mit mehreren Konten auf der AWS Prescriptive Guidance-Website.
Die folgenden Konten müssen in Ihrer landing zone verfügbar sein:
Log-Archive-Konto — Dieses Konto ist für Benutzer vorgesehen, die auf die Protokollinformationen für Konten in den Organisationseinheiten Ihrer Landing Zone zugreifen müssen (OUs). Weitere Informationen dazu finden Sie im Abschnitt Security OU — Log Archive account im Leitfaden AWS Security Reference Architecture auf der AWS Prescriptive Guidance-Website.
Sicherheitskonto — Ihre Sicherheits- und Compliance-Teams verwenden dieses Konto für Prüfungen oder zur Durchführung von Sicherheitsvorkehrungen im Notfall. Dieses Konto wird auch als Administratorkonto für Amazon bezeichnet GuardDuty. Benutzer des Administratorkontos können neben der Anzeige und Verwaltung der GuardDuty Ergebnisse auch Einstellungen GuardDuty für ihr eigenes Konto und alle Mitgliedskonten vornehmen. Weitere Informationen dazu finden Sie GuardDutyin der GuardDuty Dokumentation unter Mehrere Konten verwalten.
IoT-Konto — Dieses Konto ist für Ihre IoT-Umgebung.
Architektur
Dieses Muster erweitert die Centralized Logging-Lösung
Das folgende Architekturdiagramm zeigt die wichtigsten Komponenten einer IoT-Sicherheitsprotokollierung und Referenzarchitektur auf dem AWS Cloud.
Das Diagramm zeigt den folgenden Workflow:
IoT-Geräte sind Geräte, die auf ungewöhnliche Sicherheitsereignisse überwacht werden müssen. Auf diesen Geräten wird ein Agent ausgeführt, der Sicherheitsereignisse oder Metriken für AWS IoT Core und veröffentlicht. AWS IoT Device Defender
Wenn die AWS IoT Protokollierung aktiviert ist, werden Fortschrittsereignisse zu jeder Nachricht AWS IoT gesendet, die von Ihren Geräten über den Nachrichtenbroker und die Regel-Engine an Amazon CloudWatch Logs weitergeleitet wird. Sie können CloudWatch Logs-Abonnements verwenden, um Ereignisse an eine zentralisierte Protokollierungslösung zu übertragen. Weitere Informationen dazu finden Sie in der AWS IoT Core Dokumentation unter AWS IoT Metriken und Dimensionen.
AWS IoT Device Defender hilft bei der Überwachung unsicherer Konfigurationen und Sicherheitsmetriken für Ihre IoT-Geräte. Wenn eine Anomalie erkannt wird, benachrichtigen Alarme den Amazon Simple Notification Service (AmazonSNS), der eine AWS Lambda Funktion als Abonnent hat. Die Lambda-Funktion sendet den Alarm als Nachricht an CloudWatch Logs. Sie können CloudWatch Logs-Abonnements verwenden, um Ereignisse an Ihre zentralisierte Logging-Lösung zu übertragen. Weitere Informationen dazu finden Sie in der Dokumentation unter Prüfprüfungen, Geräteseitige CloudWatch Protokolle hochladen und AWS IoT Protokollierung konfigurieren. AWS IoT Core
AWS CloudTrail protokolliert Aktionen auf der AWS IoT Core Kontrollebene, die Änderungen vornehmen (z. B. das Erstellen, Aktualisieren oder AnhängenAPIs). Wenn CloudTrail es als Teil einer landing zone Zone-Implementierung eingerichtet wird, sendet es Ereignisse an CloudWatch Logs. Sie können Abonnements verwenden, um Ereignisse an Ihre zentralisierte Protokollierungslösung weiterzuleiten.
AWS Config verwaltete Regeln oder benutzerdefinierte Regeln bewerten Ressourcen, die Teil Ihrer IoT-Umgebung sind. Überwachen Sie Ihre Benachrichtigungen über Compliance-Änderungen, indem Sie CloudWatch Ereignisse mit CloudWatch Protokollen als Ziel verwenden. Nachdem Benachrichtigungen über Konformitätsänderungen an CloudWatch Logs gesendet wurden, können Sie mithilfe von Abonnements Ereignisse an Ihre zentralisierte Protokollierungslösung weiterleiten.
Amazon analysiert GuardDuty kontinuierlich CloudTrail Verwaltungsereignisse und hilft dabei, API Anrufe zu identifizieren, die von bekannten bösartigen IP-Adressen, ungewöhnlichen Geolokationen oder anonymisierenden Proxys an AWS IoT Core Endpunkte getätigt wurden. Überwachen Sie GuardDuty Benachrichtigungen mithilfe von CloudWatch Ereignissen mit Protokollgruppen in Protokollen als Ziel. CloudWatch Wenn GuardDuty Benachrichtigungen an CloudWatch Logs gesendet werden, können Sie Abonnements verwenden, um Ereignisse an Ihre zentrale Überwachungslösung weiterzuleiten, oder die GuardDuty Konsole in Ihrem Sicherheitskonto verwenden, um die Benachrichtigungen anzuzeigen.
AWS Security Hub überwacht Ihr IoT-Konto mithilfe bewährter Sicherheitsmethoden. Überwachen Sie Security Hub Hub-Benachrichtigungen, indem Sie CloudWatch Ereignisse mit Protokollgruppen in CloudWatch Logs als Ziel verwenden. Wenn Security Hub Hub-Benachrichtigungen an CloudWatch Logs gesendet werden, verwenden Sie Abonnements, um Ereignisse an Ihre Centralized Monitoring-Lösung zu übertragen, oder verwenden Sie die Security Hub Hub-Konsole in Ihrem Security-Konto, um sich die Benachrichtigungen anzusehen.
Amazon Detective bewertet und analysiert Informationen, um die Grundursache zu ermitteln und bei Sicherheitsergebnissen für ungewöhnliche Anrufe an AWS IoT Endpunkte oder andere Dienste in Ihrer IoT-Architektur Maßnahmen zu ergreifen.
Amazon Athena fragt die in Ihrem Log Archive-Konto gespeicherten Protokolle ab, um Ihr Verständnis der Sicherheitsergebnisse zu verbessern und Trends und böswillige Aktivitäten zu identifizieren.
Tools
Amazon Athena ist ein interaktiver Abfrageservice, der es einfach macht, Daten mithilfe von Standard SQL direkt in Amazon Simple Storage Service (Amazon S3) zu analysieren.
AWS CloudTrailhilft Ihnen dabei, die Unternehmensführung, die Einhaltung der Vorschriften sowie die Betriebs- und Risikoprüfung Ihres AWS-Konto Unternehmens zu ermöglichen.
Amazon CloudWatch überwacht Ihre AWS Ressourcen und die Anwendungen, auf denen Sie laufen, AWS in Echtzeit. Sie können CloudWatch damit Metriken sammeln und verfolgen. Dabei handelt es sich um Variablen, die Sie für Ihre Ressourcen und Anwendungen messen können.
Amazon CloudWatch Logs zentralisiert die Protokolle all Ihrer Systeme und Anwendungen, AWS-Services die Sie verwenden. Sie können die Protokolle anzeigen und überwachen, sie nach bestimmten Fehlercodes oder Mustern durchsuchen, sie nach bestimmten Feldern filtern oder sie für future Analysen sicher archivieren.
AWS Configbietet einen detaillierten Überblick über die Konfiguration der AWS Ressourcen in Ihrem AWS-Konto.
Amazon Detective macht es einfach, Sicherheitslücken oder verdächtige Aktivitäten zu analysieren, zu untersuchen und schnell die Ursache zu identifizieren.
AWS Glueist ein vollständig verwalteter Service zum Extrahieren, Transformieren und Laden (ETL), mit dem Sie Ihre Daten einfach und kostengünstig kategorisieren, bereinigen, anreichern und zuverlässig zwischen verschiedenen Datenspeichern und Datenströmen verschieben können.
Amazon GuardDuty ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung.
AWS IoT Corebietet sichere, bidirektionale Kommunikation für mit dem Internet verbundene Geräte (wie Sensoren, Aktuatoren, eingebettete Geräte, drahtlose Geräte und intelligente Geräte), um eine Verbindung zu den Geräten AWS Cloud überMQTT, und herzustellen. HTTPS LoRa WAN
AWS IoT Device Defender ist ein Sicherheitsservice, der es Ihnen ermöglicht, die Konfiguration Ihrer Geräte zu prüfen, verbundene Geräte zu überwachen, um anormales Verhalten zu erkennen, und Sicherheitsrisiken zu minimieren.
Amazon OpenSearch Service ist ein verwalteter Service, der die Bereitstellung, den Betrieb und die Skalierung von OpenSearch Clustern in der erleichtert AWS Cloud.
AWS Organizationsist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie selbst erstellen und zentral verwalten.
AWS Security Hubbietet einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen.
Amazon Virtual Private Cloud (AmazonVPC) bietet einen logisch isolierten Bereich, in AWS Cloud dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.
Epen
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Überprüfen Sie die Sicherheitsleitplanken im IoT-Konto. | Stellen Sie sicher, dass die Guardrails für CloudTrail AWS Config, GuardDuty, und Security Hub in Ihrem IoT-Konto aktiviert sind. | AWS-Administrator |
Stellen Sie sicher, dass Ihr IoT-Konto als Mitgliedskonto Ihres Sicherheitskontos konfiguriert ist. | Vergewissern Sie sich, dass Ihr IoT-Konto in Ihrem Security-Konto als Mitgliedskonto für GuardDuty und Security Hub konfiguriert und verknüpft ist. Weitere Informationen dazu finden Sie AWS Organizations in der GuardDuty Dokumentation unter GuardDuty Konten verwalten mit und Administrator- und Mitgliedskonten verwalten in der Security Hub Hub-Dokumentation. | AWS-Administrator |
Überprüfen Sie die Protokollarchivierung. | Stellen Sie sicher CloudTrail, dass AWS Config, und VPC Flow Logs im Log Archive-Konto gespeichert sind. | AWS-Administrator |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Richten Sie die Lösung für die zentralisierte Protokollierung in Ihrem Sicherheitskonto ein. | Melden Sie sich mit dem AWS Management Console for your Security-Konto an und richten Sie die zentralisierte Protokollierungslösung Weitere Informationen dazu finden Sie unter Sammeln, Analysieren und Anzeigen von CloudWatch Amazon-Logs in einem einzigen Dashboard mit der Centralized Logging-Lösung aus dem Implementierungsleitfaden für Centralized Logging in der AWS Lösungsbibliothek. | AWS-Administrator |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Richten Sie die AWS IoT Protokollierung ein. | Melden Sie sich AWS Management Console bei Ihrem IoT-Konto an. Richten Sie es ein und konfigurieren Sie AWS IoT Core es, um Protokolle an CloudWatch Logs zu senden. Weitere Informationen dazu finden Sie in der AWS IoT Core Dokumentation unter AWS IoT Protokollierung konfigurieren und AWS IoT mithilfe von CloudWatch Protokollen überwachen. | AWS-Administrator |
Einrichten AWS IoT Device Defender. | Richten Sie ein AWS IoT Device Defender , um Ihre IoT-Ressourcen zu prüfen und Anomalien zu erkennen. Weitere Informationen dazu finden Sie AWS IoT Device Defender in der Dokumentation unter Erste Schritte mit. AWS IoT Core | AWS-Administrator |
Einrichten CloudTrail. | CloudTrail So einrichten, dass Ereignisse an CloudWatch Logs gesendet werden. Weitere Informationen dazu finden Sie in der CloudTrail Dokumentation unter Ereignisse an CloudWatch Protokolle senden. | AWS-Administrator |
Einrichtung AWS Config und AWS Config Regeln. | Einrichtung AWS Config und die erforderlichen AWS Config Regeln. Weitere Informationen dazu finden Sie in der AWS Config Dokumentation unter Einrichtung AWS Config mit der Konsole und Hinzufügen von AWS Config Regeln. | AWS-Administrator |
Einrichten GuardDuty. | Richten Sie ein und konfigurieren Sie GuardDuty es, um Ergebnisse an Amazon CloudWatch Events mit Protokollgruppen in CloudWatch Logs als Ziel zu senden. Weitere Informationen dazu finden Sie in der GuardDuty Dokumentation unter Erstellen von benutzerdefinierten Antworten auf GuardDuty Ergebnisse mit Amazon CloudWatch Events. | AWS-Administrator |
Richten Sie Security Hub ein. | Richten Sie Security Hub ein und aktivieren Sie die CISAWSFoundations Benchmark - und AWSFoundational Security Best Practices-Standards. Weitere Informationen dazu finden Sie unter Automatisierte Reaktion und Problembehebung in der Security Hub Hub-Dokumentation. | AWS-Administrator |
Richten Sie Amazon Detective ein. | Richten Sie Detective ein, um die Analyse von Sicherheitsergebnissen zu erleichtern. Weitere Informationen dazu finden Sie unter Erste Schritte mit Amazon Detective in der Amazon Detective-Dokumentation. | AWS-Administrator |
Richten Sie Amazon Athena ein und AWS Glue. | Richten Sie Athena ein und fragen AWS Glue Sie die AWS-Service Protokolle ab, die zur Untersuchung von Sicherheitsvorfällen dienen. Weitere Informationen dazu finden Sie unter Abfragen von AWS-Service Protokollen in der Amazon Athena Athena-Dokumentation. | AWS-Administrator |
Zugehörige Ressourcen
