SEC04-BP01 Configurer une journalisation de service et d’application

Les journaux sont conservés indéfiniment ou supprimés trop tôt.

Tout le monde peut accéder aux journaux.

Se fier entièrement aux processus manuels pour la gouvernance et l’utilisation des journaux.

Stocke de tous types de journaux, même si leur utilisation n’est pas garantie.

Vérification de l’intégrité des journaux uniquement lorsque cela s’avère nécessaire.

Sélectionnez et utilisez les sources de journaux. Avant une enquête de sécurité, vous devez saisir les journaux pertinents pour reconstruire rétroactivement l’activité dans un Compte AWS. Sélectionnez les sources de journaux pertinentes pour vos charges de travail.

Les critères de sélection des sources de journaux doivent être fondés sur les cas d’utilisation requis par votre entreprise. Mettez en place une piste pour chaque Compte AWS en utilisant AWS CloudTrail ou une piste AWS Organizations, puis configurez un compartiment Amazon S3 pour cette piste.

AWS CloudTrail est un service de journalisation qui suit les appels API sur un Compte AWS pour capturer l’activité de service AWS. Il est activé par défaut avec une rétention de 90 jours des événements de gestion qui peuvent être récupérés via l’historique des événements CloudTrail à l’aide AWS Management Console, de AWS CLI, ou d’un SDK AWS. Pour une rétention plus longue et une meilleure visibilité des événements de données, créez une piste CloudTrail et associez-la à un compartiment Amazon S3, et éventuellement à un groupe de journaux Amazon CloudWatch. Vous pouvez également créer un CloudTrail Lake, qui conserve les journaux CloudTrail pendant une période maximale de sept ans et fournit une fonction de requête basée sur SQL

AWS recommande aux clients utilisant un VPC d’activer le trafic réseau et les journaux DNS à l’aide des journaux de flux VPC et des journaux de requêtes du résolveur Amazon Route 53, respectivement, et de les diffuser vers un compartiment Amazon S3 ou un groupe de journaux CloudWatch. Vous pouvez créer un journal de flux VPC pour un VPC, un sous-réseau ou une interface réseau. Pour les journaux de flux VPC, vous pouvez choisir la façon dont et l’endroit où vous les utilisez pour réduire les coûts.

Les journaux AWS CloudTrail, les journaux de flux VPC et les journaux de requêtes du résolveur Route 53 sont les sources de journalisation de base qui soutiennent les enquêtes de sécurité dans AWS. Vous pouvez également utiliser Amazon Security Lake pour collecter, normaliser et stocker ces données de journal au format Apache Parquet et au format Open Cybersecurity Schema Framework (OCSF), qui est prêt à être interrogé. Security Lake prend également en charge d’autres journaux AWS et des journaux de sources tierces.

Les services AWS peuvent générer des journaux non capturés par les sources de journaux de base, comme les journaux Elastic Load Balancing, les journaux AWS WAF, les journaux de l’enregistreur AWS Config, les résultats Amazon GuardDuty, les journaux d’audit Amazon Elastic Kubernetes Service (Amazon EKS) et les journaux d’application et de système d’exploitation des instances Amazon EC2. Pour une liste complète des options de journalisation et de surveillance, consultez l’annexe A : Définitions des fonctionnalités cloud : journalisation et événements du Guide de réponse aux incidents de sécurité AWS.

Recherchez des capacités de journalisation pour chaque service et application AWS : chaque service et application AWS vous propose des options de stockage des journaux, chacune ayant ses propres capacités de conservation et de cycle de vie. Amazon Simple Storage Service (Amazon S3) et Amazon CloudWatch sont les deux services de stockage de journaux les plus courants. Pour de longues périodes de conservation, il est recommandé d’utiliser Amazon S3 pour sa rentabilité et ses capacités de cycle de vie flexibles. Si l’option de journalisation principale est Journaux Amazon CloudWatch Logs, en tant qu’option, vous devez envisager d’archiver les journaux les moins consultés dans Amazon S3.

Sélectionnez le stockage des journaux : le choix du stockage des journaux dépend généralement de l’outil de requête que vous utilisez, des capacités de conservation, de la familiarité et du coût. Les options principales du stockage de journaux sont un compartiment Amazon S3 ou un groupe de journaux CloudWatch.

Un compartiment Amazon S3 offre un stockage durable et rentable avec une politique de cycle de vie facultative. Les journaux stockés dans des compartiments Amazon S3 peuvent être interrogés à l’aide de services tels qu’Amazon Athena.

Un groupe de journaux CloudWatch offre un stockage durable et une installation de requête intégrée via CloudWatch Logs Insights.

Identifiez la rétention appropriée des journaux : lorsque vous utilisez un compartiment Amazon S3 ou un groupe de journaux CloudWatch pour stocker des journaux, vous devez établir des cycles de vie adéquats pour chaque source de journaux afin d’optimiser les coûts de stockage et de récupération. Les clients ont généralement entre trois mois et un an de journaux facilement disponibles pour la recherche, avec une conservation de sept ans maximum. Le choix de la disponibilité et de la conservation doit correspondre à vos exigences en matière de sécurité et à un ensemble d’obligations statutaires, réglementaires et opérationnelles.

Utilisez la journalisation pour chaque service et application AWS avec des politiques de conservation et de cycle de vie appropriées : pour chaque service ou application AWS de votre organisation, consultez les instructions de configuration de journalisation spécifiques :

Sélectionnez et implémentez des mécanismes d’interrogation pour les journaux : pour les interrogations de journal, vous pouvez utiliser CloudWatch Logs Insights pour les données stockées dans les groupes de journaux CloudWatch, et Amazon Athena et Amazon OpenSearch Service pour les données stockées dans Amazon S3. Vous pouvez également utiliser des outils d’interrogation tiers tels qu’un service de gestion des informations de sécurité et des événements (SIEM).

Le processus de sélection d’un outil d’interrogation de journaux doit tenir compte des aspects humains, technologiques et de processus de vos opérations de sécurité. Choisissez un outil qui répond aux exigences opérationnelles, métier et de sécurité, tout en étant accessible et gérable à long terme. Gardez à l’esprit que les outils d’interrogation de journaux fonctionnent de manière optimale lorsque le nombre de journaux à analyser est maintenu dans les limites de l’outil. Il n’est pas rare d’avoir plusieurs outils d’interrogation en raison de contraintes de coût ou techniques.

Par exemple, vous pouvez utiliser un outil de gestion des événements et des informations de sécurité tiers pour effectuer des requêtes sur les 90 derniers jours de données, mais utiliser Athena pour effectuer des requêtes au-delà de 90 jours en raison du coût d’ingestion du journal d’un SIEM. Quelle que soit l’implémentation choisie, assurez-vous que votre approche réduit au minimum le nombre d’outils requis pour maximiser l’efficacité opérationnelle, en particulier pendant une enquête sur un événement de sécurité.

Utiliser les journaux pour les alertes : AWS fournit des alertes par le biais de plusieurs services de sécurité :

Vous pouvez également utiliser des moteurs de génération d’alertes personnalisés pour les alertes de sécurité non couvertes par ces services ou pour les alertes spécifiques pertinentes à votre environnement. Pour plus d’informations sur la création de ces alertes et détections, consultez la section Détection dans le Guide de réponse aux incidents de sécurité AWS.

SEC04-BP02 Capturer les journaux, les résultats et les métriques dans des emplacements standardisés

SEC07-BP04 Définir la gestion évolutive du cycle de vie des données

SEC10-BP06 Outils de pré-déploiement

Guide d’intervention en cas d’incident de sécurité AWS

Premiers pas avec Amazon Security Lake

Démarrer : Amazon CloudWatch Logs

AWS re:Invent 2022 - Introducing Amazon Security Lake

Assistant Log Enabler pour AWS

Exportation historique des résultats AWS Security Hub