SEC04-BP01 Mengonfigurasi pencatatan log layanan dan aplikasi
Pertahankan log peristiwa keamanan dari layanan dan aplikasi. Ini merupakan prinsip fundamental dalam keamanan untuk audit, penyelidikan, dan kasus penggunaan operasional, serta merupakan persyaratan keamanan umum yang didorong oleh prosedur, kebijakan, dan standar tata kelola, risiko, serta kepatuhan (GRC).
Hasil yang diinginkan: Organisasi harus dapat secara andal dan konsisten mengambil log peristiwa keamanan dari layanan dan aplikasi AWS secara tepat waktu ketika diperlukan untuk memenuhi proses atau kewajiban internal, misalnya untuk respons insiden keamanan. Sebaiknya pusatkan log untuk mendapatkan hasil operasional yang lebih baik.
Anti-pola umum:
-
Log disimpan tanpa batas waktu yang jelas atau dihapus terlalu cepat.
-
Semua orang dapat mengakses log.
-
Sepenuhnya menggunakan proses manual untuk tata kelola dan penggunaan log.
-
Menyimpan setiap jenis log untuk berjaga-jaga jika diperlukan.
-
Memeriksa integritas log hanya jika diperlukan.
Manfaat menerapkan praktik terbaik ini: Menerapkan mekanisme analisis akar penyebab (RCA) untuk insiden keamanan dan sumber bukti untuk kewajiban tata kelola, risiko, dan kepatuhan Anda.
Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi
Panduan implementasi
Selama penyelidikan keamanan atau kasus penggunaan lain berdasarkan kebutuhan Anda, Anda harus dapat meninjau log yang relevan untuk mencatat dan memahami seluruh cakupan serta lini masa insiden. Log juga diperlukan untuk pembuatan peringatan yang mengindikasikan bahwa tindakan-tindakan tertentu telah terjadi. Sangat penting bagi Anda untuk memilih, menyalakan, menyimpan, dan menyiapkan mekanisme kueri dan pengambilan serta pembuatan peringatan.
Langkah-langkah implementasi
-
Pilih dan gunakan sumber log. Sebelum melakukan penyelidikan keamanan, Anda perlu mengambil log yang relevan untuk merekonstruksi aktivitas secara surut di Akun AWS. Pilih sumber log yang relevan dengan beban kerja Anda.
Kriteria pemilihan sumber log harus didasarkan pada kasus penggunaan yang diperlukan oleh bisnis Anda. Tetapkan jejak untuk setiap Akun AWS dengan menggunakan AWS CloudTrail atau jejak AWS Organizations, dan konfigurasikan bucket Amazon S3 untuk jejak tersebut.
AWS CloudTrail adalah sebuah layanan pencatatan log yang melacak panggilan API yang dibuat terhadap Akun AWS yang merekam aktivitas layanan AWS. Hal ini dinyalakan secara default dengan retensi 90 hari dari peristiwa manajemen yang dapat diambil melalui fasilitas Riwayat Peristiwa CloudTrail menggunakan AWS Management Console, AWS CLI, atau SDK AWS. Untuk retensi dan visibilitas peristiwa data yang lebih lama, Anda perlu membuat CloudTrail Trail dan kaitkan dengan bucket Amazon S3, dan juga dengan grup log Amazon CloudWatch. Selain itu, Anda dapat membuat CloudTrail Lake, yang menyimpan dan mempertahankan log CloudTrail hingga tujuh tahun dan menyediakan fasilitas kueri berbasis SQL
AWS merekomendasikan agar pelanggan yang menggunakan lalu lintas jaringan berkemampuan VPC dan log DNS yang menggunakan Log Alur VPC dan log kueri Amazon Route 53 Resolver untuk mengalirkannya ke sebuah bucket Amazon S3 atau grup log CloudWatch. Anda dapat membuat log arus VPC untuk VPC, subnet, dan antarmuka jaringan. Untuk Log Arus VPC, Anda dapat memilih cara dan tempat penggunaan Log Arus untuk mengurangi biaya.
Log AWS CloudTrail, Log Arus VPC, dan log kueri Route 53 Resolver merupakan sumber pencatatan log dasar untuk mendukung penyelidikan keamanan di AWS. Anda juga dapat menggunakan Danau Keamanan Amazon untuk mengumpulkan, menormalkan, dan menyimpan data log ini dalam format Apache Parquet dan Open Cybersecurity Schema Framework (OCSF), yang siap untuk pelaksanaan kueri. Danau Keamanan juga mendukung log AWS lainnya dan log dari sumber pihak ketiga.
Layanan-layanan AWS dapat menghasilkan log yang tidak ditangkap oleh sumber log dasar, seperti log Penyeimbangan Beban Elastis, log AWS WAF, log perekam AWS Config, temuan Amazon GuardDuty, log audit Amazon Elastic Kubernetes Service (Amazon EKS), dan log aplikasi serta sistem operasi instans Amazon EC2. Untuk melihat daftar lengkap opsi pencatatan dan pemantauan, silakan lihat Lampiran A: Definisi kemampuan cloud — Pencatatan Log dan Peristiwa yang ada di Panduan Respons Insiden Keamanan AWS.
-
Kemampuan pencatatan log penelitian untuk masing-masing layanan dan aplikasi AWS: Setiap layanan dan aplikasi AWS memberi Anda opsi untuk penyimpanan log, yang masing-masing memiliki kemampuan retensi dan siklus hidupnya sendiri. Dua layanan penyimpanan log yang paling umum adalah layanan Amazon Simple Storage Service (Amazon S3) dan Amazon CloudWatch. Untuk periode retensi yang panjang, sebaiknya gunakan Amazon S3 untuk mendapatkan efektivitas biaya dan kemampuan siklus hidup yang fleksibel. Jika opsi pencatatan log utama adalah Log Amazon CloudWatch, sebagai opsi, Anda dapat mempertimbangkan untuk mengarsipkan log yang jarang diakses ke Amazon S3.
-
Pilih penyimpanan log: Pilihan penyimpanan log umumnya terkait dengan alat kueri yang Anda gunakan, kemampuan retensi, pemahaman, dan biaya. Opsi utama untuk penyimpanan log adalah bucket Amazon S3 atau grup Log CloudWatch.
Bucket Amazon S3 menyediakan penyimpanan yang tahan lama dan hemat biaya, dengan kebijakan siklus hidup opsional. Log yang disimpan di dalam bucket Amazon S3 dapat dikueri secara native dengan menggunakan layanan-layanan seperti Amazon Athena.
Grup log CloudWatch menyediakan penyimpanan yang tahan lama dan fasilitas kueri bawaan melalui Wawasan Log CloudWatch.
-
Identifikasi retensi log yang sesuai: Saat menggunakan bucket Amazon S3 atau grup log CloudWatch untuk menyimpan log, Anda harus menetapkan siklus hidup yang memadai untuk setiap sumber log guna mengoptimalkan biaya penyimpanan dan pengambilan. Pada umumnya, para pelanggan memiliki waktu antara tiga bulan hingga satu tahun untuk melakukan kueri log, dengan periode retensi hingga tujuh tahun. Pilihan ketersediaan dan retensi harus selaras dengan persyaratan keamanan Anda serta gabungan mandat hukum, peraturan, dan bisnis.
-
Gunakan pencatatan log untuk masing-masing layanan dan aplikasi AWS yang memiliki kebijakan retensi dan siklus hidup yang tepat: Untuk setiap layanan atau aplikasi AWS yang ada di organisasi Anda, cari panduan konfigurasi pencatatan log yang spesifik untuk aplikasi atau layanan tersebut:
-
Pilih dan terapkan mekanisme kueri untuk log: Untuk kueri log, Anda dapat menggunakan CloudWatch Logs Insights untuk data yang disimpan di grup log CloudWatch, serta Amazon Athena
dan Amazon OpenSearch Service untuk data yang disimpan di Amazon S3. Anda dapat menggunakan alat kueri pihak ketiga, misalnya sebuah layanan informasi keamanan dan manajemen peristiwa (SIEM). Proses untuk memilih alat kueri log harus mempertimbangkan aspek orang, proses, dan teknologi dalam operasi keamanan Anda. Pilihlah sebuah alat yang memenuhi persyaratan operasional, bisnis, dan keamanan, serta dapat diakses dan dipelihara dalam jangka panjang. Perlu diingat bahwa alat kueri log bekerja secara optimal ketika jumlah log yang akan dipindai tidak melebihi batas alat. Tidak jarang terdapat beberapa alat kueri karena adanya kendala biaya atau teknis.
Misalnya, Anda mungkin menggunakan alat manajemen informasi dan peristiwa keamanan (SIEM) pihak ketiga untuk menjalankan kueri data selama 90 hari terakhir, tetapi menggunakan Athena untuk menjalankan kueri di atas 90 hari karena biaya penyerapan log SIEM. Terlepas dari implementasi, pastikan pendekatan Anda akan meminimalkan jumlah alat yang diperlukan untuk memaksimalkan efisiensi operasional, khususnya selama penyelidikan peristiwa keamanan.
-
Gunakan log untuk pembuatan peringatan: AWS menyediakan peringatan melalui beberapa layanan keamanan:
-
AWS Config
memantau dan merekam konfigurasi sumber daya AWS Anda serta memungkinkan Anda untuk mengotomatisasi evaluasi dan perbaikan berdasarkan konfigurasi yang diinginkan. -
Amazon GuardDuty
adalah sebuah layanan deteksi ancaman yang terus memantau aktivitas berbahaya dan perilaku tidak terotorisasi untuk melindungi Akun AWS dan beban kerja Anda. GuardDuty menyerap, mengumpulkan, dan menganalisis informasi dari sumber, seperti peristiwa manajemen dan data AWS CloudTrail, log DNS, Log Aliran VPC, dan log Audit Amazon EKS. GuardDuty menarik aliran data independen secara langsung dari CloudTrail, Log Aliran VPC, log kueri DNS, dan Amazon EKS. Anda tidak perlu mengelola kebijakan bucket Amazon S3 atau mengubah cara Anda mengumpulkan dan menyimpan log. Sebaiknya tetap simpan dan mempertahankan log tersebut untuk tujuan penyelidikan dan kepatuhan. -
AWS Security Hub
menyediakan satu tempat yang mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan Anda, atau temuan, dari beberapa layanan AWS serta produk pihak ketiga opsional untuk memberikan Anda tampilan peringatan keamanan dan status kepatuhan secara komprehensif.
Anda juga dapat menggunakan mesin pembuat peringatan kustom untuk peringatan keamanan yang tidak dicakup oleh layanan-layanan ini atau untuk peringatan tertentu yang relevan dengan lingkungan Anda. Untuk informasi tentang membuat peringatan dan deteksi ini, lihat Deteksi di Panduan Respons Insiden Keamanan AWS.
-
Sumber daya
Praktik-praktik terbaik terkait:
Dokumen terkait:
Video terkait:
Contoh terkait: