SEC04-BP02 Rekam log, temuan, dan metrik di lokasi standar - Pilar Keamanan
Panduan implementasiLangkah-langkah implementasiSumber daya

SEC04-BP02 Rekam log, temuan, dan metrik di lokasi standar

Tim keamanan mengandalkan log dan temuan untuk melakukan analisis terhadap peristiwa yang mungkin mengindikasikan aktivitas yang tidak sah atau perubahan yang tidak disengaja. Untuk menyederhanakan analisis ini, lakukan perekaman log dan temuan keamanan di lokasi yang terstandardisasi.  Hal ini membuat titik data yang menjadi perhatian tersedia untuk korelasi dan dapat menyederhanakan integrasi alat.

Hasil yang diinginkan: Anda memiliki pendekatan standar untuk mengumpulkan, menganalisis, dan memvisualisasikan data log, temuan, dan metrik. Tim keamanan dapat secara efisien mengorelasikan, menganalisis, dan memvisualisasikan data keamanan di seluruh sistem yang berbeda untuk menemukan kemungkinan adanya potensi peristiwa keamanan dan mengidentifikasi anomali. Sistem manajemen informasi dan peristiwa keamanan (SIEM) atau mekanisme lainnya diintegrasikan untuk melakukan kueri dan analisis data log guna melakukan respons, pelacakan, dan eskalasi peristiwa keamanan secara tepat waktu.

Anti-pola umum:

  • Tim secara mandiri memiliki dan mengelola pencatatan log dan pengumpulan metrik yang tidak konsisten dengan strategi pencatatan log organisasi.

  • Tim tidak memiliki kontrol akses yang memadai untuk membatasi visibilitas dan perubahan terhadap data yang dikumpulkan.

  • Tim tidak mengatur log, temuan, dan metrik keamanan mereka sebagai bagian dari kebijakan klasifikasi data.

  • Tim mengabaikan persyaratan kedaulatan dan pelokalan data saat melakukan konfigurasi terhadap pengumpulan data.

Manfaat menjalankan praktik terbaik ini: Solusi pencatatan log standar untuk mengumpulkan dan menanyakan data dan peristiwa log akan meningkatkan wawasan yang diperoleh dari informasi yang dikandungnya. Konfigurasi siklus hidup otomatis untuk data log yang dikumpulkan dapat mengurangi biaya yang ditimbulkan oleh penyimpanan log. Anda dapat membuat kontrol akses terperinci untuk informasi log yang dikumpulkan sesuai dengan sensitivitas data dan pola akses yang dibutuhkan oleh tim-tim Anda. Anda dapat mengintegrasikan peralatan untuk mengorelasikan, memvisualisasikan, dan memperoleh wawasan dari data.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Pertumbuhan penggunaan AWS dalam sebuah organisasi menghasilkan peningkatan jumlah beban kerja dan lingkungan yang terdistribusi. Karena masing-masing beban kerja dan lingkungan ini menghasilkan data tentang aktivitas di dalamnya, pencatatan dan penyimpanan data ini secara lokal akan menimbulkan kesulitan untuk operasi keamanan. Tim keamanan menggunakan alat-alat seperti, misalnya sistem manajemen informasi dan peristiwa keamanan (SIEM), untuk mengumpulkan data dari sumber terdistribusi serta menjalani alur kerja korelasi, analisis, dan respons. Hal ini membutuhkan pengelolaan serangkaian izin yang kompleks untuk mengakses berbagai sumber data dan overhead tambahan dalam mengoperasikan proses-proses extract, transform, and load (ETL).

Untuk mengatasi tantangan ini, pertimbangkan untuk menggabungkan semua sumber data log keamanan yang relevan ke dalam akun Arsip Log seperti yang dijelaskan dalam Mengatur Lingkungan AWS Anda dengan Menggunakan Beberapa Akun. Hal ini mencakup semua data terkait keamanan dari beban kerja dan log yang dihasilkan layanan AWS, seperti, AWS CloudTrail, AWS WAF, Penyeimbangan Beban Elastis, dan Amazon Route 53. Ada beberapa manfaat untuk merekam data ini di lokasi terstandardisasi dalam sebuah Akun AWS terpisah dengan izin lintas akun yang tepat. Praktik ini membantu mencegah log dimanipulasi dalam beban kerja dan lingkungan yang mengalami kebocoran keamanan, menyediakan satu titik integrasi untuk alat tambahan, dan menawarkan model yang lebih sederhana untuk mengonfigurasi retensi data dan siklus hidup data.  Evaluasi dampak kedaulatan data, cakupan kepatuhan, dan peraturan lainnya untuk menentukan apakah beberapa lokasi penyimpanan data dan periode retensi data keamanan diperlukan.

Untuk memudahkan perekaman dan standardisasi log dan temuan, lakukan evaluasi terhadap Amazon Security Lake di akun Arsip Log Anda. Anda dapat mengonfigurasi Danau Keamanan untuk secara otomatis menyerap data dari sumber umum seperti CloudTrail, Route 53, Amazon EKS, dan VPC Flow Logs. Anda juga dapat mengonfigurasi AWS Security Hub sebagai sumber data ke Danau Keamanan, memungkinkan Anda untuk mengkorelasikan temuan dari layanan-layanan AWS lain, seperti Amazon GuardDuty dan Amazon Inspector, dengan data log Anda.  Anda juga dapat menggunakan integrasi sumber data pihak ketiga, atau mengonfigurasi sumber data kustom. Semua integrasi menstandardisasi data Anda ke dalam format Open Cybersecurity Schema Framework (OCSF), dan disimpan dalam bucket Amazon S3 sebagai file Parket, sehingga tidak perlu ada pemrosesan ETL.

Menyimpan data keamanan di lokasi terstandardisasi akan memberikan kemampuan analitik tingkat lanjut. AWS merekomendasikan Anda untuk men-deploy alat untuk analitik keamanan yang beroperasi di sebuah lingkungan AWS ke akun Peralatan Keamanan yang terpisah dari akun Arsip Log Anda. Pendekatan ini akan memungkinkan Anda untuk mengimplementasikan kontrol secara mendalam guna melindungi integritas dan ketersediaan log serta proses manajemen log, terpisah dari alat yang mengaksesnya.  Pertimbangkan untuk menggunakan layanan-layanan, seperti Amazon Athena, untuk menjalankan kueri sesuai permintaan yang menghubungkan beberapa sumber data. Anda juga dapat mengintegrasikan alat-alat visualisasi, seperti Amazon QuickSight. Solusi yang didukung AI makin banyak tersedia dan dapat melakukan berbagai fungsi, misalnya menerjemahkan temuan ke dalam ringkasan yang dapat dibaca manusia dan interaksi bahasa yang alami. Solusi ini sering kali lebih mudah diintegrasikan dengan memiliki lokasi penyimpanan data terstandardisasi untuk melakukan kueri.

Langkah-langkah implementasi

  1. Buat akun Arsip Log dan Peralatan Keamanan

    1. Dengan menggunakan AWS Organizations, buat akun Arsip Log dan Peralatan Keamanan di bawah sebuah unit organisasi keamanan. Jika Anda menggunakan AWS Control Tower untuk mengelola organisasi Anda, maka akun Arsip Log dan Alat Keamanan akan dibuat untuk Anda secara otomatis. Konfigurasikan peran dan izin untuk mengakses dan mengelola akun ini sesuai kebutuhan.

  2. Konfigurasikan lokasi data keamanan terstandardisasi Anda

    1. Tentukan strategi Anda untuk membuat lokasi data keamanan terstandardisasi.  Anda dapat mencapai ini melalui opsi seperti pendekatan arsitektur danau data umum, produk data pihak ketiga, atau Amazon Security Lake. AWS merekomendasikan agar Anda merekam data keamanan dari Wilayah AWS yang ikut serta untuk akun Anda, bahkan ketika tidak digunakan secara aktif.

  3. Konfigurasikan publikasi sumber data ke lokasi terstandardisasi Anda

    1. Identifikasi sumber-sumber untuk data keamanan Anda dan konfigurasikan untuk dipublikasikan ke lokasi terstandardisasi Anda. Lakukan evaluasi terhadap opsi-opsi untuk mengekspor data secara otomatis dalam format yang diinginkan dan bukan opsi-opsi di mana proses ETL perlu dikembangkan. Dengan Amazon Security Lake, Anda dapat mengumpulkan data dari sumber AWS yang didukung dan sistem pihak ketiga yang terintegrasi.

  4. Konfigurasikan alat untuk mengakses lokasi terstandardisasi Anda

    1. Konfigurasikan alat-alat seperti Amazon Athena, Amazon QuickSight, atau solusi pihak ketiga untuk memiliki akses yang diperlukan ke lokasi terstandardisasi Anda.  Konfigurasikan alat-alat ini agar dapat beroperasi di luar akun Alat Keamanan dengan akses baca lintas akun ke akun Arsip Log, jika diperlukan. Buat pelanggan di Amazon Security Lake untuk memberi alat-alat ini akses ke data Anda.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Contoh terkait:

Alat terkait: