SEC04-BP02 Acquisizione di log, esiti e metriche in posizioni standardizzate - Pilastro della sicurezza
Guida all'implementazionePassaggi dell'implementazioneRisorse

SEC04-BP02 Acquisizione di log, esiti e metriche in posizioni standardizzate

I team di sicurezza si basano su log ed esiti per analizzare gli eventi che possono indicare attività non autorizzate o modifiche non intenzionali. Per semplificare tale analisi, acquisisci i log e gli esiti di sicurezza in posizioni standardizzate.  Ciò rende disponibili i punti di interesse dei dati per la correlazione e può semplificare le integrazioni degli strumenti.

Risultato desiderato: un approccio standardizzato alla raccolta, analisi e visualizzazione di dati di log, esiti e metriche. I team di sicurezza possono correlare, analizzare e visualizzare in modo efficiente i dati di sicurezza su sistemi diversi per scoprire potenziali eventi di sicurezza e identificare le anomalie. I sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) o altri meccanismi sono integrati per effettuare query e analizzare i dati dei log per risposte tempestive, tracciare ed eseguire escalation degli eventi di sicurezza.

Anti-pattern comuni:

  • I team hanno e gestiscono in modo indipendente la raccolta di log e metriche che non è coerente con la strategia di registrazione dell'organizzazione.

  • I team non dispongono di controlli di accesso adeguati per limitare visibilità e alterazione dei dati raccolti.

  • I team non gestiscono log, esiti e metriche di sicurezza nell'ambito della loro policy di classificazione dei dati.

  • I team trascurano i requisiti di sovranità e localizzazione dei dati durante la configurazione delle raccolte di dati.

Vantaggi dell'adozione di questa best practice: una soluzione di log standardizzata per raccogliere ed effettuare query su dati ed eventi dei log garantisce approfondimenti migliori ricavati dalle informazioni in essi contenute La configurazione di un ciclo di vita automatizzato per i dati di log raccolti può ridurre i costi sostenuti per l'archiviazione dei log. È possibile creare un controllo degli accessi granulare per le informazioni di log raccolte, in base a sensibilità dei dati e modelli di accesso richiesti dai team. Puoi integrare strumenti per correlare, visualizzare e ricavare informazioni dai dati.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

La crescita dell'utilizzo di AWS all'interno di un'organizzazione comporta un numero crescente di carichi di lavoro e ambienti distribuiti. Dato che ciascuno di questi carichi di lavoro e ambienti genera dati sull'attività al suo interno, l'acquisizione e l'archiviazione di questi dati a livello locale rappresenta una sfida per le operazioni di sicurezza. I team addetti alla sicurezza utilizzano strumenti come i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) per raccogliere dati da origini distribuite e sottoporli a flussi di lavoro di correlazione, analisi e risposta. Ciò richiede la gestione di una serie complessa di autorizzazioni per l'accesso alle varie origini dati e un sovraccarico aggiuntivo nel funzionamento dei processi di estrazione, trasformazione e caricamento (ETL).

Per superare queste sfide, prendi in considerazione l'aggregazione di tutte le origini pertinenti dei dati dei log di sicurezza in un account Log Archive, come illustrato in Organizing Your AWS Environment Using Multiple Accounts. Ciò comprende tutti i dati relativi alla sicurezza provenienti da carichi di lavoro e log generati dai servizi AWS, come AWS CloudTrail, AWS WAF, Elastic Load Balancing e Amazon Route 53. L'acquisizione di questi dati in posizioni standardizzate e in un Account AWS separato con autorizzazioni tra account adeguate presenta diversi vantaggi. Questa pratica aiuta a prevenire la manomissione dei log all'interno di ambienti e carichi di lavoro compromessi, fornisce un unico punto di integrazione per strumenti aggiuntivi, oltre a offrire un modello più semplificato per la configurazione della conservazione dei dati e del ciclo di vita.  Valuta gli impatti della sovranità dei dati, degli ambiti di conformità e di altre normative per determinare se sono necessarie più sedi di archiviazione di dati di sicurezza e relativi periodi di conservazione.

Per semplificare acquisizione e standardizzazione di log ed esiti, prendi in considerazione Amazon Security Lake nel tuo account Log Archive. Puoi configurare Security Lake in modo che importi in automatico dati da origini comuni come CloudTrail, Route 53, Amazon EKS e flussi di log VPC. Puoi anche configurare AWS Security Hub come origine dati in Security Lake, in modo da correlare gli esiti di altri servizi AWS, come Amazon GuardDuty e Amazon Inspector, con i tuoi dati di log.  Puoi anche utilizzare integrazioni di origini dati di terze parti o configurare origini dati personalizzate. Tutte le integrazioni standardizzano i dati nel formato Open Cybersecurity Schema Framework (OCSF) e la relativa archiviazione avviene in bucket Amazon S3 come file Parquet, così da eliminare la necessità di elaborazione ETL.

L'archiviazione dei dati di sicurezza in posizioni standardizzate offre funzionalità di analisi avanzate. AWS consiglia di implementare strumenti per l'analisi della sicurezza operanti in un ambiente AWS in un account Security Tooling separato dal proprio account Log Archive.  Questo approccio consente di implementare controlli approfonditi per proteggere l'integrità e la disponibilità dei log e del processo di gestione dei log, distinti dagli strumenti che vi accedono.  Prendi in considerazione l'utilizzo di servizi, come Amazon Athena, per l'esecuzione di query su richiesta che mettono in correlazione più origini dati. Puoi anche integrare strumenti di visualizzazione, come Amazon QuickSight. Le soluzioni basate sull'intelligenza artificiale sono sempre più disponibili e possono svolgere funzioni quali la traduzione degli esiti in sintesi leggibili dall'uomo e l'interazione in linguaggio naturale.  Queste soluzioni sono spesso più facilmente integrate grazie a una posizione di archiviazione di dati standardizzata per le interrogazioni.

Passaggi dell'implementazione

  1. Crea gli account di archiviazione di log e Security Tooling

    1. Mediante AWS Organizations, crea gli account Log Archive e Security Tooling in un'unità organizzativa di sicurezza. Se utilizzi AWS Control Tower per gestire la tua organizzazione, gli account Log Archive e Security Tooling vengono creati in automatico. Configura ruoli e autorizzazioni per l'accesso a questi account e la loro amministrazione, come richiesto.

  2. Configurazione delle posizioni standardizzate dei dati di sicurezza

    1. Determina la tua strategia per la creazione di posizioni di dati di sicurezza standardizzate.  Puoi raggiungere questo obiettivo mediante opzioni come approcci architetturali comuni per i data lake, prodotti per dati di terze parti o Amazon Security Lake. AWS consiglia di acquisire i dati di sicurezza da Regioni AWS che hai specificato per i tuoi account, anche in caso di mancato utilizzo attivo.

  3. Configura la pubblicazione delle origini dati nelle tue posizioni standardizzate

    1. Identifica le origini per i tuoi dati di sicurezza e configurale per la pubblicazione in posizioni standardizzate. Valuta le opzioni per l'esportazione automatica dei dati nel formato desiderato anziché in quelle in cui è necessario sviluppare processi ETL. Amazon Security Lake ti consente di raccogliere dati da origini AWS supportate e sistemi integrati di terze parti.

  4. Configura gli strumenti per l'accesso alle tue posizioni standardizzate

    1. Configura strumenti come Amazon Athena, Amazon QuickSight o soluzioni di terze parti per disporre dell'accesso necessario alle tue posizioni standardizzate.  Configura questi strumenti in modo che operino dall'account Security Tooling con accesso in lettura trasversale all'account Log Archive, se applicabile. Crea abbonati in Amazon Security Lake così da fornire a questi strumenti l'accesso ai dati.

Risorse

Best practice correlate:

Documenti correlati:

Esempi correlati:

Strumenti correlati: