Registro e eventos - AWS Security Incident Response Guia do usuário

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registro e eventos

AWS CloudTrail— AWS CloudTrail serviço que permite governança, conformidade, auditoria operacional e auditoria de risco de AWS contas. Com CloudTrail, você pode registrar, monitorar continuamente e reter as atividades da conta relacionadas às ações em todos AWS os serviços. CloudTrail fornece histórico de eventos da atividade da sua AWS conta, incluindo ações realizadas por meio das AWS Management Console ferramentas de linha de comando e outros AWS serviços. AWS SDKs Esse histórico de eventos simplifica a análise de segurança, o rastreamento de alterações de recursos e a solução de problemas. CloudTrail registra dois tipos diferentes de ações de AWS API:

  • CloudTrail eventos de gerenciamento (também conhecidos como operações do plano de controle) mostram as operações de gerenciamento que são executadas nos recursos AWS da sua conta. Isso inclui ações como criar um bucket do Amazon S3 e configurar o registro.

  • CloudTrail eventos de dados (também conhecidos como operações de plano de dados) mostram as operações de recursos realizadas em ou dentro de um recurso em sua AWS conta. Essas operações geralmente são atividades de alto volume. Isso inclui ações como atividade de API em nível de objeto do Amazon S3 (por exemplo,, GetObjectDeleteObject, e operações de PutObject API) e atividade de invocação da função Lambda.

AWS Config— AWS Config é um serviço que permite aos clientes avaliar, auditar e avaliar as configurações de seus AWS recursos. AWS Config monitora e registra continuamente suas configurações de AWS recursos e permite automatizar a avaliação das configurações gravadas em relação às configurações desejadas. Com AWS Config, os clientes podem revisar as alterações nas configurações e nos relacionamentos entre os AWS recursos, manual ou automaticamente, o histórico detalhado da configuração dos recursos e determinar a conformidade geral com as configurações especificadas nas diretrizes do cliente. Isso permite a simplificação da auditoria de conformidade, análise de segurança, gerenciamento de mudanças e solução de problemas operacionais.

Amazon EventBridge — EventBridge A Amazon fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos ou quando as chamadas de API são publicadas pela AWS CloudTrail. Usando regras simples que você pode configurar rapidamente, você pode combinar eventos e roteá-los para uma ou mais funções ou fluxos de destino. EventBridge fica ciente das mudanças operacionais à medida que elas ocorrem. EventBridge pode responder a essas mudanças operacionais e tomar medidas corretivas conforme necessário, enviando mensagens para responder ao ambiente, ativando funções, fazendo alterações e capturando informações de estado. Alguns serviços de segurança, como a Amazon GuardDuty, produzem seus resultados na forma de EventBridge eventos. Muitos serviços de segurança também oferecem a opção de enviar suas saídas para o Amazon S3.

Registros de acesso do Amazon S3 — Se informações confidenciais forem armazenadas em um bucket do Amazon S3, os clientes podem habilitar os logs de acesso do Amazon S3 para registrar cada upload, download e modificação desses dados. Esse registro é separado e adicional aos CloudTrail registros que registram alterações no próprio bucket (como alterações nas políticas de acesso e nas políticas de ciclo de vida). É importante notar que os registros de registro de acesso são entregues com base no melhor esforço. A maioria das solicitações para um bucket configurado corretamente para registro em log tem como resultado um registro do log entregue. A integralidade e a pontualidade do registro em log do servidor não são garantidas.

Amazon CloudWatch Logs — Os clientes podem usar o Amazon CloudWatch Logs para monitorar, armazenar e acessar arquivos de log provenientes de sistemas operacionais, aplicativos e outras fontes executadas em EC2 instâncias da Amazon com um agente do CloudWatch Logs. CloudWatch Os registros podem ser um destino para consultas de DNS do Route 53 AWS CloudTrail, registros de fluxo de VPC, funções Lambda e outros. Em seguida, os clientes podem recuperar os dados de registro associados do CloudWatch Logs.

Amazon VPC Flow Logs — O VPC Flow Logs permite que os clientes capturem informações sobre o tráfego IP que entra e sai das interfaces de rede em. VPCs Depois de habilitar os registros de fluxo, eles podem ser transmitidos para o Amazon CloudWatch Logs e o Amazon S3. O VPC Flow Logs ajuda os clientes em várias tarefas, como solucionar por que o tráfego específico não está chegando a uma instância, diagnosticar regras de grupos de segurança excessivamente restritivas e usá-las como uma ferramenta de segurança para monitorar o tráfego para as instâncias. EC2 Use a versão mais recente do registro de fluxo da VPC para obter os campos mais robustos.

AWS WAF Registros — AWS WAF suporta o registro completo de todas as solicitações da web inspecionadas pelo serviço. Os clientes podem armazená-los no Amazon S3 para atender aos requisitos de conformidade e auditoria, bem como à depuração e análise forense. Esses registros ajudam os clientes a determinar a causa raiz das regras iniciadas e das solicitações da web bloqueadas. Os registros podem ser integrados a ferramentas de análise de registros e SIEM de terceiros.

Registros de consulta do Route 53 Resolver — Os registros de consulta do Route 53 Resolver permitem que você registre todas as consultas de DNS feitas por recursos dentro da Amazon Virtual Private Cloud (Amazon VPC). Seja uma EC2 instância da Amazon, uma AWS Lambda função ou um contêiner, se ela residir na sua Amazon VPC e fizer uma consulta de DNS, esse recurso a registrará; você poderá então explorar e entender melhor como seus aplicativos estão operando.

Outros AWS registros — libera AWS continuamente recursos e capacidades de serviço para clientes com novos recursos de registro e monitoramento. Para obter informações sobre os recursos disponíveis para cada AWS serviço, consulte nossa documentação pública.