SEC04-BP01 Configurar o registro em log de serviços e aplicações - Pilar de segurança
Orientação para implementaçãoRecursos

SEC04-BP01 Configurar o registro em log de serviços e aplicações

Retenha logs de eventos de segurança de serviços e aplicações. Esse é um princípio fundamental de segurança para auditoria, investigações e casos de uso operacionais e um requisito de segurança comum orientado por padrões, políticas e procedimentos de governança, risco e conformidade (GRC).

Resultado desejado: uma organização deve ser capaz de recuperar de forma confiável e consistente logs de eventos de segurança de serviços e aplicações da AWS em tempo hábil quando necessário para cumprir um processo ou obrigação interna, como uma resposta a incidente de segurança. Considere centralizar os logs para obter os melhores resultados operacionais.

Práticas comuns que devem ser evitadas:

  • Os logs são armazenados de forma perpétua ou excluídos muito precocemente.

  • Todos podem acessar os logs.

  • Contar inteiramente com processos manuais para uso e governança de logs.

  • Armazenar todo e qualquer tipo de log para uma eventual necessidade.

  • Conferir a integridade dos logs apenas quando necessário.

Benefícios de implementar esta prática recomendada: implemente um mecanismo de análise de causa-raiz (RCA) para incidentes de segurança e uma fonte de evidência para suas obrigações de governança, risco e conformidade.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Durante uma investigação de segurança ou outros casos de uso com base em seus requisitos, você precisa ser capaz de analisar os logs relevantes a fim de registrar e entender o escopo total e a linha do tempo do incidente. Os logs também são necessários para geração de alertas indicando que ocorreram determinadas ações de interesse. É essencial selecionar, ativar, armazenar e configurar mecanismos de consulta, recuperação e alertas.

Etapas de implementação

  • Selecione e use fontes de log. Antes de uma investigação de segurança, você precisa capturar logs relevantes para reconstruir de forma retroativa a atividade em uma Conta da AWS. Selecione fontes de logs relevantes para suas workloads.

    Os critérios de seleção de fonte de logs devem se basear nos casos de uso necessários à sua empresa. Estabeleça uma trilha para cada Conta da AWS utilizando o AWS CloudTrail ou uma trilha do AWS Organizations e configure um bucket do Amazon S3 para ela.

    O AWS CloudTrail é um serviço de registro em log que rastreia chamadas de API feitas em uma Conta da AWS capturando a atividade do serviço da AWS. Ele é ativado por padrão com uma retenção de 90 dias de eventos de gerenciamento que podem ser recuperados por meio do histórico de eventos do CloudTrail via AWS Management Console, AWS CLI ou AWS SDK. Para maior retenção e visibilidade dos eventos de dados, crie uma trilha do CloudTrail e associe-a a um bucket do Amazon S3 e, opcionalmente, a um grupo de log do Amazon CloudWatch. Como alternativa, você pode criar um CloudTrail Lake, o qual retém os logs do CloudTrail por até sete anos e fornece um recurso de consulta baseado em SQL

    A AWS recomenda que os clientes que usam VPC ativem os logs de tráfego de rede e DNS usando Logs de fluxo da VPC e Logs de consulta do Amazon Route 53 Resolver, respectivamente, e os transmitam para um bucket do Amazon S3 ou um grupo de logs do CloudWatch. É possível criar um log de fluxo de VPC, uma sub-rede ou uma interface de rede. Para logs de fluxo de VPC, é possível ser seletivo em relação a como e onde usar os logs de fluxo para reduzir o custo.

    Logs do AWS CloudTrail, logs de fluxo de VPC e logs de consulta do Route 53 Resolver são as fontes básicas de registro em log para oferecer compatibilidade com investigações de segurança na AWS. Também é possível usar o Amazon Security Lake para coletar, normalizar e armazenar esses dados de log no formato Apache Parquet e no Open Cybersecurity Schema Framework (OCSF), que está pronto para consulta. O Security Lake também é compatível com outros logs da AWS e logs de fontes de terceiros.

    Os serviços da AWS podem gerar logs não capturados pelas fontes de log básicas, como logs do Elastic Load Balancing, logs do AWS WAF, logs de gravador do AWS Config, descobertas do Amazon GuardDuty, logs de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS) e logs de sistema operacional e aplicações e de instâncias do Amazon EC2. Para obter uma lista completa das opções de registro e monitoramento, consulte o Apêndice A: Definições de capacidade de nuvem – Log e eventos do Guia de Resposta a Incidentes de Segurança da AWS.

  • Pesquise recursos de log para cada serviço e aplicação da AWS: cada serviço e aplicação da AWS oferece opções de armazenamento de log, cada uma com seus próprios recursos de retenção e ciclo de vida. Os dois serviços de armazenamento de logs mais comuns são o Amazon Simple Storage Service (Amazon S3) e o Amazon CloudWatch. Para períodos de retenção longos, é recomendável utilizar o Amazon S3 para seus recursos de economia e ciclo de vida flexíveis. Se a opção de registro em log principal for o Amazon CloudWatch Logs, como opção, você deve considerar o arquivamento de logs menos acessados no Amazon S3.

  • Selecione o armazenamento de logs: a escolha do armazenamento de logs geralmente está relacionada à ferramenta de consulta que você usa, aos recursos de retenção, à familiaridade e ao custo. As principais opções para armazenamento de logs são um bucket do Amazon S3 ou um grupo de logs do CloudWatch.

    Um bucket do Amazon S3 oferece armazenamento econômico e durável com uma política de ciclo de vida opcional. Os logs armazenados em buckets do Amazon S3 podem ser consultados com serviços como o Amazon Athena.

    Um grupo de logs do CloudWatch oferece armazenamento durável e um recurso de consultas incorporado por meio do CloudWatch Logs Insights.

  • Identifique a retenção apropriada de logs: ao usar um bucket do Amazon S3 ou um grupo de logs do CloudWatch para armazenar logs, você deve estabelecer ciclos de vida adequados para cada fonte de log para otimizar os custos de armazenamento e recuperação. Os clientes geralmente têm entre três meses a um ano de logs prontamente disponíveis para consultas, com retenção de até sete anos. A escolha de disponibilidade e retenção deve se alinhar aos seus requisitos de segurança e um composto de atribuições regulatórias, estatutárias e de negócios.

  • Use o registro em log para cada serviço e aplicação da AWS com políticas adequadas de retenção e ciclo de vida: para cada serviço ou aplicação da AWS em sua organização, procure a orientação específica de configuração do log:

  • Selecione e implemente mecanismos de consulta para logs: para consultas em logs, é possível usar o CloudWatch Logs Insights para dados armazenados em grupos de log do CloudWatch, e o Amazon Athena e o Amazon OpenSearch Service para dados armazenados no Amazon S3. Também é possível usar ferramentas de consulta de terceiros, como um serviço de gerenciamento de eventos e informações de segurança (SIEM).

    O processo para selecionar uma ferramenta de consulta de log deve considerar as pessoas, o processo e os aspectos de tecnologia de suas operações de segurança. Selecione uma ferramenta que atenda aos requisitos operacionais, de negócios e segurança, esteja acessível e possa receber manutenção no longo prazo. Lembre-se de que as ferramentas de consulta de logs funcionam da forma ideal quando o número de logs a serem verificados é mantido dentro dos limites da ferramenta. Não é incomum ter várias ferramentas de consulta devido a restrições financeiras ou técnicas.

    Por exemplo, você pode usar uma ferramenta de gerenciamento de eventos e informações de segurança (SIEM) de terceiros para realizar consultas para os últimos 90 dias de dados, mas usar o Athena para realizar consultas além de 90 dias devido ao custo de ingestão de logs de um SIEM. Seja qual for a implementação, garanta que sua abordagem minimize o número de ferramentas necessárias para maximizar a eficiência operacional, especialmente durante a investigação de um evento de segurança.

  • Use logs para alertas: a AWS fornece alertas por meio de vários serviços de segurança.

    • O AWS Config monitora e registra as configurações de recursos da AWS e permite automatizar as tarefas de avaliação e correção em relação às configurações desejadas.

    • O Amazon GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades mal-intencionadas e comportamentos não autorizados para proteger suas Contas da AWS e workloads. O GuardDuty ingere, agrega e analisa informações de fontes, como eventos de gerenciamento e dados do AWS CloudTrail, logs de DNS, logs de fluxo de VPC e logs de auditoria do Amazon EKS. O GuardDuty extrai fluxos de dados independentes diretamente do CloudTrail, dos logs de fluxo de VPC, dos logs de consulta ao DNS e do Amazon EKS. Não é necessário gerenciar políticas de bucket do Amazon S3 nem modificar a forma de coletar e armazenar logs. Ainda é recomendável reter esses logs para sua própria investigação e fins de conformidade.

    • O AWS Security Hub fornece um único local que agrega, organiza e prioriza alertas de segurança ou descobertas de vários serviços da AWS e produtos opcionais de terceiros para oferecer uma visão abrangente dos alertas de segurança e do status de conformidade.

    Você também pode utilizar mecanismos de geração de alertas personalizados para alertas de segurança não cobertos por esses serviços ou para alertas específicos relevantes para o seu ambiente. Para obter informações sobre como criar esses alertas e detecções, consulte Detecção no Guia de resposta a incidentes de segurança da AWS.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Exemplos relacionados: