SEC04-BP01 設定服務和應用程式日誌記錄 - 安全支柱
實作指引資源

SEC04-BP01 設定服務和應用程式日誌記錄

保留服務和應用程式的安全事件日誌。這是稽核、調查和操作使用案例的基礎原則,以及由管控、風險和合規 (GRC) 標準、政策和程序所推動的常見安全需求。

預期成果:組織應該能夠在需要執行內部程序或義務時 (例如安全事件回應),以可靠且一致的方式及時從 AWS 服務和應用程式擷取安全事件日誌。考慮集中日誌以達到更佳的營運成果。

常見的反模式:

  • 日誌存放太久或太早刪除。

  • 每個人都能存取日誌。

  • 日誌的管控和使用完全仰賴手動程序。

  • 儲存每一種日誌以備不時之需。

  • 只在必要時檢查日誌完整性。

建立此最佳實務的優勢:對安全事件和證據來源實作根本原因分析 (RCA) 機制,以履行管控、風險和合規義務。

未建立此最佳實務時的曝險等級:

實作指引

根據您的需求進行安全調查或其他使用案例期間,您需要能夠審查相關日誌以記錄和了解該事件的全部範圍和時間表。產生提醒也需要日誌,以指出特定關注的動作已發生。選取、開啟、儲存和設定查詢與擷取機制和提醒至關重要。

實作步驟

  • 選取並使用日誌來源。在安全調查之前,您需要擷取相關日誌以追溯的方式重新建構 AWS 帳戶 中的活動。選取與您的工作負載相關的日誌來源。

    日誌來源選擇條件應該根據您的業務所需的使用案例。使用 AWS CloudTrail 或 AWS Organizations 線索為每個 AWS 帳戶 建立線索,以及為其設定 Amazon S3 儲存貯體。

    AWS CloudTrail 是一種日誌記錄服務,會追蹤對 AWS 帳戶 的 API 呼叫以擷取 AWS 服務活動。預設開啟時,此服務會保留 90 天的管理活動,而其能使用 AWS Management Console、AWS CLI 或 AWS SDK 透過 CloudTrail 事件歷史記錄擷取。如需較長的保留期間和資料事件的能見度,可建立 CloudTrail 線索並將其與 Amazon S3 儲存貯體關聯,也可以選擇與 Amazon CloudWatch 日誌群組關聯。或者,您可以建立 CloudTrail Lake,這會將 CloudTrail 日誌保留長達七年,並提供以 SQL 為基礎的查詢設施

    AWS 建議使用 VPC 的客戶分別使用 VPC 流程日誌Amazon Route 53 解析器查詢日誌來開啟網路流量和 DNS 日誌,並將它們串流處理到 Amazon S3 儲存貯體或 CloudWatch 日誌群組。您可以為 VPC、子網路或網路介面建立 VPC 流程日誌。對於 VPC 流程日誌,您可以選擇何時何地使用流程日誌來降低成本。

    AWS CloudTrail 日誌、VPC 流程日誌和 Route 53 解析器查詢日誌是在 AWS 中支援安全調查的基本日誌記錄來源。您還可以使用 Amazon Security Lake 以 Apache Parquet 格式和 Open Cybersecurity Schema Framework (OCSF) 收集、正規化並儲存此日誌資料,此種格式隨時可供查詢。Security Lake 還支援其他 AWS 日誌以及來自第三方來源的日誌。

    AWS 服務可產生基本日誌來源未擷取的日誌,例如 Elastic Load Balancing 日誌、AWS WAF 日誌、AWS Config 記錄器日誌、Amazon GuardDuty 調查結果、Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌和 Amazon EC2 執行個體作業系統及應用程式日誌。如需記錄和監控選項的完整清單,請參閱 AWS Security Incident Response Guide附錄 A:雲端功能定義 – 日誌記錄和事件

  • 每個 AWS 服務和應用程式的研究日誌記錄功能:每個 AWS 服務和應用程式都為您提供日誌儲存的選項,而其各自有自己的保留和生命週期功能。兩個最常見的日誌儲存服務是 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudWatch。如需長期保留,建議使用具成本效益和彈性生命週期功能的 Amazon S3。如果主要日誌記錄選項是 Amazon CloudWatch Logs,則您應該考慮將較不常存取的日誌封存到 Amazon S3,作為一種選項。

  • 選取日誌儲存:日誌儲存的選擇通常與您使用的查詢工具、保留功能、熟悉度和成本相關。日誌儲存的主要選項是 Amazon S3 儲存貯體或 CloudWatch 日誌群組。

    Amazon S3 儲存貯體提供符合成本效益、耐用的儲存方式,並且具備可選擇的生命週期政策。儲存在 Amazon S3 儲存貯體的日誌可使用 Amazon Athena 之類的服務進行查詢。

    CloudWatch 日誌群組透過 CloudWatch Logs Insights 提供耐用的儲存方式和內建查詢設施。

  • 識別適當的日誌保留時間:當您使用 Amazon S3 儲存貯體或 CloudWatch 日誌群組來儲存日誌時,您必須為每個日誌來源建立充分的生命週期,以最佳化儲存和擷取成本。客戶一般擁有三個月到一年的時間使日誌隨時可供查詢,並且最長可保留七年。可用性和保留時間的選擇應該配合您的安全需求與各種法令、法規和業務規定。

  • 依照適當的保留和生命週期政策對每個 AWS 服務和應用程式使用日誌記錄:對於組織內的每個 AWS 服務或應用程式,尋找特定的日誌記錄組態指引:

  • 為日誌選取並實作查詢機制:對於日誌查詢,您可以使用 CloudWatch Logs Insights (適用於儲存在 CloudWatch 日誌群組中的資料) 以及 Amazon AthenaAmazon OpenSearch Service (適用於儲存在 Amazon S3 中的資料)。您還可以使用第三方查詢工具,例如安全資訊和事件管理 (SIEM) 服務。

    選取日誌查詢工具的過程中應該考慮安全營運的人員、程序和技術層面。選取符合營運、業務和安全需求的工具,並且可供存取和長期維護。請記住,將要掃描的日誌數目維持在日誌查詢工具限制之內,以便以最佳狀態運作。因為成本或技術限制的關係,擁有多個查詢工具十分常見。

    例如,您可能使用第三方安全資訊和事件管理 (SIEM) 工具對過去 90 天的資料執行查詢,但由於 SIME 的日誌擷取成本,而使用 Athena 來執行超過 90 天的查詢。無論實作方式為何,請確認您的方法將所需的工具數量最小化以最大化營運效率,尤其是在安全事件調查期間。

  • 使用日誌提供提醒:AWS 透過數種安全服務提供提醒功能:

    • AWS Config 可監控和記錄 AWS 資源組態,並讓您根據所需的組態自動評估和修復。

    • Amazon GuardDuty 是威脅偵測服務,可持續監控惡意活動和未經授權的行為,以保護 AWS 帳戶 和工作負載。GuardDuty 會擷取、彙總和分析來自如 AWS CloudTrail 管理和資料事件、DNS 日誌、VPC 流程日誌和 Amazon EKS 稽核日誌等來源的資訊。GuardDuty 會直接從 CloudTrail、VPC 流程日誌、DNS 查詢日誌和 Amazon EKS 提取獨立資料串流。您不需要管理 Amazon S3 儲存貯體或修改您收集和儲存日誌的方式。仍舊建議您保留這些日誌,供自身調查和合規用途。

    • AWS Security Hub 提供以單一位置從多個 AWS 服務和選用的第三方產品將安全提醒或調查結果加以彙總、組織和排列優先順序,為您提供安全提醒和合規狀態的全面檢視。

    您還可以使用自訂提醒產生引擎,取得這些服務未涵蓋的安全提醒或與您的環境相關的特定提醒。如需有關建置這些提醒和偵測的資訊,請參閱《AWS 安全事件回應指南》中的偵測

資源

相關的最佳實務:

相關文件:

相關影片:

相關範例: