Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Thema 7: Zentralisierung der Protokollierung und Überwachung Thema 7: Protokollierung und Überwachung **Die acht wichtigsten Strategien werden behandelt** Anwendungskontrolle, Anwendungen patchen, Administratorrechte einschränken, Multi-Faktor-Authentifizierung AWS bietet Tools und Funktionen, mit denen Sie sehen können, was in Ihrer AWS Umgebung passiert. Dazu zählen: + [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)hilft Ihnen bei der Überwachung Ihrer AWS Bereitstellungen, indem es eine historische Aufzeichnung von AWS API-Aufrufen für Ihr Konto erstellt, einschließlich API-Aufrufen, die über die Befehlszeilentools AWS-Managementkonsole AWS SDKs, und getätigt wurden. Bei unterstützten Diensten können Sie außerdem ermitteln CloudTrail, welche Benutzer und Konten die API des Dienstes aufgerufen haben, von welcher Quell-IP-Adresse aus die Aufrufe getätigt wurden und wann die Aufrufe erfolgten. + [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Kennzahlen Ihrer AWS Ressourcen und der Anwendungen, auf denen Sie laufen, AWS in Echtzeit zu überwachen. + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme und Anwendungen zu zentralisieren, AWS-Services sodass Sie sie überwachen und sicher archivieren können. + [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der Protokolle analysiert und verarbeitet, um unerwartete und potenziell nicht autorisierte Aktivitäten in Ihrer AWS Umgebung zu identifizieren. GuardDuty integriert sich EventBridge in Amazon, um eine automatisierte Antwort zu starten oder einen Menschen zu benachrichtigen. + [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)bietet einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS. Es hilft Ihnen auch dabei, Ihre AWS Umgebung anhand von Industriestandards und Best Practices im Bereich Sicherheit zu überprüfen. Diese Tools und Funktionen wurden entwickelt, um die Transparenz zu erhöhen und Ihnen zu helfen, Probleme zu lösen, bevor sie sich negativ auf Ihre Umgebung auswirken. Auf diese Weise können Sie die Sicherheitslage Ihres Unternehmens in der Cloud verbessern und das Risikoprofil Ihrer Umgebung reduzieren. ## Verwandte Best Practices im AWS Well-Architected Framework Zugehörige bewährte Methoden: + [SEC04-BP01 Konfigurieren der Service- und Anwendungsprotokollierung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html) + [SEC04-BP02 Erfassen Sie Protokolle, Ergebnisse und Kennzahlen an standardisierten Orten](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html) ## Umsetzung dieses Themas ### Enable logging (Protokollierung aktivieren) + [Verwenden Sie den CloudWatch Agenten, um Protokolle auf Systemebene in Logs zu veröffentlichen CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) + [Richten Sie Warnmeldungen für Ergebnisse ein GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#setup-sns) + [Erstellen Sie einen Organisations-Trail in CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) ### Implementieren Sie bewährte Sicherheitsmethoden für die Protokollierung + [Implementieren Sie bewährte CloudTrail Sicherheitsverfahren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html) + [Wird verwendet SCPs , um zu verhindern, dass Benutzer Sicherheitsdienste deaktivieren](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (AWS Blogbeitrag) + [Verschlüsseln Sie Protokolldaten in CloudWatch Logs mithilfe von AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) ### Zentralisieren Sie Protokolle + [Empfangen Sie CloudTrail Protokolle von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) + [Senden Sie Protokolle an ein Protokollarchiv-Konto](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account) + [Zentralisieren Sie CloudWatch Logs zu Prüfungs- und Analysezwecken in einem Konto](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/) (AWS Blogbeitrag) + [Zentralisieren Sie die Verwaltung von Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html) + [Erstellen Sie einen organisationsweiten Aggregator in AWS Config](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) (Blogbeitrag)AWS + [Zentralisieren Sie die Verwaltung von Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) + [Zentralisieren Sie die Verwaltung von GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) + [Erwägen Sie die Verwendung von Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) ## Überwachung dieses Themas ### Implementieren Sie Mechanismen + Richten Sie einen Mechanismus zur Überprüfung der Protokollergebnisse ein + Einrichtung eines Mechanismus zur Überprüfung der CSPM-Ergebnisse von Security Hub + Richten Sie einen Mechanismus ein, um auf die Ergebnisse zu reagieren GuardDuty ### Implementieren Sie die folgenden AWS Config Regeln + `CLOUDTRAIL_SECURITY_TRAIL_ENABLED` + `GUARDDUTY_ENABLED_CENTRALIZED` + `SECURITYHUB_ENABLED` + `ACCOUNT_PART_OF_ORGANIZATIONS`