Protokollieren und Ereignisse - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollieren und Ereignisse

AWS CloudTrail— AWS CloudTrail Service, der die Unternehmensführung, die Einhaltung von Vorschriften, die betriebliche Prüfung und die Risikoprüfung von AWS Konten ermöglicht. Mit CloudTrail können Sie Kontoaktivitäten im Zusammenhang mit Aktionen AWS dienstübergreifend protokollieren, kontinuierlich überwachen und speichern. CloudTrail bietet einen Ereignisverlauf Ihrer AWS Kontoaktivitäten, einschließlich Aktionen, die über die AWS Management Console Befehlszeilentools, und andere AWS Dienste ausgeführt wurden. AWS SDKs Dieser Ereignisverlauf vereinfacht die Sicherheitsanalyse, die Nachverfolgung von Ressourcenänderungen und die Fehlerbehebung. CloudTrail protokolliert zwei verschiedene Arten von AWS API-Aktionen:

  • CloudTrail Verwaltungsereignisse (auch bekannt als Vorgänge auf der Kontrollebene) zeigen Verwaltungsoperationen, die für Ressourcen im AWS -Konto ausgeführt wurden. Dazu gehören Aktionen wie das Erstellen eines Amazon S3 S3-Buckets und das Einrichten der Protokollierung.

  • CloudTrail Datenereignisse (auch bekannt als Vorgänge auf der Datenebene) zeigen die Ressourcenoperationen, die für oder innerhalb einer Ressource in Ihrem AWS -Konto ausgeführt wurden. Diese Operationen sind oft Aktivitäten mit hohem Volume. Dazu gehören Aktionen wie Amazon S3 S3-API-Aktivitäten auf Objektebene (z. B., GetObjectDeleteObject, und PutObject API-Operationen) und Lambda-Funktionen.

AWS Config— AWS Config ist ein Service, mit dem Kunden die Konfigurationen Ihrer Ressourcen bewerten, prüfen und bewerten können. AWS AWS Config überwacht und zeichnet Ihre AWS -Ressourcenkonfigurationen kontinuierlich auf. Darüber hinaus ermöglicht es Ihnen, die Auswertung aufgezeichneter Konfigurationen anhand der gewünschten Konfigurationen zu automatisieren. Mit AWS Config können Kunden Änderungen an Konfigurationen von und Beziehungen zwischen AWS -Ressourcen überprüfen, detaillierte Verläufe der Ressourcenkonfiguration analysieren und die generelle Konformität mit den in den Kundenrichtlinien festgelegten Konfigurationen überprüfen. Dadurch können die Compliance-Prüfung, die Sicherheitsanalyse, das Änderungsmanagement und die Fehlerbehebung bei Betriebsabläufen vereinfacht werden.

Amazon EventBridge — Amazon EventBridge liefert nahezu in Echtzeit einen Strom von Systemereignissen, die Änderungen an AWS -Ressourcen beschreiben oder darüber, wann API-Aufrufe von veröffentlicht wurden AWS CloudTrail. Mit einfachen Regeln, die sich schnell einrichten lassen, können Sie Ereignisse ordnen und sie zu einer oder mehreren Zielfunktionen oder Streams umleiten. EventBridge bemerkt betriebsbezogene Veränderungen, sobald diese auftreten. EventBridge kann auf diese betriebsbezogenen Änderungen reagieren und bei Bedarf Korrekturmaßnahmen ergreifen, indem es Nachrichten sendet, um an die Umgebung zu reagieren, Funktionen zu aktivieren, Änderungen vorzunehmen und Zustandsinformationen zu erfassen. Einige Sicherheitsdienste, wie Amazon GuardDuty, produzieren ihre Ergebnisse in Form von EventBridge Ereignissen. Viele Sicherheitsdienste bieten auch die Möglichkeit, ihre Ausgaben an Amazon S3 zu senden.

Amazon S3 S3-Zugriffsprotokolle — Wenn vertrauliche Informationen in einem Amazon S3 S3-Bucket gespeichert sind, können Kunden Amazon S3 S3-Zugriffsprotokolle aktivieren, um jeden Upload, Download und jede Änderung dieser Daten aufzuzeichnen. Dieses Protokoll ist unabhängig von den CloudTrail Protokollen, die Änderungen am Bucket selbst aufzeichnen (z. B. geänderte Zugriffs- und Lebenszyklusrichtlinien), und zusätzlich zu diesen Protokollen. Beachten Sie, dass Zugriffsprotokoll-Datensätze auf Best-Effort-Grundlage bereitgestellt werden. Die meisten Anforderungen nach einem Bucket, der für die Protokollierung richtig konfiguriert ist, führen zu einem ausgelieferten Protokollsatz. Die Vollständigkeit und Aktualität der Serverprotokollierung wird nicht garantiert.

Amazon CloudWatch Logs — Kunden können Amazon CloudWatch Logs verwenden, um Protokolldateien zu überwachen, zu speichern und darauf zuzugreifen, die von Betriebssystemen, Anwendungen und anderen Quellen stammen, die in EC2 Amazon-Instances mit einem CloudWatch Logs-Agenten ausgeführt werden. CloudWatch Protokolle können ein Ziel für Route 53-DNS-Abfragen AWS CloudTrail, VPC-Flow-Logs, Lambda-Funktionen und andere sein. Kunden können die zugehörigen Protokolldaten von CloudWatch Logs abrufen.

Amazon VPC Flow Logs — VPC Flow Logs ermöglicht es Kunden, Informationen über den IP-Datenverkehr zu und von Netzwerkschnittstellen in zu erfassen. VPCs Nachdem Flow-Protokolle aktiviert wurden, können sie in Amazon CloudWatch Logs und Amazon S3 gestreamt werden. VPC Flow Logs unterstützt Kunden bei einer Reihe von Aufgaben wie der Behebung von Problemen, warum bestimmter Datenverkehr eine Instance nicht erreicht, der Diagnose zu restriktiver Sicherheitsgruppenregeln und der Verwendung als Sicherheitstool zur Überwachung des Datenverkehrs zu Instances. EC2 Verwenden Sie die aktuellste Version der VPC-Flow-Protokollierung, um die robustesten Felder zu erhalten.

AWS WAF Logs — AWS WAF unterstützt die vollständige Protokollierung aller vom Service überprüften Webanfragen. Kunden können diese in Amazon S3 speichern, um Compliance- und Prüfanforderungen sowie Debugging und Forensik zu erfüllen. Diese Protokolle helfen Kunden dabei, die Hauptursache für initiierte Regeln und blockierte Webanfragen zu ermitteln. Protokolle können in SIEM- und Protokollanalysetools von Drittanbietern integriert werden.

Route 53 Resolver-Abfrageprotokolle — Mit Route 53 Resolver-Abfrageprotokollen können Sie alle DNS-Abfragen protokollieren, die von Ressourcen innerhalb von Amazon Virtual Private Cloud (Amazon VPC) gestellt wurden. Ganz gleich, ob es sich um eine EC2 Amazon-Instance, eine AWS Lambda Funktion oder einen Container handelt: Wenn sie sich in Ihrer Amazon VPC befindet und eine DNS-Anfrage stellt, protokolliert diese Funktion diese. Sie können dann untersuchen und besser verstehen, wie Ihre Anwendungen funktionieren.

Andere AWS Protokolle — veröffentlicht AWS kontinuierlich Servicefunktionen und Funktionen für Kunden mit neuen Protokollierungs- und Überwachungsfunktionen. Informationen zu den Funktionen, die für die einzelnen AWS Dienste verfügbar sind, finden Sie in unserer öffentlichen Dokumentation.