Wählen und aktivieren Sie Protokollquellen - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wählen und aktivieren Sie Protokollquellen

Im Vorfeld einer Sicherheitsuntersuchung müssen Sie relevante Protokolle erfassen, um die Aktivitäten in einem AWS Konto rückwirkend rekonstruieren zu können. Wählen und aktivieren Sie Protokollquellen, die für die Workloads ihrer AWS Konten relevant sind.

AWS CloudTrail ist ein Protokollierungsdienst, der API-Aufrufe im Zusammenhang mit einer AWS AWS Kontoerfassungsdienstaktivität verfolgt. Er ist standardmäßig aktiviert und ermöglicht die 90-tägige Aufbewahrung von Verwaltungsereignissen, die über CloudTrail die Funktion „Event History“ mit AWS-Managementkonsole dem AWS CLI oder einem AWS SDK abgerufen werden können. Für eine längere Aufbewahrung und Sichtbarkeit von Datenereignissen müssen Sie einen CloudTrail Trail erstellen und ihn einem Amazon S3 S3-Bucket und optional einer CloudWatch Protokollgruppe zuordnen. Alternativ können Sie einen CloudTrail Lake erstellen, der CloudTrail Protokolle für bis zu sieben Jahre aufbewahrt und eine SQL-basierte Abfragefunktion bietet.

AWS empfiehlt Kunden, die eine VPC verwenden, Netzwerkverkehr und DNS-Protokolle mithilfe von VPC Flow Logs bzw. Amazon Route 53 Resolver-Abfrageprotokollen zu aktivieren und diese entweder in einen Amazon S3 S3-Bucket oder eine CloudWatch Protokollgruppe zu streamen. Sie können ein VPC-Flow-Protokoll für eine VPC, ein Subnetz oder eine Netzwerkschnittstelle erstellen. Bei VPC Flow Logs können Sie auswählen, wie und wo Sie Flow Logs aktivieren, um die Kosten zu senken.

AWS CloudTrail Protokolle, VPC-Flow-Logs und Route 53-Resolver-Abfrageprotokolle sind die grundlegenden Protokollierungs-Trifecta zur Unterstützung von Sicherheitsuntersuchungen. AWS

AWS Services können Protokolle generieren, die nicht von den grundlegenden Protokollierungs-Trifecta erfasst werden, wie z. B. Elastic Load Balancing Balancing-Logs, AWS WAF Logs, AWS Config Recorder-Logs, GuardDuty Amazon-Ergebnisse, Amazon Elastic Kubernetes Service (Amazon EKS) Audit-Logs und Amazon EC2 EC2-Instance-Betriebssystem- und Anwendungsprotokolle. Die vollständige Liste der Anhang A: Definitionen der Cloud-Funktionen Protokollierungs- und Überwachungsoptionen finden Sie unter.