Registro y eventos - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Registro y eventos

AWS CloudTrail: servicio de AWS CloudTrail que permite la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos de las cuentas de AWS. Con CloudTrail, puede registrar, monitorear de forma continua y retener la actividad de las cuentas relacionada con las acciones en todos los servicios de AWS. CloudTrail proporciona un historial de eventos de la actividad de sus cuentas de AWS, como las acciones realizadas a través de la AWS Management Console, los SDK de AWS, las herramientas de la línea de comandos y otros servicios de AWS. Este historial de eventos simplifica el análisis de seguridad, el seguimiento de los cambios en los recursos y la solución de problemas. CloudTrail registra dos tipos diferentes de acciones de las API de AWS:

  • Los eventos de administración de CloudTrail (también conocidos como operaciones del plano de control) muestran las operaciones de administración que se realizan en los recursos de su cuenta de AWS. Esto incluye acciones como la creación de un bucket de Amazon S3 y la configuración del registro.

  • En los eventos de datos de CloudTrail (también conocidos como operaciones del plano de datos), se muestra información sobre las operaciones de recursos llevadas a cabo en recursos de su cuenta de AWS. Estas operaciones suelen ser actividades de gran volumen. Esto incluye acciones como la actividad de la API a nivel de objeto de Amazon S3 (por ejemplo, las operaciones de la API GetObject, DeleteObject y PutObject) y la actividad de invocación de funciones de Lambda.

AWS Config: AWS Config es un servicio que le permite evaluar, auditar y analizar las configuraciones de sus recursos de AWS. AWS Config monitorea y registra continuamente las configuraciones de recursos de AWS y le permite automatizar la comparación de las configuraciones registradas con las configuraciones deseadas. Con AWS Config, los clientes pueden revisar manual o automáticamente los cambios en las configuraciones y las relaciones entre los recursos de AWS, investigar los historiales detallados de configuración de recursos y determinar el cumplimiento general con respecto a las configuraciones especificadas en las pautas de los clientes. Esto puede simplificar las auditorías de cumplimiento, los análisis de seguridad, la administración de cambios y la resolución de problemas operativos.

Amazon EventBridge: Amazon EventBridge proporciona una transmisión de una secuencia de eventos de sistema casi en tiempo real que describen cambios en los recursos de AWS o cuando AWS CloudTrail publica llamadas a la API. Mediante reglas sencillas que puede configurar rápidamente, puede asignar los eventos y dirigirlos a uno o más flujos o funciones de destino. EventBridge toma conocimiento de los cambios operativos a medida que se producen. EventBridge puede responder a estos cambios operativos y tomar medidas de corrección según sea necesario, enviando mensajes para responder al entorno, activando funciones, realizando cambios y captando información de estado. Algunos servicios de seguridad, como Amazon GuardDuty, producen sus resultados en forma de eventos de EventBridge. Muchos servicios de seguridad también ofrecen la opción de enviar sus resultados a Amazon S3.

Registros de acceso de Amazon S3: si se almacena información confidencial en un bucket de Amazon S3, los clientes pueden habilitar los registros de acceso de Amazon S3 para registrar cada carga, descarga y modificación de esos datos. Este registro es independiente y se suma a los registros de CloudTrail que registran los cambios en el propio bucket (como los cambios en las políticas de acceso y las políticas del ciclo de vida). Es importante tener en cuenta que las entradas de registro de acceso al servidor se envían según el “mejor esfuerzo”; es decir, en la medida que sea posible. En la mayoría de las solicitudes de registros para un bucket debidamente configurado se envían archivos de registro. No se garantiza que los registros de servidores estén completos ni que lleguen de manera puntual.

Registros de Amazon CloudWatch: los clientes pueden utilizar Registros de Amazon CloudWatch para monitorear y almacenar los archivos de registro procedentes de sistemas operativos, aplicaciones y otros orígenes que se ejecutan en instancias de Amazon EC2 con un agente de Registros de CloudWatch, así como acceder a ellos. Registros de CloudWatch puede ser un destino para AWS CloudTrail, consultas de DNS de Route 53, registros de flujo de VPC, funciones de Lambda y otros. Los clientes pueden recuperar los datos de registro asociados de Registros de CloudWatch.

Registros de flujo de Amazon VPC: los registros de flujo de VPC permiten que los clientes capturen información sobre el tráfico IP entrante y saliente de las interfaces de red de las VPC. Una vez habilitados los registros de flujo, se pueden transmitir a Registros de Amazon CloudWatch y Amazon S3. Los registros de flujo de VPC ayudan a los clientes a realizar una serie de tareas, como solucionar problemas por los que un tráfico específico no llega a una instancia, diagnosticar reglas de grupos de seguridad demasiado restrictivas y utilizarlos como herramienta de seguridad para supervisar el tráfico a las instancias de EC2. Utilice la versión más reciente del registro de flujos de VPC para obtener los campos más completos.

Registros de AWS WAF: AWS WAF admite el registro completo de todas las solicitudes web inspeccionadas por el servicio. Los clientes pueden almacenarlos en Amazon S3 para cumplir con los requisitos de cumplimiento y auditoría, así como para la depuración y el análisis forense. Estos registros ayudan a los clientes a determinar la causa raíz de las reglas iniciadas y de las solicitudes web bloqueadas. Los registros se pueden integrar con herramientas de análisis de registros y SIEM de terceros.

Registros de consultas de Route 53 Resolver: los registros de consultas de Route 53 Resolver le permiten registrar todas las consultas de DNS realizadas por los recursos dentro de Amazon Virtual Private Cloud (Amazon VPC). Ya sea una instancia de Amazon EC2, una función de AWS Lambda o un contenedor, si reside en su Amazon VPC y realiza una consulta de DNS, esta característica la registrará; de este modo, podrá explorar y comprender mejor el funcionamiento de sus aplicaciones.

Otros registros de AWS: AWS publica continuamente características y capacidades del servicio para los clientes con nuevas capacidades de registro y monitoreo. Para obtener información sobre las características disponibles para cada servicio de AWS, consulte nuestra documentación pública.