Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Registro de llamadas a la API del director de seguridad de red AWS Shield con AWS CloudTrail
El director de seguridad de red AWS Shield se integra con AWS CloudTrail para registrar todas las llamadas a la API como eventos. Esta integración captura las llamadas realizadas desde la consola del director de seguridad de red, las llamadas programáticas a las API del director de seguridad de red y las llamadas realizadas desde otros servicios de AWS.
Con CloudTrail, puede ver eventos recientes en el historial de eventos o crear una ruta para entregar registros continuos a un bucket de Amazon S3. Estos registros incluyen detalles sobre cada solicitud, como la identidad del solicitante, la hora, los parámetros de la solicitud y la respuesta.
Para obtener más información sobre CloudTrail, consulte la Guía del usuario de AWS CloudTrail.
información del director de seguridad de red en CloudTrail
CloudTrail se habilita automáticamente en su cuenta de AWS. Cuando se produce una actividad en el director de seguridad de red, se registra como un evento en CloudTrail. Para obtener un registro continuo de los eventos, cree una traza que proporciona archivos de registro a un bucket de Amazon S3.
Para obtener más información acerca de cómo crear y administrar rutas, consulte:
operaciones de API del director de seguridad de red registradas por CloudTrail
Todas las operaciones de la API del director de seguridad de red se registran mediante CloudTrail y se documentan en la Referencia de la API. Se incluyen las siguientes operaciones:
-
StartNetworkSecurityScan: inicia un análisis de seguridad de la red
-
GetNetworkSecurityScan: recupera información sobre un análisis de seguridad de red
-
ListResources: enumera los recursos disponibles en el servicio
-
getResource: recupera información detallada sobre un recurso específico
-
ListFindings: enumera los hallazgos de seguridad
-
GetFinding: recupera información detallada sobre un resultado específico
-
UpdateFinding: actualiza el estado u otros atributos de un resultado
-
ListRemediations: enumera las recomendaciones de corrección para un resultado
-
ListInsights: enumera los conocimientos en función de los hallazgos y los recursos
Descripción de las entradas de archivos de registro del director de seguridad de red
Las entradas de registro de CloudTrail contienen información sobre quién hizo la solicitud, cuándo se realizó y qué parámetros se usaron. A continuación, se muestra un ejemplo de acción StartNetworkSecurityScan:
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:02:58Z", "eventSource": "network-director.amazonaws.com", "eventName": "StartNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "RESCANNING", "startTime": "2023-11-28T22:02:58Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
A continuación, se muestra un ejemplo de acción GetNetworkSecurityScan:
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:03:15Z", "eventSource": "network-director.amazonaws.com", "eventName": "GetNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "COMPLETE", "startTime": "2023-11-28T22:02:58Z", "completionTime": "2023-11-28T22:03:15Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Monitoreo de los registros de CloudTrail con Amazon CloudWatch
Puede usar Amazon CloudWatch para supervisar y generar alertas sobre actividad específica de la API en los registros de CloudTrail. Esto le ayuda a detectar intentos de acceso no autorizado, cambios de configuración o patrones de actividad inusuales.
Para configurar la supervisión con CloudWatch:
-
Configure su rastro de CloudTrail para enviar registros a CloudWatch Logs
-
Cree filtros de métricas para extraer información específica de los eventos de registro
-
Cree alarmas basadas en esas métricas
Para obtener instrucciones detalladas, consulte Monitoreo de archivos de registros de CloudTrail con Registros de Amazon CloudWatch.
Prácticas recomendadas para CloudTrail con el director de seguridad de red
Para maximizar la seguridad y la capacidad de auditoría mediante CloudTrail:
-
Habilite CloudTrail en todas las regiones para obtener una cobertura integral
-
Habilite la validación de la integridad de los archivos de registro para detectar modificaciones no autorizadas
-
Utilice IAM para controlar el acceso a los registros de CloudTrail siguiendo los principios de privilegios mínimos
-
Configure alertas para eventos críticos mediante alarmas de CloudWatch
-
Revise periódicamente los registros de CloudTrail para identificar actividades inusuales
