翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# テーマ 7: ログ記録およびモニタリングの一元化
<a name="theme-7"></a>

**Essential Eight 戦略の対象**  
アプリケーション制御、アプリケーションへのパッチ適用、管理権限の制限、多要素認証

AWS には、 環境で何が起こっているかを確認できるようにするツールと機能が用意されています AWS 。具体的には次のとおりです。
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) は、、SDK、コマンドラインツールを通じて行われた AWS API コールなど AWS マネジメントコンソール、アカウントの API コールの履歴証跡を作成することで、 AWS デプロイをモニタリングするのに役立ちます。 AWS SDKs CloudTrail に対応したサービスでは、サービスの API を呼び出したユーザーおよびアカウント、呼び出し元の IP アドレス、呼び出しの発生時刻も特定できます。
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) は、 AWS リソースと で実行するアプリケーションのメトリクスを AWS リアルタイムでモニタリングするのに役立ちます。
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) は、すべてのシステム、アプリケーション、 AWS のサービス からのログを一元化するのに役立ちます。一元化により、ログを監視して安全にアーカイブできます。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) は、継続的なセキュリティモニタリングサービスであり、これを利用すると、ログを分析および処理し、 AWS 環境における予期しないアクティビティや、不正の可能性があるアクティビティを特定できます。GuardDuty は、自動応答や、担当者への通知を行えるよう、Amazon EventBridge と統合されています。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) は、 のセキュリティ状態の包括的なビューを提供します AWS。また、セキュリティ業界標準とベストプラクティスに照らして AWS環境を確認するのにも役立ちます。

こうしたツールと機能は、可視性を高め、環境に悪影響が出る前に問題に対処できるよう設計されています。これにより、クラウドにおける組織のセキュリティ体制を強化し、環境のリスクプロファイルを減らすことができます。

## AWS Well-Architected フレームワークの関連するベストプラクティス
<a name="theme-7-best-practices"></a>
+ [SEC04-BP01 サービスとアプリケーションのログ記録を設定する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
+ [SEC04-BP02 標準化された場所でログ、検出結果、メトリクスをキャプチャする](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)

## このテーマの実装
<a name="theme-7-implementation"></a>

### ログ記録の有効化
<a name="t7-enable-logging"></a>
+ [CloudWatch エージェントを使用して、システムレベルのログを CloudWatch Logs に発行する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ [GuardDuty による検出結果にアラートを設定する](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#setup-sns)
+ [CloudTrail で組織の証跡を作成する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)

### ログ記録のベストプラクティスを実装する
<a name="t7-logging-security"></a>
+ [CloudTrail セキュリティのベストプラクティスを実装する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [SCPs を使用して、ユーザーがセキュリティサービスを無効にできないようにする](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (AWS ブログ記事)
+ [を使用して CloudWatch Logs のログデータを暗号化する AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)

### ログを一元管理する
<a name="t7-centralise-logs"></a>
+ [複数のアカウントから CloudTrail ログを受信する](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [ログアーカイブアカウントにログを送信する](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
+ [監査と分析のために CloudWatch Logs をアカウントで一元管理する](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/) (AWS ブログ記事)
+ [Amazon Inspector の管理を一元化する](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
+ [で組織全体のアグリゲータを作成する AWS Config](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) (AWS ブログ記事)
+ [Security Hub CSPM の管理を一元化する](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
+ [GuardDuty の管理を一元化する](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ [Amazon Security Lake の使用を検討する](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)

## このテーマのモニタリング
<a name="theme-7-monitoring"></a>

### モニタリングの仕組みを実装する
<a name="t7-finding-mechanisms"></a>
+ ログによる検出結果を確認する仕組みを確立する
+ Security Hub CSPM の検出結果を確認するメカニズムを確立する
+ GuardDuty による検出結果に対応する仕組みを確立する

### 次の AWS Config ルールを実装する
<a name="t7-cc-rules"></a>
+ `CLOUDTRAIL_SECURITY_TRAIL_ENABLED`
+ `GUARDDUTY_ENABLED_CENTRALIZED`
+ `SECURITYHUB_ENABLED`
+ `ACCOUNT_PART_OF_ORGANIZATIONS`