

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Ganhando visibilidade com mecanismos de observabilidade
<a name="architecture-gain-visibility"></a>

A capacidade de visualizar os eventos de segurança que ocorreram é tão importante quanto estabelecer controles de segurança adequados. No pilar de segurança da AWS Well-Architected Estrutura, as melhores práticas de detecção incluem [Configurar registros de serviços e aplicativos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html) e [capturar registros, descobertas e métricas em locais padronizados](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html). Para implementar essas melhores práticas, você deve registrar as informações que ajudam a identificar eventos e, em seguida, processar essas informações em um formato de consumo humano, de preferência em um local centralizado.

Este guia recomenda que você use o [Amazon Simple Storage Service (Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)) para centralizar os dados de log. O Amazon S3 oferece suporte ao armazenamento de registros tanto para o DNS Firewall AWS Network Firewall quanto para o Amazon Route 53 Resolver DNS. Em seguida, você usa o [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)[Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) para centralizar as GuardDuty descobertas da Amazon e outras descobertas de segurança em um único local.

## Registrando tráfego de rede
<a name="architecture-gain-visibility-logging"></a>

A seção [Automatizando controles de segurança preventivos e detectivos](architecture-automate-controls.md) deste guia descreve o uso do firewall Amazon Route 53 Resolver DNS para automatizar AWS Network Firewall as respostas à inteligência de ameaças cibernéticas (CTI). Recomendamos que você configure o registro em log para esses dois serviços. Você pode criar controles de detetive que monitoram os dados de registro e alertam você se um domínio ou endereço IP restrito tentar enviar tráfego pelo firewall.

Ao configurar esses recursos, considere seus requisitos individuais de registro. Por exemplo, o registro do Network Firewall está disponível somente para o tráfego que você encaminha para o mecanismo de regras com estado. Recomendamos que você siga um modelo de confiança zero e encaminhe todo o tráfego para o mecanismo de regras com estado. No entanto, se quiser reduzir custos, você pode excluir o tráfego em que sua organização confia.

Tanto o Network Firewall quanto o DNS Firewall oferecem suporte ao registro no Amazon S3. Para obter mais informações sobre como configurar o registro para esses serviços, consulte [Registro do tráfego de rede AWS Network Firewall e Configuração do](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) [registro para o firewall DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/firewall-resolver-query-logs-configuring.html). Para ambos os serviços, você pode configurar o registro em um bucket do Amazon S3 por meio do. Console de gerenciamento da AWS

## Centralizando as descobertas de segurança em AWS
<a name="architecture-gain-visibility-security-hub"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornece uma visão abrangente do seu estado de segurança AWS e ajuda você a avaliar seu AWS ambiente em relação aos padrões e às melhores práticas do setor de segurança. O CSPM do Security Hub pode gerar descobertas associadas aos seus controles de segurança. Ele também pode receber descobertas de outros Serviços da AWS, como a Amazon GuardDuty. Você pode usar o Security Hub CSPM para centralizar descobertas e dados de seus produtos Contas da AWS e de Serviços da AWS terceiros compatíveis. Para obter mais informações sobre integrações, consulte [Compreendendo as integrações no CSPM do Security Hub na documentação do CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) do Security Hub.

O Security Hub CSPM também inclui recursos de automação que ajudam você a fazer a triagem e corrigir problemas de segurança. Por exemplo, você pode usar regras de automação para atualizar automaticamente descobertas críticas quando uma verificação de segurança falha. Você também pode usar a integração com EventBridge a Amazon para iniciar respostas automáticas a descobertas específicas. Para obter mais informações, consulte [Modificar e agir automaticamente de acordo com as descobertas do CSPM do Security Hub na documentação do CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html) do Security Hub.

Se você usa a Amazon GuardDuty, recomendamos que você configure GuardDuty para enviar suas descobertas para o Security Hub CSPM. O Security Hub CSPM pode então incluir essas descobertas em sua análise de sua postura de segurança. Para obter mais informações, consulte [Integração com AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) na GuardDuty documentação.

Tanto para o Network Firewall quanto para o Route 53 Resolver DNS Firewall, você pode criar descobertas personalizadas a partir do tráfego de rede que você está registrando. O [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) é um serviço de consultas interativas que facilita a análise de dados diretamente no Amazon S3 usando SQL padrão. Você pode criar consultas no Athena que escaneiam os logs no Amazon S3 e extraem os dados relevantes. Para obter instruções, consulte [Introdução](https://docs.aws.amazon.com/athena/latest/ug/getting-started.html) na documentação do Athena. Em seguida, você pode usar uma AWS Lambda função para converter os dados de log relevantes em [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) e enviar a descoberta para o Security Hub CSPM. Veja a seguir um exemplo de função Lambda que converte dados de log do Network Firewall em uma descoberta de CSPM do Security Hub:

```
Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};
```

O padrão que você segue para extrair e enviar informações para o CSPM do Security Hub depende de suas necessidades comerciais individuais. Se você precisar que os dados sejam enviados regularmente, você pode usá-los EventBridge para iniciar o processo. Se quiser receber um alerta quando as informações forem adicionadas, você pode usar o [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)). Há muitas maneiras de abordar essa arquitetura, por isso é importante planejar adequadamente para que suas necessidades comerciais sejam atendidas.

## Integrar AWS dados de segurança com outros dados corporativos
<a name="architecture-gain-visibility-enterprise-data"></a>

[O Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) pode automatizar a coleta de dados de registros e eventos relacionados à segurança de serviços integrados e de terceiros. Serviços da AWS Também ajuda você a gerenciar o ciclo de vida dos dados com configurações personalizáveis de retenção e replicação. O Security Lake converte dados ingeridos ao formato Apache Parquet e a um esquema padrão de código aberto chamado Open Cybersecurity Schema Framework (OCSF). Com o suporte do OCSF, o Security Lake normaliza e combina dados de segurança de AWS uma ampla variedade de fontes de dados de segurança corporativa. Outros serviços da Serviços da AWS e de terceiros podem assinar os dados armazenados no Security Lake para resposta a incidentes e análise.

Você pode configurar o Security Lake para receber descobertas do Security Hub CSPM. Para ativar essa integração, você deve habilitar os dois serviços e adicionar o Security Hub CSPM como fonte no Security Lake. Depois de executar essas etapas, o CSPM do Security Hub começará a enviar todas as descobertas para o Security Lake. O Security Lake normaliza automaticamente as descobertas do CSPM do Security Hub e as converte em OCSF. No Security Lake, é possível adicionar um ou mais assinantes para consumir as descobertas do CSPM do Security Hub. Para obter mais informações, consulte [Integração com AWS Security Hub CSPM](https://docs.aws.amazon.com/security-lake/latest/userguide/aws-integrations.html#securityhub-integration) na documentação do Security Lake.

O vídeo a seguir, [AWS re:INFORCE 2024 — Compartilhamento de inteligência sobre ameaças cibernéticas em AWS](https://www.youtube.com/watch?v=ufNNHBPPjQU), discute como você pode usar as integrações do Security Hub CSPM e do Security Lake para compartilhar CTI.


