Apresentação de uma nova experiência de console para o AWS WAF
Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.
Registrar em log chamadas de API do administrador de segurança da rede do AWS Shield com o AWS CloudTrail
O administrador de segurança da rede do AWS Shield se integra com o AWS CloudTrail para registrar em log todas as chamadas de API como eventos. Essa integração captura chamadas feitas do console do administrador de segurança da rede, chamadas programáticas para APIs do administrador de segurança da rede e chamadas feitas de outros serviços da AWS.
Com o CloudTrail, você pode visualizar eventos recentes no histórico de eventos ou criar uma trilha para entregar log contínuos a um bucket do Amazon Simple Storage Service. Esses logs fornecem detalhes sobre cada solicitação, incluindo a identidade do chamador, a hora, os parâmetros da solicitação e a resposta.
Para saber mais sobre o CloudTrail, consulte o Guia do usuário do AWS CloudTrail.
informações sobre o administrador de segurança da rede no CloudTrail
O CloudTrail é habilitado automaticamente na sua conta da AWS Quando a atividade ocorre no administrador de segurança da rede, ela é registrada como um evento no CloudTrail. Para obter um registro contínuo de eventos, crie uma trilha que entregue os arquivos de log a um bucket do Amazon S3.
Para obter mais informações sobre a criação e o gerenciamento de trilhas, consulte:
operações de API do administrador de segurança da rede registradas em log pelo CloudTrail
Todas as operações de API do administrador de segurança da rede são registradas em log pelo CloudTrail e são documentadas na Referência de APIs. As seguintes operações estão incluídas:
-
StartNetworkSecurityScan: inicia uma verificação de segurança de rede
-
GetNetworkSecurityScan: recupera informações sobre uma verificação de segurança de rede
-
ListResources: lista os recursos disponíveis no serviço
-
GetResource: recupera informações detalhadas sobre um recurso específico
-
ListFindings: lista as descobertas de segurança
-
GetFinding: recupera informações detalhadas sobre uma descoberta específica
-
UpdateFinding: atualiza o status ou outros atributos de uma descoberta
-
ListRemediations: lista as recomendações de remediação para uma descoberta
-
ListInsights: lista insights com base em descobertas e recursos
Compreender as entradas do arquivo de log do administrador de segurança da rede
As entradas de log do CloudTrail contêm informações sobre quem fez a solicitação, quando ela foi feita e quais parâmetros foram usados. Veja um exemplo de ação StartNetworkSecurityScan:
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:02:58Z", "eventSource": "network-director.amazonaws.com", "eventName": "StartNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "RESCANNING", "startTime": "2023-11-28T22:02:58Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
E aqui está um exemplo de ação GetNetworkSecurityScan:
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/janedoe", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "janedoe" }, "eventTime": "2023-11-28T22:03:15Z", "eventSource": "network-director.amazonaws.com", "eventName": "GetNetworkSecurityScan", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5", "requestParameters": {}, "responseElements": { "scan": { "state": "COMPLETE", "startTime": "2023-11-28T22:02:58Z", "completionTime": "2023-11-28T22:03:15Z" } }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
Monitorar logs do CloudTrail com o Amazon CloudWatch
Você pode usar o Amazon CloudWatch para monitorar e alertar sobre atividades específicas da API nos logs do CloudTrail. Isso ajuda a detectar tentativas de acesso não autorizado, alterações de configuração ou padrões de atividade pouco usuais.
Para configurar o monitoramento do CloudWatch:
-
Configure a trilha do CloudTrail para enviar logs para o CloudWatch Logs.
-
Criar filtros de métrica para extrair informações específicas de eventos de log
-
Criar alarmes com base nessas métricas
Para obter informações detalhadas, consulte Monitorar arquivos de log do CloudTrail com o Amazon CloudWatch Logs.
Práticas recomendadas para o CloudTrail com administrador de segurança da rede
Para maximizar a segurança e a auditabilidade com o CloudTrail:
-
Habilitar o CloudTrail em todas as regiões para ter uma cobertura abrangente
-
Habilitar a validação da integridade dos arquivos de log para detectar modificações não autorizadas
-
Usar o IAM para controlar o acesso aos logs do CloudTrailseguindo os princípios de privilégio mínimo
-
Configurar alertas para eventos críticos usando os alarmes do CloudWatch
-
Revisar regularmente os logs do CloudTrail para identificar atividades pouco comuns
