本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 主题 7:集中记录和监控
**涵盖八大要点策略**
应用程序控制、修补应用程序、限制管理权限、多因素身份验证
AWS 提供的工具和功能使您能够查看 AWS 环境中正在发生的事情。这些方法包括:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)通过为您的账户创建 AWS API AWS 调用的历史记录(包括通过、和命令行工具进行的 API 调用) AWS 管理控制台 AWS SDKs,帮助您监控部署。对于支持的服务 CloudTrail,您还可以识别哪些用户和账户调用了该服务的 API、发出呼叫的源 IP 地址以及调用的发生时间。
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 可帮助您实时监控您的 AWS 资源和运行的应用程序 AWS 的指标。
+ [Amazon CloudWatch Lo](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) gs 可帮助您集中所有系统和应用程序的日志, AWS 服务 这样您就可以监控它们并安全地将其存档。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 是一项持续的安全监控服务,可分析和处理日志,以识别您的 AWS 环境中意外和可能未经授权的活动。 GuardDuty 与 Amazon EventBridge 集成,以便开始自动回复或通知人类。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)提供了您的安全状态的全面视图 AWS。它还可以帮助您根据安全行业标准和最佳实践检查您的 AWS环境。
这些工具和功能旨在提高可见性,且可帮助您在问题对您的环境产生负面影响之前解决问题。这可以帮助您改善组织在云中的安全状况,并降低环境的风险概况。
## Well-Architecte AWS d Framework 中的相关最佳实践
+ [SEC04-BP01 配置服务和应用程序日志](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
+ [SEC04-在标准化位置BP02 捕获日志、发现结果和指标](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)
## 实现此主题
### 启用日志记录
+ [使用 CloudWatch 代理将系统级日志发布到 Logs CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ [为 GuardDuty 调查结果设置警报](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#setup-sns)
+ [在中创建组织跟踪 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
### 实施日志记录安全最佳实践
+ [实施 CloudTrail 安全最佳实践](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [用于 SCPs 防止用户禁用安全服务](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)(AWS 博客文章)
+ [使用加密日志中的 CloudWatch 日志数据 AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)
### 集中日志
+ [接收来自多个账户的 CloudTrail 日志](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [向日志归档账户发送日志](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
+ [将 CloudWatch 日志集中到账户中以进行审计和分析](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/)(AWS 博客文章)
+ [集中管理 Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
+ 在 AWS Config([博客文章)AWS 中创建组织范围的聚合器](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
+ [集中管理 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
+ [集中管理 GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ [考虑使用 Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)
## 监控此主题
### 实施机制
+ 建立审查日志调查发现的机制
+ 建立审查 Security Hub CSPM 调查结果的机制
+ 建立回应 GuardDuty 调查结果的机制
### 实施以下 AWS Config 规则
+ `CLOUDTRAIL_SECURITY_TRAIL_ENABLED`
+ `GUARDDUTY_ENABLED_CENTRALIZED`
+ `SECURITYHUB_ENABLED`
+ `ACCOUNT_PART_OF_ORGANIZATIONS`