本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 佈景主題 7:集中記錄和監控
**涵蓋的基本八項策略**
應用程式控制、修補應用程式、限制管理權限、多重驗證
AWS 提供工具和功能,可讓您查看環境中發生的情況 AWS 。其中包含:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 透過為您的帳戶建立 AWS API 呼叫的歷史追蹤,包括透過 AWS 管理主控台、 AWS SDKs和命令列工具進行的 API 呼叫,協助您監控 AWS 部署。對於支援 CloudTrail 的服務,您也可以識別哪些使用者和帳戶稱為服務的 API、呼叫的來源 IP 地址,以及呼叫的發生時間。
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 可協助您 AWS 即時監控 AWS 資源的指標,以及您執行的應用程式。
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 可協助您集中所有系統、應用程式和 AWS 服務 的日誌,以便您可以對其進行監控並安全地進行封存。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 是一項持續的安全監控服務,可分析和處理日誌,以識別 AWS 環境中非預期和可能未經授權的活動。GuardDuty 與 Amazon EventBridge 整合,以啟動自動回應或通知人類。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 提供 中安全狀態的完整檢視 AWS。它還可協助您根據安全產業標準和最佳實務來檢查 AWS環境。
這些工具和功能旨在提高可見性,並協助您在問題對您的環境造成負面影響之前解決問題。這可協助您改善組織在雲端的安全狀態,並減少環境的風險設定檔。
## AWS Well-Architected Framework 中的相關最佳實務
+ [SEC04-BP01 設定服務和應用程式日誌記錄](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
+ [SEC04-BP02 在標準化位置中擷取日誌、調查結果和指標](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)
## 實作此主題
### 啟用日誌記錄
+ [使用 CloudWatch 代理程式將系統層級日誌發佈至 CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+ [設定 GuardDuty 調查結果的提醒](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#setup-sns)
+ [在 CloudTrail 中建立組織追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
### 實作記錄安全最佳實務
+ [實作 CloudTrail 安全最佳實務](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [使用 SCPs 防止使用者停用安全服務](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) (AWS 部落格文章)
+ [使用 在 CloudWatch Logs 中加密日誌資料 AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)
### 集中日誌
+ [從多個帳戶接收 CloudTrail 日誌](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
+ [將日誌傳送至日誌封存帳戶](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
+ [在 帳戶中集中 CloudWatch Logs 以進行稽核和分析 ](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/)(AWS 部落格文章)
+ [集中管理 Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
+ 在 [中建立整個組織的彙整工具 AWS Config](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) (AWS 部落格文章)
+ [集中管理 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
+ [集中管理 GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
+ [考慮使用 Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)
## 監控此佈景主題
### 實作機制
+ 建立機制來檢閱日誌問題清單
+ 建立機制來檢閱 Security Hub CSPM 問題清單
+ 建立機制以回應 GuardDuty 調查結果
### 實作下列 AWS Config 規則
+ `CLOUDTRAIL_SECURITY_TRAIL_ENABLED`
+ `GUARDDUTY_ENABLED_CENTRALIZED`
+ `SECURITYHUB_ENABLED`
+ `ACCOUNT_PART_OF_ORGANIZATIONS`