SEC 4: 您如何检测和调查安全事件？

通过日志和指标来记录和分析事件，以便了解信息。针对安全事件和潜在的威胁采取措施，以便保护您的工作负载。

资源

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

最佳实践:

• 配置服务和应用程序日志记录: 在整个工作负载中配置日志记录，包括应用程序日志、资源日志和 AWS 服务日志。例如，确保对组织中的所有账户启用 AWS CloudTrail、Amazon CloudWatch Logs、Amazon GuardDuty 和 AWS Security Hub。

• 集中分析日志、结果和指标: 应集中收集所有日志、指标和遥测数据，并自动对其进行分析，以检测异常和发现未经授权的活动。通过控制面板，您可以轻松访问实时运行状况见解。例如，确保 Amazon GuardDuty 和 Security Hub 日志已发送至一个集中的位置，以用于警报和分析。

• 自动响应事件: 使用自动化流程调查和修复事件可减少人工处理工作量和人为错误，从而扩展调查功能。定期审核将帮助您优化自动化工具，并实现持续迭代。例如，通过自动执行第一个调查步骤来自动响应 Amazon GuardDuty 事件，然后进行迭代以逐步消除人工。

• 实施可操作的安全事件: 创建发送给团队并将由团队处理的警报。确保警报包含团队采取措施所需的相关信息。例如，确保已将 Amazon GuardDuty 和 AWS Security Hub 警报发送至团队以便他们采取措施，或确保已将其发送至响应自动化工具，并通过从自动化框架发送消息来通知团队。

改进计划

配置服务和应用程序日志记录

启用 AWS 服务的日志记录: 启用 AWS 服务的日志记录，以满足您的要求。日志记录功能包括：VPC 流日志、ELB 日志、S3 存储桶日志、CloudFront 访问日志、Route 53 查询日志和 Amazon RDS 日志。
AWS Answers: native AWS security-logging capabilities

评估并启用特定于操作系统和应用程序的日志记录: 评估并记录特定于操作系统和应用程序的日志，以便检测可疑行为。
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

对日志采取适当的控制: 日志中可能包含敏感信息，只有获得授权的用户可以访问。考虑限制对 S3 存储桶和 CloudWatch Logs 日志组的访问权限。
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

配置 Amazon GuardDuty: Amazon GuardDuty 是一种威胁检测服务，可持续查找恶意活动和未经授权的行为，从而保护您的 AWS 账户和工作负载。启用 GuardDuty 并使用实验配置通过电子邮件发送的自动化警报。
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

在 CloudTrail 中配置自定义跟踪: 配置跟踪可将日志保存比默认时长更长的时间，以便日后进行分析。
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

启用 AWS Config: AWS Config 可以提供 AWS 账户中的 AWS 资源配置详细信息。其中包括资源彼此之间的关系以及它们以前的配置，让您可以了解配置和关系随时间的变化。
AWS Config
Lab: Automated Deployment of Detective Controls

启用 AWS Security Hub: 通过 AWS Security Hub，您可以全面了解自己在 AWS 中的安全状态，帮助您检查是否符合安全行业标准和最佳实践。Security Hub 会收集 AWS 账户、服务和支持的第三方合作伙伴产品的数据，帮助您分析您的安全趋势，并确定最高优先级的安全问题。
AWS Security Hub

集中分析日志、结果和指标

评估日志处理功能: 评估用于处理日志的选项
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

在开始分析 CloudTrail 日志前，先测试 Amazon Athena
Configuring Athena to analyze CloudTrail logs

在 AWS 中实施集中处理日志记录: 集中处理多个来源的日志记录的 AWS 示例解决方案。
Centralize logging solution

通过合作伙伴集中处理日志记录: APN 合作伙伴拥有可以帮助您集中分析日志的解决方案。
Logging and Monitoring

自动响应事件

使用 Amazon GuardDuty 实施自动化警报: Amazon GuardDuty 是一种威胁检测服务，可持续监控恶意活动和未经授权的行为，从而保护您的 AWS 账户和工作负载。启用 GuardDuty 并配置自动化警报。
Lab: Automated Deployment of Detective Controls

自动执行调查流程: 制定自动化流程来调查事件并向管理员报告信息，以便节省时间。
Lab: Amazon GuardDuty hands on

实施可操作的安全事件

发现可用于 AWS 服务的指标: 发现可通过 CloudWatch 用于您正在使用的服务的指标。
AWS service documentation
Using Amazon CloudWatch Metrics

配置 Amazon CloudWatch 警报: 。
Using Amazon CloudWatch Alarms