使用 SIEM 工具保护 AWS

AWS 安全注意事项

在过去十年中,云采用的迅速增加已经改变了 IT。亚马逊网络服务(AWS)是使用最广泛的云计算平台;组织依赖 AWS 提供对其日常运营至关重要的各种基于云的服务。尽管 AWS 等云基础架构提供了巨大的优势,但它们也带来了 IT 团队必须应对的新安全挑战。

对于初学者来说,在云上监控安全事件比在公司网络上更具挑战性。有效地跟踪云上的用户活动尤其困难。正如他们在本地环境中所做的那样,您组织中的用户与云上的敏感数据和资源进行交互。然而,云平台上的安全监控经常被忽视,使组织面临违规和停机风险。如果恶意行为者篡改您的 AWS 基础架构怎么办?如果他们修改或删除 S3 存储桶怎么办?

AWS 日志和 SIEM 的重要性

您的 AWS 基础架构生成的日志提供了有关平台上发生的各种活动的重要详细信息;其中包括登录活动、S3 存储桶更改、安全组更改等。审计跟踪可帮助您及早识别感兴趣的安全事件,以确保迅速缓解事件。

维护审计跟踪是 IT 合规性的一个组成部分。通过跟踪审计跟踪,您不仅可以了解 AWS 平台中发生的情况,还可以发现可能表明可能存在攻击的可疑事件。如果检测到事件,您可以查看日志以回溯事件并发现其根本原因。

安全信息和事件管理 (SIEM) 解决方案可以集中和分析来自 AWS 平台的日志以及来自网络中其他组件的日志。使用 SIEM 解决方案,您可以从日志中获得可操作的情报。这就是为什么 SIEM 解决方案是从单个控制台监控和保护本地和云基础架构的首选方式。

监测区域

确定您的 AWS 账户中需要监控和保护的服务。以下是您需要注意的事件的非详尽列表。通过安排报表来跟踪这些事件,并满足合规性要求。除此之外,您还可以在检测到入侵指标 (IoC) 时设置告警。

  • EC2 活动:监控分配/未分配地址等活动,以及对网络接口配置所做的重要更改。
  • 用户操作:跟踪单个用户执行的操作,例如登录和配置更改。请务必跟踪成功和失败的事件。

  • IAM 活动:报表用户和组。针对未经授权的操作触发告警。

  • 虚拟私有云 (VPC) 活动和更改:这些有助于快速解决问题。

  • 文件更改:密切关注文件请求,包括访问、创建、删除和修改,以确保数据的完整性不受影响。

  • 流量分析:根据 IP 地址、文件和方法跟踪流量。专注于 Elastic Load Balancing (ELB) 流量以监控访问和延迟趋势。

  • Web 应用程序防火墙 (WAF):验证对 WAF 设置(例如规则、IP 集和 ACL)所做的关键更改。未经检查的更改可能会危及您的安全策略。

ManageEngine Log360:全面的 SIEM 解决方案

ManageEngine Log360 是一个全面的 SIEM 解决方案,为 AWS 平台提供开箱即用的日志支持。您只需单击几下即可轻松配置解决方案以开始处理来自 AWS 的日志。

  • 访问直观的仪表板,这些仪表板提供 AWS 上发生的安全事件的高级概述。
  • 生成和安排精细的、开箱即用的报表,以跟踪广泛的安全事件,包括上一节中提到的事件。
  • 为各种危害指标 (IoC) 设置告警,以便及早检测攻击。
  • 在取证调查期间使用强大的搜索引擎提取重要信息。

有兴趣使用 SIEM 解决方案保护您的 AWS 平台吗?立即免费试用 Log360!
现在下载