Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Proteja los datos confidenciales de CloudWatch los registros con Amazon Macie
*Anisha Salunkhe, Omar Franco y David Guardiola, Amazon Web Services*
## Resumen
Este patrón le muestra cómo utilizar Amazon Macie para detectar automáticamente los datos confidenciales en un grupo de CloudWatch registros de Amazon Logs mediante la implementación de un flujo de trabajo integral de supervisión de la seguridad. La solución utiliza Amazon Data Firehose para transmitir las entradas de CloudWatch Logs a Amazon Simple Storage Service (Amazon S3). Macie escanea periódicamente este depósito en busca de información de identificación personal (PII), datos financieros y otro contenido confidencial. La infraestructura se implementa a través de una AWS CloudFormation plantilla que proporciona todas las configuraciones Servicios de AWS y necesidades.
CloudWatch Los registros suelen contener datos de aplicaciones que, de forma inadvertida, pueden incluir información confidencial del usuario. Esto puede generar riesgos de conformidad y seguridad. Los enfoques tradicionales de monitoreo de registros carecen de capacidades automatizadas de detección de datos confidenciales. Esto puede dificultar la identificación y la respuesta a las posibles exposiciones de datos en tiempo real.
Este patrón ayuda a los equipos de seguridad y a los responsables de cumplimiento a mantener la confidencialidad de los datos, ya que permite detectar y alertar de forma automática los datos confidenciales en los sistemas de registro. Esta solución permite una respuesta proactiva a los incidentes mediante las notificaciones del Amazon Simple Notification Service (Amazon SNS) y aísla automáticamente los datos confidenciales en un bucket seguro de Amazon S3. Puede personalizar los patrones de detección e integrar el flujo de trabajo con sus procesos de operaciones de seguridad existentes.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Un activo Cuenta de AWS
+ Permisos para crear una CloudFormation pila
+ Un grupo de CloudWatch registros que desee supervisar
+ Una dirección de correo electrónico activa para recibir notificaciones de Amazon SNS
+ Acceso a [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)
+ [(Opcional) Acceso al AWS Command Line Interface (AWS CLI), [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) y configurado](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
**Limitaciones**
+ Macie está sujeto a cuotas de servicio. Para obtener más información, consulte [Cuotas para Macie](https://docs.aws.amazon.com/macie/latest/user/macie-quotas.html) en la documentación de Macie.
## Arquitectura
**Arquitectura de destino**
El siguiente diagrama muestra el flujo de trabajo para usar Macie para examinar las entradas de registro de CloudWatch Logs en busca de datos confidenciales.
El flujo de trabajo muestra los siguientes pasos:
1. El grupo de CloudWatch registros genera los registros, que están sujetos al filtro de suscripción.
1. El filtro de suscripción reenvía los registros a Amazon Data Firehose.
1. Los registros se cifran con una clave AWS Key Management Service (AWS KMS) cuando pasan por el flujo de entrega de Amazon Data Firehose.
1. La transmisión de entrega entrega los registros al depósito de registros exportados en Amazon S3.
1. Todos los días, a las 4 de la mañana, Amazon EventBridge inicia una AWS Lambda función que inicia un escaneo de Macie en busca de datos confidenciales en el depósito de registros exportados.
1. Si Macie identifica datos confidenciales en el depósito, una función Lambda elimina el registro del depósito de registros exportado y lo cifra con un. AWS KMS key
1. La función Lambda aísla los registros que contienen datos confidenciales en el depósito de aislamiento de datos.
1. La identificación de datos confidenciales inicia un tema de Amazon SNS.
1. Amazon SNS envía una notificación por correo electrónico a una dirección de correo electrónico que usted configure con información sobre los registros que contienen datos confidenciales.
**Recursos desplegados**
La CloudFormation plantilla despliega los siguientes recursos en tu objetivo Cuenta de AWS y Región de AWS:
+ Dos depósitos de Amazon [S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#BasicsBucket):
+ Un depósito de registros exportado para almacenar los datos de CloudWatch Logs
+ Un depósito de aislamiento de datos para almacenar la información confidencial
+ Una EventBridge [regla](https://docs.aws.amazon.com/macie/latest/user/findings-monitor-events-eventbridge.html) de Amazon que responde a los hallazgos de Macie
+ AWS Lambda [funciones](https://docs.aws.amazon.com/lambda/latest/dg/concepts-basics.html#gettingstarted-concepts-function) que inician eventos y exportan registros a buckets de Amazon S3
+ [Un [tema](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) y una suscripción de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html)
+ [Una transmisión de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html#key-concepts)
+ [¿Una sesión de Macie](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-session)
+ Un identificador de datos [personalizado](https://docs.aws.amazon.com/macie/latest/user/macie-terms.html#macie-terms-cdi) de Macie
+ Un filtro de [suscripción](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html) a CloudWatch Logs
+ AWS KMS [claves](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) para cifrar los registros almacenados en los depósitos
+ Las [funciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) y [políticas AWS Identity and Access Management (de IAM) necesarias para la solución](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
## Tools (Herramientas)
**Servicios de AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)le ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y gestionarlos a lo largo de su ciclo de vida en todo el mundo Cuentas de AWS . Regiones de AWS
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) le ayuda a centralizar los registros de todos sus sistemas y aplicaciones Servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) le ayuda a entregar datos de streaming en tiempo real a otros Servicios de AWS puntos de enlace HTTP personalizados y puntos de enlace HTTP propiedad de proveedores de servicios externos compatibles.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. Por ejemplo, fuentes como AWS Lambda funciones, puntos finales de invocación HTTP que utilizan destinos de API o buses de eventos, entre otras. Cuentas de AWS
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) le ayuda a crear y controlar claves criptográficas para proteger sus datos.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) lo ayuda a descubrir datos confidenciales, proporciona visibilidad de los riesgos de seguridad de los datos y permite la protección automática contra esos riesgos.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
**Repositorio de código**
El código de este patrón está disponible en el repositorio GitHub [sample-macie-for-securing-cloudwatch-logs](https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs).
## Prácticas recomendadas
Siga las [prácticas CloudFormation recomendadas de la documentación](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html). CloudFormation
## Epics
### Implementar la solución
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Clone el repositorio de código. | Introduzca el siguiente comando para clonar el repositorio en la estación de trabajo local:git clone https://github.com/aws-samples/sample-macie-for-securing-cloudwatch-logs
| Desarrollador de aplicaciones |
| (Opcional) Edite la CloudFormation plantilla. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | Desarrollador de aplicaciones |
| Opción 1: realizar la implementación mediante un script con parámetros de línea de comandos. | Introduzca el siguiente comando para implementar la solución mediante parámetros de línea de comandos, donde el valor de `enable-macie` es `true` solo si Amazon Macie aún no está habilitado:./scripts/test-macie-solution.sh --deploy-stack \
--stack-name \
--email \
--enable-macie \
--region \
--resource-name \
--bucket-name
| AWS general |
| Opción 2: Implemente mediante un script con variables de entorno. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS general |
| Opción 3: Implemente mediante AWS CLI. | Introduzca el siguiente comando para implementar la solución mediante AWS CLI, donde el valor de `EnableMacie` es `true` solo si Amazon Macie aún no está habilitado:aws cloudformation create-stack \
--region us-east-1 \
--stack-name macie-for-securing-cloudwatch-logs \
--template-body file://app/main.yml \
--capabilities CAPABILITY_IAM \
--parameters \
ParameterKey=ResourceName,ParameterValue= \
ParameterKey=BucketName,ParameterValue= \
ParameterKey=LogGroupName,ParameterValue= \
ParameterKey=SNSTopicEndpointEmail,ParameterValue= \
ParameterKey=EnableMacie,ParameterValue=
| |
| Opción 4: Implementar mediante. Consola de administración de AWS | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS general |
| Supervise el estado del despliegue y confirme el despliegue. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS general |
| Confirme la suscripción a Amazon SNS. | Siga las instrucciones de [Confirme su suscripción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/SendMessageToHttp.confirm.html) en la documentación de Amazon SNS para confirmar su suscripción a Amazon SNS. | Desarrollador de aplicaciones |
### Pruebe la solución
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Opción 1: Realice la prueba con informes automatizados. | Si utilizó el nombre de pila predeterminado, introduzca el siguiente comando para probar la solución:./scripts/test-macie-solution.sh \
--full-test
Si utilizó un nombre de pila personalizado, introduzca el siguiente comando para probar la solución:./scripts/test-macie-solution.sh \
--full-test \
--stack-name
Si ha utilizado un nombre de pila y parámetros personalizados, introduzca el siguiente comando para probar la solución:./scripts/test-macie-solution.sh --full-test \
--stack-name \
--region \
--log-group
| AWS general |
| Opción 2: realizar la prueba con una validación específica. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS general |
### Limpieza
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Opción 1: realizar una limpieza automática. | Si ha utilizado el nombre de pila predeterminado, introduzca el siguiente comando para eliminar la pila:./scripts/cleanup-macie-solution.sh \
--full-cleanup
Si ha utilizado un nombre de pila personalizado, introduzca el siguiente comando para eliminar la pila:./scripts/cleanup-macie-solution.sh \
--full-cleanup \
--stack-name
Si ha utilizado un nombre de pila y parámetros personalizados, introduzca el siguiente comando para eliminar la pila:./scripts/cleanup-macie-solution.sh \
--full-cleanup \
--stack-name \
--region \
--disable-macie
| AWS general |
| Opción 2: Realizar la step-by-step limpieza. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS general |
| Verifique la limpieza. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/secure-cloudwatch-logs-using-macie.html) | AWS general |
## Resolución de problemas
| Problema | Solución |
| --- | --- |
| CloudFormation el estado de la pila muestra **CREATE\_FAILED**. | La CloudFormation plantilla está configurada para publicar registros en Logs. CloudWatch Puedes ver los registros en el Consola de administración de AWS para no tener que conectarte a tu EC2 instancia de Amazon. Para obtener más información, consulta [Ver CloudFormation los registros en la consola](https://aws.amazon.com/blogs/devops/view-cloudformation-logs-in-the-console/) (AWS entrada del blog). |
| CloudFormation `delete-stack`el comando falla. | Algunos recursos deben estar vacíos para poder eliminarlos. Por ejemplo, debe eliminar todos los objetos de un bucket de Amazon S3 o eliminar todas las instancias de un grupo de EC2 seguridad de Amazon antes de poder eliminar el bucket o el grupo de seguridad. Para obtener más información, consulte Fallos al [eliminar la pila](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-errors-delete-stack-fails) en la documentación de Amazon S3. |
| Error al analizar un parámetro. | Cuando utilice la consola AWS CLI o la CloudFormation consola para introducir un valor, añada las comillas. |
## Recursos relacionados
+ [Mejores prácticas de arquitectura para el almacenamiento](https://aws.amazon.com/architecture/storage/?docs3_bp1&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all) (AWS sitio web)
+ [Sintaxis de patrones de filtrado para filtros métricos, filtros de suscripción, eventos de registro de filtros y Live Tail](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) (documentación de CloudWatch registros)
+ [Diseño e implementación del registro y la supervisión con Amazon CloudWatch](https://docs.aws.amazon.com/prescriptive-guidance/latest/implementing-logging-monitoring-cloudwatch/welcome.html) (guía AWS prescriptiva)
+ [Solución de problemas CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) (CloudFormation documentación)