# SEC04-BP01 Configurazione dei registri di servizi e applicazioni
<a name="sec_detect_investigate_events_app_service_logging"></a>

 Configura i registri per tutto il carico di lavoro, inclusi registri di applicazioni, di risorse e di servizi AWS. Ad esempio, assicurati che AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty e AWS Security Hub CSPM siano abilitati per tutti gli account all'interno della tua organizzazione. 

Una pratica di base è quella di stabilire un set di meccanismi di rilevamento a livello di account. Questo set di meccanismi di base ha lo scopo di registrare e rilevare un'ampia gamma di operazioni su tutte le risorse nel tuo account. Tali meccanismi consentono di creare una funzionalità di rilevamento completa con opzioni che includono la correzione automatizzata e integrazioni dei partner per renderla ancora più funzionale.

In AWS, i servizi che possono implementare questo set di base includono:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) fornisce uno storico degli eventi delle attività del tuo account AWS, incluse le operazioni eseguite dalla Console di gestione AWS, gli SDK AWS, gli strumenti a riga di comando e altri servizi AWS.
+ [AWS Config](http://aws.amazon.com/config) monitora e registra le configurazioni delle risorse AWS e consente di automatizzare la valutazione e la correzione rispetto alle configurazioni desiderate.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e account AWS.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) offre un unico punto di aggregazione, organizzazione e assegnazione di priorità per gli avvisi di sicurezza o i risultati provenienti da diversi servizi AWS e da prodotti opzionali di terze parti per fornire una panoramica completa degli avvisi di sicurezza e dello stato di conformità.

Partendo dalla base esistente a livello di account, molti servizi AWS principali, ad esempio [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc), forniscono funzionalità di registrazione a livello di servizio. [Registri di flusso Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) consentono di acquisire informazioni sul traffico IP da e verso le interfacce di rete che possono fornire approfondimenti preziosi sulla cronologia della connettività e attivare azioni automatizzate in base a comportamenti anomali.

Per le istanze Amazon Elastic Compute Cloud (Amazon EC2) e la registrazione basata su applicazioni che non proviene dai servizi AWS, i registri possono essere archiviati e analizzati utilizzando [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Un' [agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) raccoglie i log dal sistema operativo e dalle applicazioni in esecuzione e li archivia automaticamente. Quando i log sono disponibili in CloudWatch Logs, puoi [elaborarli in tempo reale](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)o analizzarli utilizzando [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).

Oltre alla raccolta e all'aggregazione dei log, è altrettanto importante la capacità di estrarre informazioni significative dai grandi volumi di dati di log ed eventi generati da architetture complesse. Consulta la scheda *Monitoraggio* del [Whitepaper sul principio dell'affidabilità](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) per maggiori dettagli. I log stessi possono contenere dati considerati sensibili, sia quando i dati dell'applicazione sono stati erroneamente inseriti nei file di log acquisiti dall'agente di CloudWatch Logs, sia quando la registrazione tra regioni è configurata per l'aggregazione dei log e vi sono considerazioni legislative sulla spedizione di determinati tipi di informazioni oltre confine.

Un approccio consiste nell'utilizzare le funzioni AWS Lambda, attivate su eventi quando vengono distribuiti i registri, per filtrare e redigere i dati di registro prima di inoltrarli a una posizione di registrazione centrale, ad esempio un bucket Amazon Simple Storage Service (Amazon S3). I registri non redatti possono essere conservati in un bucket locale fino a quando non è trascorso un "periodo di tempo ragionevole" (secondo quanto stabilito dalla legislazione e dal team legale) e a quel punto una regola del ciclo di vita di Amazon S3 può eliminarli automaticamente. Si possono proteggere ulteriormente i log in Amazon S3 utilizzando [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), dove è possibile archiviare oggetti utilizzando un modello WORM (Write Once Read Many).

 **Livello di rischio associato se questa best practice non fosse adottata:** Alto 

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  Abilitazione della registrazione dei servizi AWS: abilita la registrazione dei servizi AWS per soddisfare i tuoi requisiti. Le funzionalità di registrazione includono quanto segue: registri di flussi Amazon VPC, registri Elastic Load Balancing (ELB), registri di bucket Amazon S3, registri di accesso CloudFront, registri di query Amazon Route 53 e registri Amazon Relational Database Service (Amazon RDS). 
  +  [AWS Answers: capacità native di registrazioni di sicurezza AWS](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+  Valuta e abilita la registrazione di sistemi operativi e log specifici per l'applicazione, così da rilevare eventuali comportamenti sospetti. 
  + [ Nozioni di base su CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
  + [ Strumenti per gli sviluppatori e analisi dei registri ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+  Applicazione di controlli adeguati ai registri: i registri contengono informazioni sensibili e solo gli utenti autorizzati devono avere accesso a tali dati. Considera la possibilità di limitare le autorizzazioni per i bucket Amazon S3 e i gruppi di logCloudWatch Logs. 
  + [ Autenticazione e controllo degli accessi per Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
  +  [Gestione di identità e accessi in Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+  Configurazione [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): GuardDuty è un servizio di rilevamento delle minacce che esegue un monitoraggio costante per individuare attività dannose e comportamenti non autorizzati al fine di proteggere i tuoi carichi di lavoro e Account AWS. Abilita GuardDuty e configura gli avvisi automatici per e-mail utilizzando il laboratorio. 
+  [Configurazione di un percorso personalizzato in CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): la configurazione di un percorso permette di memorizzare registri per un tempo maggiore del periodo predefinito e analizzarli in un secondo momento. 
+  Abilita [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config fornisce una visualizzazione dettagliata della configurazione delle risorse AWS nel tuo Account AWS. In essa sono inclusi il modo in cui le risorse sono correlate tra loro e il modo in cui erano configurate in precedenza, in modo da poter vedere il cambiamento di configurazioni e relazioni nel corso del tempo. 
+  Abilita [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): Security Hub CSPM offre una panoramica generale del tuo assetto di sicurezza in AWS e ti aiuta a verificare la conformità rispetto a standard di sicurezza di settore e best practice. Security Hub CSPM raccoglie dati sulla sicurezza da Account AWS, servizi e prodotti di partner di terze parti e aiuta ad analizzare i trend di sicurezza e a identificare le problematiche di sicurezza con priorità maggiore. 

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Nozioni di base: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Soluzione dei partner per la sicurezza: registrazione e monitoraggio](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Video correlati:** 
+ [ Centrally Monitoring Resource Configuration & Compliance (Monitoraggio centrale della configurazione e della conformità delle risorse) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correzione Amazon GuardDuty e risultati AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gestione delle minacce nel cloud: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)

 **Esempi correlati:** 
+ [ Laboratorio: Implementazione automatizzata di controlli di rilevamento ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)