

# SEC04-BP01 Configurar registro em log de serviço e aplicação
<a name="sec_detect_investigate_events_app_service_logging"></a>

 Configure o registro em log em toda a workload, incluindo logs de aplicações, logs de recursos e logs de serviços da AWS. Por exemplo, verifique se o AWS CloudTrail, o Amazon CloudWatch Logs, o Amazon GuardDuty e o AWS Security Hub CSPM estão habilitados para todas as contas da sua organização. 

Uma prática básica é estabelecer um conjunto de mecanismos de detecção no nível da conta. Esse conjunto básico de mecanismos deve registrar e detectar uma grande variedade de ações em todos os recursos da conta. Eles permitem criar uma função de detecção abrangente com opções que incluem correção automatizada e integrações de parceiros para funcionalidade adicional.

Na AWS, os serviços que podem implementar esse conjunto base incluem:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) fornece histórico de eventos da atividade de sua conta da AWS, incluindo ações realizadas por meio do Console de gerenciamento da AWS, de AWS SDKs, de ferramentas de linha de comando e de outros serviços da AWS.
+ [AWS Config](http://aws.amazon.com/config) monitora e registra as configurações de recursos da AWS e permite automatizar as tarefas de avaliação e correção em relação às configurações desejadas.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e cargas de trabalho da AWS.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) fornece um único local que agrega, organiza e prioriza alertas de segurança ou descobertas de vários serviços da AWS e produtos opcionais de terceiros para oferecer uma visão abrangente dos alertas de segurança e do status de conformidade.

Com base nos alicerces no nível da conta, muitos serviços essenciais da AWS, como o [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc), fornecem recursos de registro em log em nível de serviço. [Logs de fluxo da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) permitem capturar informações sobre o tráfego de IP de entrada e saída das interfaces de rede que podem ser valiosas para o histórico de conectividade, além de acionar ações automatizadas com base em comportamentos anômalos.

Para instâncias do Amazon Elastic Compute Cloud(Amazon EC2) e registro em log baseado em aplicações que não são originadas de serviços da AWS, os logs podem ser armazenados e analisados com o [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Uma [agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) coleta os logs no sistema operacional e nos aplicativos em execução e os armazena automaticamente. Assim que os logs estiverem disponíveis no CloudWatch Logs, você poderá [processá-los em tempo real](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)ou se aprofundar em análises usando o [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).

Igualmente importante para coletar e agregar logs é a capacidade de extrair informações relevantes dos grandes volumes de dados de log e eventos gerados por arquiteturas modernas e complexas. Consulte a guia *Monitoramento* do [whitepaper sobre o pilar de confiabilidade](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) para obter mais detalhes. Os logs podem conter dados considerados confidenciais. Quando os dados do aplicativo são erroneamente encontrados em arquivos de log que o agente do CloudWatch Logs está capturando ou quando o registro em log entre regiões está configurado para agregação de logs e há considerações legislativas sobre o envio de determinados tipos de informações além de fronteiras.

Uma abordagem é usar funções do AWS Lambda, acionadas em eventos quando os logs são entregues, para filtrar e redigir dados de log antes de encaminhá-los para um local de registro centralizado de logs, como um bucket do Amazon Simple Storage Service (Amazon S3). Os logs não editados podem ser mantidos em um bucket local por um tempo razoável (conforme determinado pela legislação e a equipe jurídica), quando uma regra de ciclo de vida do Amazon S3 pode excluí-los automaticamente. Os logs podem ser protegidos ainda mais no Amazon S3 usando o [bloqueio de objetos do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), no qual é possível armazenar objetos usando um modelo de gravação única e leitura múltipla (WORM).

 **Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Alto 

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Habilitar o registro em log de serviços da AWS: habilite o registro em log de serviços da AWS para atender aos seus requisitos. Os recursos de registro em log incluem o seguinte: logs de fluxo do Amazon VPC, logs do Elastic Load Balancing (ELB), logs de bucket do Amazon S3, logs de acesso do CloudFront, logs de consulta do Amazon Route 53 e logs do Amazon Relational Database Service (Amazon RDS). 
  +  [AWS Answers: capacidade nativa de log de segurança da AWS](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+  Avalie e habilite o registro em log de sistemas operacionais e logs específicos de aplicativos para detectar comportamentos suspeitos. 
  + [ Conceitos básicos do CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
  + [ Ferramentas do desenvolvedor e análise de log ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+  Aplicar os controles apropriados aos logs: os logs podem conter informações confidenciais e somente usuários autorizados devem ter acesso. Considere restringir as permissões aos grupos de logs dos buckets do Amazon S3 e do CloudWatch Logs. 
  + [ Autenticação e controle de acesso para o Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
  +  [Identity and Access Management no Amazon S3. ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+  Configurar [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): o GuardDuty é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger contas e workloads das Contas da AWS. Habilite o GuardDuty e configure alertas automatizados para enviar e-mails usando o laboratório. 
+  [Configurar trilha personalizada no CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): a configuração de uma trilha permite armazenar logs por mais tempo que o período padrão e analisá-los posteriormente. 
+  Habilitar [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): o AWS Config oferece uma visualização detalhada da configuração dos recursos da AWS em uma Conta da AWS. Isso inclui como os recursos se relacionam entre si e como foram configurados anteriormente, permitindo que você veja como as configurações e os relacionamentos mudam ao longo do tempo. 
+  Habilitar [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): o Security Hub CSPM fornece uma visão abrangente do seu estado de segurança na AWS e ajuda a verificar sua conformidade com os padrões e práticas recomendadas do setor de segurança. O Security Hub CSPM coleta dados de segurança de todas as Contas da AWS, serviços e produtos de parceiros de terceiros suportados e ajuda você a analisar suas tendências de segurança e identificar os problemas de segurança de maior prioridade. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Conceitos básicos: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Soluções de segurança parceiros: registro em log e monitoramento](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Vídeos relacionados:** 
+ [ Centrally Monitoring Resource Configuration and Compliance (Monitoramento centralizado de configuração e conformidade de recursos) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Correção do Amazon GuardDuty e descobertas do AWS Security Hub) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Gerenciamento de ameaças na nuvem: Amazon GuardDuty e AWS Security Hub) ](https://youtu.be/vhYsm5gq9jE)

 **Exemplos relacionados:** 
+ [ Laboratório: Implantação automatizada de controles de detecção ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)