# SEC04-BP01 配置服务和应用程序日志记录
在整个工作负载中配置日志记录,包括应用程序日志、资源日志和 AWS 服务日志。例如,确保已为组织内的所有账户启用 AWS CloudTrail、Amazon CloudWatch Logs、Amazon GuardDuty 和 AWS Security Hub CSPM。
基本做法是在账户级别建立一套检测机制。这套基本机制的目的是记录和检测对您账户中的所有资源执行的多种操作。它们允许您构建全面的检测能力和一些用于添加功能的选项,包括自动修复和合作伙伴集成。
在 AWS 中,可以实施这套基本机制的服务包括:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) 可提供 AWS 账户活动的事件历史记录,包括通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的操作。
+ [AWS Config](http://aws.amazon.com/config) 监控和记录您的 AWS 资源配置,并允许您对照所需的配置自动执行评估和修复。
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 AWS 账户和工作负载。
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) 集中聚合、组织和优先处理来自多个 AWS 服务和可选第三方产品的安全警报或调查结果,以使您全面了解安全警报和合规性状态。
在账户级别构建基础时,很多核心 AWS 服务(例如 [Amazon Virtual Private Cloud Console(Amazon VPC)](http://aws.amazon.com/vpc)提供了服务级别的日志记录功能。[Amazon VPC 流日志](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 可让您捕获有关传入和传出网络接口的 IP 流量的信息,这些信息可提供对于连接历史记录的宝贵见解,并根据异常行为触发自动操作。
对于并非起源于 AWS 服务的 Amazon Elastic Compute Cloud(Amazon EC2)实例和基于应用程序的日志记录,可以使用以下工具来存储和分析日志: [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch)。云 [代理](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) 将从正在运行的操作系统和应用程序收集日志,并自动存储这些日志。当这些日志在 CloudWatch Logs 中可用之后,您即可 [实时处理它们](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html),或者使用 [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)进行深入分析。
与收集和聚合日志同样重要的是,要能够从复杂的架构生成的大量日志和事件数据中提取有意义的见解。请参阅 *《可靠性支柱》白皮书* 的 [“监控”部分](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) 以获取详细信息。日志自身可能包含敏感数据 – 当应用程序数据以错误的方式进入 CloudWatch Logs 代理捕获的日志文件中,或者为日志聚合功能配置了跨区域日志记录并且在跨境传输某些类型的信息时需要注意一些法律事项时。
一种方法是使用提供日志时在事件上触发的 AWS Lambda 函数,以筛选和编辑日志数据,然后将其转发到中央日志记录位置,例如 Amazon Simple Storage Service(Amazon S3)存储桶。未编辑的日志可以保留在本地存储桶中,直到合理的时间结束(由法律和您的法律团队决定),届时 Amazon S3 生命周期规则会自动将它们删除。可以在 Amazon S3 中使用 [Amazon S3 对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)功能进一步保护日志,您可在其中使用“一次写入多次读取”(WORM) 模式来存储对象。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 启用 AWS 服务的日志记录:启用 AWS 服务的日志记录以满足您的要求。日志记录功能包括:Amazon VPC 流日志、Elastic Load Balancing(ELB)日志、Amazon S3 存储桶日志、CloudFront 访问日志、Amazon Route 53 查询日志和 Amazon Relational Database Service(Amazon RDS)日志。
+ [AWS Answers:原生的 AWS 安全日志记录功能 ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ 评估并记录特定于操作系统和应用程序的日志,以便检测可疑行为。
+ [ 开始使用 CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ 开发人员工具和日志分析 ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ 对日志采取适当的控制:日志中可能包含敏感信息,只有获得授权的用户可以访问。考虑限制对 Amazon S3 存储桶和 CloudWatch Logs 日志组的访问权限。
+ [ Amazon CloudWatch 的身份验证与访问控制 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Amazon S3 中的身份与访问管理 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ 配置 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html):AWS 账户 是一种威胁检测服务,可持续监控恶意活动和未经授权的行为,从而保护您的 GuardDuty 和工作负载。使用实验启用 GuardDuty 并配置通过电子邮件发送的自动化警报。
+ [在 CloudTrail 中配置自定义跟踪](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html):配置跟踪可将日志保存比默认时长更长的时间,以便日后进行分析。
+ 支持 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html):AWS Config 可以提供 AWS 账户 中的 AWS 资源配置详细信息。其中包括资源彼此之间的关系以及它们以前的配置,让您可以了解配置和关系随时间的变化。
+ 支持 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)通过 Security Hub CSPM,您可以全面了解自己在 AWS 中的安全状态,帮助您检查是否符合安全行业标准和最佳实践。Security Hub CSPM 会收集 AWS 账户、服务和支持的第三方合作伙伴产品的数据,帮助您分析您的安全趋势,并确定最高优先级的安全问题。
## 资源
**相关文档:**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ 开始使用:Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [安全合作伙伴解决方案:日志记录和监控](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**相关视频:**
+ [ 集中监控资源配置和合规性 ](https://youtu.be/kErRv4YB_T4)
+ [修正 Amazon GuardDuty 和 AWS Security Hub CSPM 调查结果 ](https://youtu.be/nyh4imv8zuk)
+ [ 云中的威胁管理:Amazon GuardDuty 和 AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**相关示例:**
+ [ 实验室:自动部署检测性控制 ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)