 |
Hoje, fico feliz em anunciar a disponibilidade geral de eventos de atividade de rede para Amazon Digital Personal Cloud (Amazon VPC) endpoints in AWS Cloudtrail. Esse recurso ajuda você a gravar e monitorar a atividade da AWS API, atravessando seus pontos de extremidade do VPC, ajudando você a fortalecer o perímetro de dados e implementar melhores controles de detetive.
Anteriormente, period difícil detectar tentativas potenciais de exfiltração de dados e acesso não autorizado aos recursos da sua rede por meio de pontos de extremidade do VPC. Embora as políticas de endpoint do VPC possam ser configuradas para impedir que o acesso de contas externas, não havia mecanismo interno para registrar ações negadas ou detectar quando credenciais externas foram usadas em um endpoint VPC. Isso geralmente exigia que você criasse soluções personalizadas para inspecionar e analisar o tráfego do TLS, o que poderia ser operalmente caro e negar os benefícios das comunicações criptografadas.
Com esse novo recurso, agora você pode optar por registrar todas as atividades da AWS API passando pelos seus pontos de extremidade do VPC. O CloudTrail registra esses eventos como um novo tipo de evento chamado Eventos de Atividade de Rede, que capturam as ações do plano de controle e do plano de dados que passam por um terminal de VPC.
Os eventos de atividade de rede no CloudTrail fornecem vários benefícios importantes:
- Visibilidade abrangente – Log TODOS OS ATIVIDADES DE API ARVAVERSA DE ENDIMENTOS DE VPC, independentemente da conta da AWS iniciar a ação.
- Detecção de credencial externa – Identifique quando credenciais de fora da sua organização estão acessando seu terminal de VPC.
- Prevenção de exfiltração de dados – Detectar e investigar possíveis tentativas de movimento de dados não autorizadas.
- Monitoramento de segurança aprimorado – Obtenha informações sobre todas as atividades da AWS API em seus pontos de extremidade do VPC sem a necessidade de descriptografar o tráfego do TLS.
- Visibilidade para conformidade regulatória – Melhore sua capacidade de atender aos requisitos regulatórios, rastreando todas as atividades da API que passam.
Introdução com eventos de atividade de rede para registro de terminais do VPC
Para ativar eventos de atividade de rede, eu vou para o AWS Cloudtrail console e escolha Trilhas no painel de navegação. Eu escolho Crie trilha para criar um novo. Eu entro um nome no Nome da trilha campo e escolha um Amazon Easy Storage Service (Amazon S3) Bucket para armazenar os logs de eventos. Quando crio uma trilha no Cloudtrail, posso especificar um balde do Amazon S3 existente ou criar um novo balde para armazenar os registros de eventos da minha trilha.
Se você definir Arquivo de log Criptografia SSE-KMS para Habilitadovocê tem duas opções: escolha Novo Para criar um novo Serviço de gerenciamento de chaves da AWS (AWS KMS) chave ou escolha Existente para escolher uma chave KMS existente. Se você escolheu Novovocê precisa digitar um alias no AWS KMS Alias campo. CloudTrail criptografa seus arquivos de log com esta tecla KMS e adiciona a política para você. A chave KMS e a Amazon S3 devem estar na mesma região da AWS. Para este exemplo, eu uso uma chave KMS existente. Eu entro no pseudônimo no AWS KMS Alias Campo e deixe o restante como padrão para esta demonstração. Eu escolho Próximo Para a próxima etapa.
No Escolha eventos de log passo, eu escolho Eventos de atividade de rede sob Eventos. Eu escolho a fonte de evento da lista de serviços da AWS, como cloudtrail.amazonaws.comAssim, ec2.amazonaws.comAssim, kms.amazonaws.comAssim, s3.amazonaws.come secretsmanager.amazonaws.com. Eu adiciono duas fontes de eventos de atividade de rede para esta demonstração. Para a primeira fonte, eu seleciono ec2.amazonaws.com opção. Para Modelo de seletor de logPosso usar modelos para casos de uso comum ou criar filtros de granulação fina para cenários específicos. Por exemplo, para registrar todas as atividades da API que atravessando o terminal do VPC, eu posso escolher o Registre todos os eventos modelo. Eu escolho Acesso à atividade da rede de logs Eventos negados modelo para registrar apenas o acesso a eventos negados. Opcionalmente, posso inserir um nome no Nome do seletor campo para identificar o modelo de seletor de log, como Inclua eventos de atividade de rede para Amazon EC2.
Como segundo exemplo, eu escolho Personalizado para criar filtros personalizados em vários campos, como EventName e vpcendpointId. Posso especificar IDs específicos do Pondpond VPC ou filtrar os resultados para incluir apenas os pontos de extremidade do VPC que correspondem aos critérios específicos. Para Seletores de eventos avançados, Eu escolho vpcendpointId do Campo suspenso, escolha igual a como Operadore digite o ID do ponto de extremidade do VPC. Quando expandi a visualização JSON, posso ver meus seletores de eventos como um bloco JSON. Eu escolho Próximo E depois de revisar as seleções, eu escolho Crie trilha.
Após a configuração, o CloudTrail começará a registrar eventos de atividade de rede para meus pontos de extremidade do VPC, ajudando -me a analisar e agir com esses dados. Para analisar eventos de atividade de rede da AWS CloudTrail, você pode usar o console CloudTrail, Interface da linha de comando da AWS (AWS CLI)e AWS SDK para recuperar logs relevantes. Você também pode usar Lago Cloudtrail para capturar, armazenar e analisar seus eventos de atividade de rede. Se você estiver usando trilhas, você pode usar Amazon Athena Consultar e filtrar esses eventos com base em critérios específicos. A análise common desses eventos pode ajudá -lo a manter a segurança, a cumprir os regulamentos e otimizar sua infraestrutura de rede na AWS.
Agora disponível
Os eventos de atividade da rede CloudTrail para o log de terminais do VPC fornecem uma ferramenta poderosa para aprimorar sua postura de segurança, detectar ameaças em potencial e obter informações mais profundas sobre o tráfego de rede VPC. Esse recurso atende às suas necessidades críticas de visibilidade e controle abrangentes sobre seus ambientes da AWS.
Os eventos de atividade de rede para pontos de extremidade do VPC estão disponíveis em todas as regiões comerciais da AWS.
Para obter informações sobre preços, visite AWS CloudTrail Preço.
Para começar com os eventos de atividade da rede Cloudtrail, visite AWS Cloudtrail. Para obter mais informações sobre o CloudTrail e seus recursos, consulte o Documentação do AWS Cloudtrail.