检测
分析

确保CloudTrail轨迹结合监测日志

媒介

描述

描述:

AWS CloudTrail记录AWS API调用的web服务是在一个给定的AWS帐户。记录的信息包括API调用者的身份、API调用的时候,API调用者的源IP地址,请求参数,返回的响应元素AWS服务。CloudTrail使用Amazon S3存储日志文件和交付,所以日志文件存储经久地。除了捕获CloudTrail日志在指定S3 bucket长期分析,实时分析可以通过配置执行CloudTrail发送日志监测日志。启用跟踪,在所有地区在一个帐户,CloudTrail发送日志文件从所有这些地区监测日志日志组。建议CloudTrail日志发送到监测日志。

注意:这个建议的目的是为了确保AWS帐户活动被捕,监控,和适当的警觉。CloudWatch日志实现这个目标的方法是一个本机使用AWS服务但并不排除使用另一种解决方案。

理由是:

发送CloudTrail日志监测日志将促进基于用户实时和历史活动日志记录,API,资源,和IP地址,并提供机会建立异常警报和通知或敏感账户活动。

修复

执行以下规定建立状态:

从控制台:

  1. 在“登录到CloudTrail控制台https://console.aws.amazon.com/cloudtrail/的
  2. 选择需要更新的“痕迹”。
  3. 向下滚动到“监测日志”
  4. 点击“编辑”
  5. “监测日志”下单击框“启用”
  6. 在日志组的选择新的或选择现有的日志组
  7. 编辑日志组名称的匹配CloudTrail或选择现有的监测组。
  8. 在“我的角色”选择新的或选择一个已存在的。
  9. 编辑“角色名称”匹配CloudTrail或选择现有的我的角色。
  10. 点击“保存更改。

从命令行:

aws cloudtrail update-trail————cloudwatch-logs-log-group-arn cloudwatch-logs-role-arn名称

政策细节

规则引用ID: AC_AWS_0038
CSP: AWS
修复可用: 是的
: 日志记录和监控
资源: aws_cloudtrail
资源类别: 日志记录和监控
资源类型: CloudTrail

框架

Baidu
map