Auditoría de las llamadas a APIs

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

Habilitar, centralizar y resguardar los Logs de AWS CloudTrail

Es recomendable utilizar los registros de auditoría de AWS CloudTrail para poder investigar incidentes configurándolos para retener el período que su política de seguridad determine, y también centralizarlos en una cuenta de Logging para protegerlos de accesos maliciosos, o si utilizan una única cuenta, controlar el acceso mediante políticas de IAM.

AWS CloudTrail

Si utiliza AWS Control Tower para la gestión multi-cuenta , ya genera la cuenta de Logging donde se centralizan y protegen los logs automáticamente.

Su equipo de seguridad debe estar capacitado para comprender cómo buscar e investigar registros de CloudTrail.

AWS CloudTrail Mindmap

https://www.xmind.net/m/sY4HG3

Mitigación de riesgos

  • Proteger los registros es fundamental en las investigaciones de seguridad para asegurarse de conocer qué hicieron los adversarios y revertir sus acciones, eliminando cualquier acceso potencial.

Guía para evaluar su grado de alineación

  • ¿Tiene habilitado AWS Control Tower?
  • Si no es así:
    • ¿Ha habilitado el registro organizacional de CloudTrail?
    • ¿Ha habilitado las SCP para evitar que los adversarios detengan la generación de registros de CloudTrail y manipulen los archivos de registro?
  • ¿Qué tan preparado está su equipo para investigar los registros de CloudTrail?

Precios

https://aws.amazon.com/es/cloudtrail/pricing

La actividad de eventos de administración que AWS CloudTrail registró durante los últimos 90 días puede verse y buscarse de manera gratuita a través de la consola de AWS CloudTrail o el uso de la CLI de AWS.