使用以下Amazon方式记录安全中心 API 调用 Amazon CloudTrail - Amazon Security Hub
中的安全中心信息 CloudTrail示例:安全中心日志文件条目
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用以下Amazon方式记录安全中心 API 调用 Amazon CloudTrail

AmazonSecurity Hub 与一项服务集成在一起Amazon CloudTrail,该服务提供用户、角色或Amazon服务在 Security Hub 中执行的操作的记录。CloudTrail将安全中心的 API 调用捕获为事件。捕获的调用包括来自安全中心控制台的调用和对安全中心 API 操作的代码调用。如果您创建跟踪,则可以将CloudTrail事件持续传输到 Amazon S3 存储桶,包括 Security Hub 的事件。如果您不配置跟踪,则仍可在 CloudTrail 控制台的 Event history (事件历史记录) 中查看最新事件。使用CloudTrail收集的信息,您可以确定向 Security Hub 发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出以及其他详细信息。

要了解有关 CloudTrail 的更多信息(包括如何配置和启用它),请参阅 Amazon CloudTrail 用户指南

中的安全中心信息 CloudTrail

在您创建 Amazon Web Services 账户 账户时,即针对该账户启用了 CloudTrail。当支持的事件活动发生在 Security Hub 中时,该活动会与其他Amazon服务CloudTrail事件一起记录在事件历史记录中。您可以在 账户中查看、搜索和下载最新事件。有关更多信息,请参阅使用 CloudTrail 事件历史记录查看事件

要持续记录账户中的事件,包括 Security Hub 的事件,请创建跟踪。跟踪允许CloudTrail将日志文件传送到 Amazon S3 存储桶。在控制台创建跟踪时,跟踪默认应用于所有 Amazon 区域。此跟踪记录在 Amazon 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Simple Storage Service(Amazon S3)桶。此外,您可以配置其他 Amazon 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。有关更多信息,请参阅下列内容:

Security Hub 支持将所有 Security Hub API 操作作为事件CloudTrail记录在日志中。要查看安全中心操作列表,请参阅安全中心 API 参考

将以下操作的活动记录到 CloudTrail 时,responseElements 的值将设置为 null。这可确保 CloudTrail 日志中不包含敏感信息。

  • BatchImportFindings

  • GetFindings

  • GetInsights

  • GetMembers

  • UpdateFindings

每个事件或日志条目都包含有关生成请求的人员信息。身份信息可帮助您确定以下内容:

  • 请求是使用根用户凭证还是 Amazon Identity and Access Management (IAM) 用户凭证发出的

  • 请求是使用角色还是联合身份用户的临时安全凭证发出的

  • 请求是否由其它 Amazon 服务发出

有关更多信息,请参阅 CloudTrail userIdentity 元素

示例:安全中心日志文件条目

跟踪是一种配置,可用于将事件作为日志文件传送到您指定的 Amazon S3 桶。CloudTrail 日志文件包含一个或多个日志条目。一个事件表示来自任何源的一个请求,包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序显示。

下面的示例显示了一个 CloudTrail 日志条目,该条目说明了 CreateInsight 操作。在该示例中,创建了一个名为 Test Insight 的见解。将 ResourceId 属性指定为 Group by (分组依据) 聚合器,并且没有为该见解指定任何可选的筛选条件。有关见解的更多信息,请参阅 SAmazon ecurity Hub 中的见解

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}