CloudTrail 中的网络安全分析器信息 CloudTrail 记录的网络安全分析器 API 操作了解网络安全分析器日志文件条目使用 Amazon CloudWatch 监控 CloudTrail 日志使用网络安全分析器的 CloudTrail 最佳实践

使用 Amazon CloudTrail 记录 Amazon Shield 网络安全分析器 API 调用

Amazon Shield 网络安全分析器可与 Amazon CloudTrail 集成，以将所有 API 调用记录为事件。此集成可捕获从网络安全分析器控制台发出的调用、对网络安全分析器 API 的编程调用以及来自其他 Amazon 服务的调用。

使用 CloudTrail，您可以在事件历史记录中查看近期事件，或创建跟踪以将持续日志发送到 Amazon Simple Storage Service 存储桶。这些日志提供每个请求的详细信息，包括调用者的身份、时间、请求参数和响应。

要了解有关 CloudTrail 的更多信息，请参阅 Amazon CloudTrail 用户指南。

CloudTrail 中的网络安全分析器信息

自动启用 Amazon 账户上的 CloudTrail。当网络安全分析器中发生活动时，该活动将作为事件记录在 CloudTrail 中。要持续记录事件，可以创建跟踪，以将日志文件传送至 Amazon S3 存储桶。

有关创建和管理跟踪的更多信息，请参阅：

CloudTrail 记录的网络安全分析器 API 操作

CloudTrail 记录所有网络安全分析器 API 操作，API 参考中介绍了这些操作。包括以下操作：

StartNetworkSecurityScan：启动网络安全扫描
GetNetworkSecurityScan：检索有关网络安全扫描的信息
ListResources：列出服务中可用的资源
GetResource：检索有关特定资源的详细信息
ListFindings：列出安全调查发现
GetFinding：检索有关特定调查发现的详细信息
UpdateFinding：更新调查发现的状态或其他属性
ListRemediations：列出调查发现的补救建议
ListInsights：根据调查发现和资源列出见解

了解网络安全分析器日志文件条目

CloudTrail 日志条目包含有关谁提出请求、何时提出以及使用了哪些参数的信息。以下是 StartNetworkSecurityScan 操作的示例：



{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:02:58Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "StartNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "RESCANNING",
            "startTime": "2023-11-28T22:02:58Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

以下是 GetNetworkSecurityScan 操作的示例：



{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "janedoe"
    },
    "eventTime": "2023-11-28T22:03:15Z",
    "eventSource": "network-director.amazonaws.com",
    "eventName": "GetNetworkSecurityScan",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "aws-cli/2.9.19 Python/3.9.11 Linux/5.15.0-1031-aws botocore/2.4.5",
    "requestParameters": {},
    "responseElements": {
        "scan": {
            "state": "COMPLETE",
            "startTime": "2023-11-28T22:02:58Z",
            "completionTime": "2023-11-28T22:03:15Z"
        }
    },
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE44444",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

使用 Amazon CloudWatch 监控 CloudTrail 日志

您可以使用 Amazon CloudWatch，监控 CloudTrail 日志中的特定 API 活动，并发出警报。这可帮助您检测未经授权的访问尝试、配置更改或异常活动模式。

设置 CloudWatch 监控：

配置 CloudTrail 跟踪，以将日志发送到 CloudWatch Logs
创建指标筛选条件，以从日志事件中提取特定信息
根据这些指标创建警报

有关详细说明，请参阅使用 Amazon CloudWatch Logs 监控 CloudTrail 日志文件。

使用网络安全分析器的 CloudTrail 最佳实践

要使用 CloudTrail 大幅提高安全性和可审计性：

在所有区域启用 CloudTrail，以实现全面覆盖
启用日志文件完整性验证，以检测未经授权的修改
使用 IAM 控制对 CloudTrail 日志的访问，遵循最低权限原则
使用 CloudWatch 警报，为关键事件设置警报
定期查看 CloudTrail 日志，以识别异常活动

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用服务相关角色

Amazon Firewall Manager