View a markdown version of this page

使用记录 Amazon Shield 网络安全控制器 API 调用 Amazon CloudTrail - Amazon WAF、 Amazon Firewall Manager Amazon Shield Advanced、和 Amazon Shield 网络安全总监
网络安全控制器中的信息 CloudTrail网络安全控制器 API 操作记录者 CloudTrail了解网络安全分析器日志文件条目使用 Amazon 监控 CloudTrail 日志 CloudWatchCloudTrail 使用网络安全主管的最佳实践
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅使用控制台

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用记录 Amazon Shield 网络安全控制器 API 调用 Amazon CloudTrail

Amazon Shield 网络安全控制器与集成 Amazon CloudTrail ,可将所有 API 调用记录为事件。这种集成可以捕获从网络安全控制器控制台发出的呼叫、对网络安全控制器的编程调用以及来自其他 Amazon 服务的呼叫。 APIs

借 CloudTrail助,您可以在事件历史记录中查看最近发生的事件,或者创建跟踪以将持续的日志传送到 Amazon 简单存储服务存储桶。这些日志提供每个请求的详细信息,包括调用者的身份、时间、请求参数和响应。

要了解更多信息 CloudTrail,请参阅《Amazon CloudTrail 用户指南》

网络安全控制器中的信息 CloudTrail

CloudTrail 将在您的 Amazon 账户上自动启用。当网络安全控制器中发生活动时,会将其记录为事件 CloudTrail。要持续记录事件,可以创建跟踪,以将日志文件传送至 Amazon S3 存储桶。

有关创建和管理跟踪的更多信息,请参阅:

网络安全控制器 API 操作记录者 CloudTrail

所有网络安全控制器 API 操作均由 API 参考记录 CloudTrail 并记录在《API 参考》中。包括以下操作:

  • ListResources: 列出服务中可用的资源

  • GetResource:检索有关特定资源的详细信息

  • ListFindings: 列出安全调查结果

  • GetFinding: 检索有关特定发现的详细信息

  • UpdateFinding:更新查找结果的状态或其他属性

  • ListRemediations: 列出调查结果的补救建议

  • ListInsights: 根据调查结果和资源列出见解

  • ListAccountSummaries:列出组织的账户摘要

了解网络安全分析器日志文件条目

CloudTrail 日志条目包含有关谁发出了请求、何时发出请求以及使用了哪些参数的信息。以下是 ListAccountSummaries 操作的示例:


{
  "eventVersion": "1.11",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE",
    "arn": "arn:aws:iam::111122223333:user/janedoe",
    "accountId": "111122223333",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/janedoe",
        "accountId": "111122223333",
        "userName": "janedoe"
      },
      "attributes": {
        "creationDate": "2025-11-11T02:57:20Z",
        "mfaAuthenticated": "false"
      }
    }
  },
  "eventTime": "2025-11-11T02:59:53Z",
  "eventSource": "network-security-director.amazonaws.com",
  "eventName": "ListAccountSummaries",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "192.0.2.0",
  "userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.10.244-220.970.amzn2int.x86_64 botocore/1.18.6",
  "requestParameters": {
    "status": "ACTIVE",
    "sortBy": "SEVERITY",
    "maxResults": 2
  },
  "responseElements": null,
  "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
  "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
  "readOnly": true,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "recipientAccountId": "111122223333",
  "eventCategory": "Management"
}

使用 Amazon 监控 CloudTrail 日志 CloudWatch

您可以使用 Amazon CloudWatch 监控 CloudTrail 日志中的特定 API 活动并发出警报。这可帮助您检测未经授权的访问尝试、配置更改或异常活动模式。

要设置 CloudWatch 监控,请执行以下操作:

  1. 配置您的 CloudTrail 跟踪以将日志发送到 CloudWatch 日志

  2. 创建指标筛选条件,以从日志事件中提取特定信息

  3. 根据这些指标创建警报

有关详细说明,请参阅使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件

CloudTrail 使用网络安全主管的最佳实践

通过以下方式最大限度地提高安全性和可 CloudTrail审计性:

  • CloudTrail 在所有地区启用以实现全面覆盖

  • 启用日志文件完整性验证,以检测未经授权的修改

  • 使用 IAM 按照最低权限原则控制对 CloudTrail 日志的访问权限

  • 使用@@ 警报为关键事件设置 CloudWatch 警报

  • 定期查看 CloudTrail 日志以识别异常活动