**引入全新的主机体验 Amazon WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用记录 Amazon Shield 网络安全控制器 API 调用 Amazon CloudTrail
Amazon Shield 网络安全控制器与集成 Amazon CloudTrail ,可将所有 API 调用记录为事件。这种集成可以捕获从网络安全控制器控制台发出的呼叫、对网络安全控制器的编程调用以及来自其他 Amazon 服务的呼叫。 APIs
借 CloudTrail助,您可以在事件历史记录中查看最近发生的事件,或者创建跟踪以将持续的日志传送到 Amazon 简单存储服务存储桶。这些日志提供每个请求的详细信息,包括调用者的身份、时间、请求参数和响应。
要了解更多信息 CloudTrail,请参阅《[Amazon CloudTrail 用户指南》](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## 网络安全控制器中的信息 CloudTrail
CloudTrail 将在您的 Amazon 账户上自动启用。当网络安全控制器中发生活动时,会将其记录为事件 CloudTrail。要持续记录事件,可以创建跟踪,以将日志文件传送至 Amazon S3 存储桶。
有关创建和管理跟踪的更多信息,请参阅:
+ [为您的 Amazon 账户创建跟踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Amazon 与日志的服务集成 CloudTrail ](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [接收来自多个区域和账户的 CloudTrail 日志文件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
## 网络安全控制器 API 操作记录者 CloudTrail
所有网络安全控制器 API 操作均由 API 参考记录 CloudTrail 并记录在《API 参考》中。包括以下操作:
+ *ListResources*: 列出服务中可用的资源
+ *GetResource*:检索有关特定资源的详细信息
+ *ListFindings*: 列出安全调查结果
+ *GetFinding*: 检索有关特定发现的详细信息
+ *UpdateFinding*:更新查找结果的状态或其他属性
+ *ListRemediations*: 列出调查结果的补救建议
+ *ListInsights*: 根据调查结果和资源列出见解
+ *ListAccountSummaries*:列出组织的账户摘要
## 了解网络安全分析器日志文件条目
CloudTrail 日志条目包含有关谁发出了请求、何时发出请求以及使用了哪些参数的信息。以下是 ListAccountSummaries 操作的示例:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/janedoe",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/janedoe",
"accountId": "111122223333",
"userName": "janedoe"
},
"attributes": {
"creationDate": "2025-11-11T02:57:20Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-11T02:59:53Z",
"eventSource": "network-security-director.amazonaws.com",
"eventName": "ListAccountSummaries",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.10.244-220.970.amzn2int.x86_64 botocore/1.18.6",
"requestParameters": {
"status": "ACTIVE",
"sortBy": "SEVERITY",
"maxResults": 2
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
## 使用 Amazon 监控 CloudTrail 日志 CloudWatch
您可以使用 Amazon CloudWatch 监控 CloudTrail 日志中的特定 API 活动并发出警报。这可帮助您检测未经授权的访问尝试、配置更改或异常活动模式。
要设置 CloudWatch 监控,请执行以下操作:
1. 配置您的 CloudTrail 跟踪以将日志发送到 CloudWatch 日志
1. 创建指标筛选条件,以从日志事件中提取特定信息
1. 根据这些指标创建警报
有关详细说明,请参阅[使用 Amazon CloudTrail 日志监控 CloudWatch 日志文件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html)。
## CloudTrail 使用网络安全主管的最佳实践
通过以下方式最大限度地提高安全性和可 CloudTrail审计性:
+ * CloudTrail 在所有地区启用*以实现全面覆盖
+ *启用日志文件完整性验证*,以检测未经授权的修改
+ *使用 IAM 按照最低权限原则控制对 CloudTrail 日志的访问*权限
+ 使用@@ *警报为关键事件设置* CloudWatch 警报
+ *定期查看 CloudTrail 日志*以识别异常活动