1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 NIST与日志的对齐主要是为了清晰地了解事件的信息。正如您所提到的,VPC流量日志和云跟踪的数量对于SIEM系统来说非常庞大。这会导致信息的稀释和SIEM成本的增加。在大多数情况下(我假设这里也是如此),客户通过API从S3存储桶或CloudWatch中读取数据,这需要很长的时间。
因此,建议只筛选和上传重要事件到SIEM。可以通过定期运行的Lambda来上传小的增量到SIEM,也可以通过Athena读取VPC日志并将精确的结果导出到SIEM进行分析。
例如,VPC流量日志的筛选器可以包括:
拒绝的日志 重复的日志 过滤易受攻击的端口流量
另外,例如CloudTrail的筛选器,可以过滤像SPOT fleet创建、用户创建、未使用区域中的资源创建、密钥轮换等关键事件。
希望这对您有所帮助。