VPC和Cloud Trail日志用于SIEM。
0
【以下的问题经过翻译处理】 客户正在获取VPC和Cloud Trail日志,以导入到他们的SIEM系统中。
挑战:VPC流日志和Cloud Trail的数量很大,如果直接导入到SIEM系统中,将会产生大量低价值的数据。客户希望根据NIST标准从VPC和Cloud Trail数据中筛选出有价值的信息。
您知道客户应该从VPC流日志和Cloud Trail中过滤哪些数据以满足NIST标准吗?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 NIST与日志的对齐主要是为了清晰地了解事件的信息。正如您所提到的,VPC流量日志和云跟踪的数量对于SIEM系统来说非常庞大。这会导致信息的稀释和SIEM成本的增加。在大多数情况下(我假设这里也是如此),客户通过API从S3存储桶或CloudWatch中读取数据,这需要很长的时间。
因此,建议只筛选和上传重要事件到SIEM。可以通过定期运行的Lambda来上传小的增量到SIEM,也可以通过Athena读取VPC日志并将精确的结果导出到SIEM进行分析。
例如,VPC流量日志的筛选器可以包括:
拒绝的日志 重复的日志 过滤易受攻击的端口流量
另外,例如CloudTrail的筛选器,可以过滤像SPOT fleet创建、用户创建、未使用区域中的资源创建、密钥轮换等关键事件。
希望这对您有所帮助。