Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security Lake
Explicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.
Descripción general de AppFabric
AppFabric es un servicio que estandariza y centraliza los registros de auditoría de aplicaciones SaaS. Las múltiples aplicaciones SaaS que utilizan las empresas (Okta, Google Workspace, Slack, Salesforce, Microsoft 365, etc.) tienen cada una sus propios formatos de registro y API, y el análisis de seguridad transversal requería el desarrollo de conectores individuales. AppFabric convierte automáticamente estos registros de auditoría al formato OCSF (Open Cybersecurity Schema Framework) y los entrega a S3 o Security Lake. Se elimina la necesidad de desarrollar y mantener conectores, y la adición de nuevas aplicaciones SaaS se completa solo con configuración. A partir de 2024, se admiten plataformas SaaS principales como Okta, Microsoft 365, Google Workspace, Slack, Zoom, Dropbox, Asana y Webex by Cisco, con la lista de soporte en continua expansión.
Estandarización de registros y análisis
Cada SaaS utiliza su propio formato de registro, lo que dificulta el análisis transversal. AppFabric estandariza al formato OCSF, permitiendo analizar de forma unificada "qué usuario ejecutó qué acción en qué SaaS". OCSF es un esquema abierto bajo la Linux Foundation que define campos comunes para cada categoría de evento como Authentication, Authorization, File Activity y API Activity. Esta estandarización permite buscar transversalmente fallos de inicio de sesión en Okta e intentos de acceso no autorizado en Microsoft 365 con la misma consulta. Al entregar a Security Lake, se pueden integrar los registros de CloudTrail, VPC Flow Logs y los hallazgos de GuardDuty con los registros de SaaS para comprender la postura de seguridad de toda la organización. En la visualización de acceso de usuarios, se detectan cuentas SaaS que no han iniciado sesión en más de 30 días, aprovechándolo para la optimización de licencias.
Integración con Security Lake
Al especificar Security Lake como destino de salida de AppFabric, los registros de auditoría SaaS se ingestan en formato OCSF en Security Lake y se pueden analizar de forma integrada con los registros de servicios de AWS (CloudTrail, VPC Flow Logs). Con Athena se pueden ejecutar consultas cross-service como "todas las aplicaciones SaaS a las que accedió un usuario específico en las últimas 24 horas", eficientizando la investigación de fraude interno o compromiso de cuentas. También es posible la salida directa a S3, que se utiliza cuando se transfieren registros a SIEM existentes (Splunk, Datadog). En la configuración de ingesta de AppFabric se registran las credenciales de autenticación por cada SaaS y se configura el intervalo de obtención de registros. Para profundizar en la comprensión de AppFabric, los libros especializados en Amazon también pueden ser útiles.
Casos de uso y patrones de implementación
Los principales casos de uso de AppFabric se dividen en tres categorías. Primero, investigación de incidentes de seguridad: detectar comportamientos anómalos como un empleado próximo a salir descargando grandes volúmenes de archivos o inicios de sesión desde países inusuales, cruzando registros de múltiples aplicaciones SaaS. Segundo, auditoría de cumplimiento: las certificaciones SOC 2 e ISO 27001 requieren evidencia de "quién accedió a qué SaaS y cuándo", y consultar los registros agregados por AppFabric directamente con Athena reduce el esfuerzo de respuesta a auditorías. Tercero, optimización de licencias SaaS: visualizar el número de usuarios activos e informar decisiones para cancelar licencias no utilizadas. Como patrón de implementación, es efectivo conectar primero las plataformas de identidad (Okta/Azure AD) y el uso compartido de archivos (Google Drive/SharePoint), comenzando con la visibilidad de las operaciones de mayor riesgo (cambios de permisos, uso compartido externo).
Precios y consideraciones sobre limitaciones
Los precios de AppFabric se basan en el número de eventos ingestados. Cuesta aproximadamente $0.50 por millón de eventos, y el costo varía según la escala de uso de las aplicaciones SaaS. La salida a Security Lake está incluida en el precio de AppFabric, pero los costos de almacenamiento de Security Lake y las consultas de Athena se facturan por separado. Una limitación importante a tener en cuenta es que AppFabric se especializa en registros de auditoría (quién hizo qué) y no recupera datos de contenido dentro de las aplicaciones SaaS (cuerpos de correo, contenido de archivos). Además, dado que el soporte de SaaS se expande incrementalmente, es necesario verificar previamente si las aplicaciones SaaS utilizadas por su organización están en la lista de soporte. Los intervalos de recuperación varían según el SaaS, desde casi tiempo real hasta varias horas de retraso, por lo que para detección crítica en tiempo, considere combinar con GuardDuty u otros servicios. Para la gestión de costos, se recomienda introducir aplicaciones SaaS incrementalmente, comenzando por las de mayor riesgo de seguridad (autenticación, uso compartido de archivos).
Resumen
AppFabric es un servicio que estandariza y centraliza los registros de auditoría de múltiples aplicaciones SaaS en formato OCSF. Unifica los formatos de registro propios de cada SaaS y, con la integración con Security Lake, permite analizar transversalmente los registros de seguridad de la nube y SaaS. Ofrece valor práctico en tres casos de uso - investigación de incidentes de seguridad, auditoría de cumplimiento y optimización de licencias - con adición de SaaS basada en configuración sin necesidad de desarrollo de conectores.