セキュリティ

AWS AppFabric

Servicio que normaliza los registros de seguridad de aplicaciones SaaS al formato OCSF, permitiendo auditoría centralizada y análisis de seguridad

Unos 5 min de lectura

Descripción general

AWS AppFabric es un servicio que recopila los registros relacionados con la seguridad de múltiples aplicaciones SaaS utilizadas por las empresas (Google Workspace, Microsoft 365, Salesforce, Slack, Zoom, etc.), los normaliza al formato OCSF (Open Cybersecurity Schema Framework) y los gestiona de forma centralizada. Dado que los registros de auditoría de cada SaaS se proporcionan en formatos propietarios, el análisis transversal era difícil, pero AppFabric los convierte a un esquema común permitiendo analizar de forma unificada el comportamiento de usuarios entre diferentes SaaS. Los registros normalizados pueden enviarse a S3 o Security Lake, facilitando el análisis con Athena u OpenSearch y la integración con herramientas SIEM. Es útil para la detección de shadow IT en SaaS y la identificación temprana de amenazas internas.

Configuración de app bundles y conexiones de autenticación

La configuración de AppFabric comienza con la creación de un App Bundle. El app bundle es la unidad de gestión de AppFabric, donde se conectan múltiples aplicaciones SaaS a un solo bundle. La conexión con cada SaaS utiliza autenticación OAuth 2.0 en algunos casos y claves API en otros. Por ejemplo, Google Workspace se conecta mediante OAuth 2.0, completando el flujo de autorización con una cuenta con permisos de administrador. Microsoft 365 se conecta a través del registro de aplicaciones en Azure AD, otorgando los permisos API necesarios (como AuditLog.Read.All). Una vez establecida la conexión, AppFabric realiza polling periódico a las APIs de registros de auditoría de cada SaaS para obtener nuevos eventos. El intervalo de obtención varía según el servicio, pero en la mayoría de los casos los registros más recientes se reflejan con un retraso de aproximadamente 5-15 minutos. Las credenciales de conexión se almacenan cifradas y la actualización automática de tokens también es gestionada por AppFabric, por lo que los operadores no necesitan refrescar tokens manualmente.

Normalización OCSF y diseño de destinos de registros

La función central de AppFabric es el procesamiento de normalización de los formatos de registro propietarios de cada SaaS al OCSF (Open Cybersecurity Schema Framework). OCSF es un esquema común para eventos de seguridad que representa de forma unificada la categoría del evento (autenticación, control de acceso, operaciones de archivos, etc.), el actor (quién), el objetivo (sobre qué) y el resultado (éxito/fracaso). Por ejemplo, un evento de inicio de sesión exitoso en Google Workspace y un evento de sign-in exitoso en Microsoft 365 se normalizan ambos como categoría Authentication de OCSF con activity_id: Logon. Como destinos de salida se pueden seleccionar buckets S3 y Amazon Security Lake, y en el caso de salida a S3 se puede especificar formato Parquet o JSON. El formato Parquet ofrece excelente rendimiento de consultas en Athena y es adecuado para el análisis de grandes volúmenes de registros. Al enviar a Security Lake, se puede realizar análisis transversal integrado con otros registros de seguridad de AWS como CloudTrail o VPC Flow Logs. El diseño de particiones del destino se realiza automáticamente basándose en fechas, optimizando la búsqueda de registros de períodos específicos.

Casos de uso de análisis de seguridad y diseño operativo

El principal caso de uso de los registros recopilados y normalizados con AppFabric es la detección de comportamiento sospechoso de usuarios. Por ejemplo, se puede detectar de forma transversal entre SaaS patrones como un mismo usuario iniciando sesión desde múltiples países en poco tiempo (viaje imposible), descarga masiva de archivos a los que normalmente no accede (indicios de exfiltración de datos), o cambios de permisos de administrador durante la madrugada (ataque de escalada de privilegios). Un pipeline automatizado que ejecuta consultas periódicas en Athena y notifica mediante SNS cuando se detectan eventos que coinciden con patrones anómalos es efectivo en la práctica. También se puede utilizar para contramedidas contra amenazas internas, monitoreando la actividad de cuentas de empleados próximos a su salida y detectando descargas masivas de datos previas a la renuncia. En cuanto a costos, la tarificación de AppFabric se basa en el número de eventos ingeridos con pago por uso, con costos adicionales de almacenamiento en S3 y consultas en Athena. Se recomienda un diseño que optimice los costos de almacenamiento configurando períodos de retención de registros y reglas de ciclo de vida que muevan registros antiguos a S3 Glacier. Los SaaS compatibles se añaden continuamente, por lo que es importante verificar en la documentación oficial si el SaaS objetivo está soportado antes de la implementación.

共有するXB!

Términos relacionados

Amazon Security LakeAmazon GuardDutyAmazon DetectiveAWS CloudTrail

Servicios relacionados

Amazon Security LakeAmazon AthenaAmazon S3Amazon OpenSearch Service

Artículos relacionados

Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Construcción de aplicaciones RAG con Amazon Bedrock Knowledge Bases - Implementación de generación aumentada por recuperaciónIndexe automáticamente documentos en S3 y unifique búsqueda y generación con la API RetrieveAndGenerate. Cubre la selección de estrategia de chunking y la seguridad con Guardrails.Aprovechamiento de datos de terceros con AWS Data Exchange - Adquisición de datos y gestión de suscripcionesAdquiera productos de datos de terceros a través de Marketplace y construya pipelines de entrega automática a S3. También se presentan técnicas de productización y monetización de datos propios.Construcción de data lake con Amazon S3 y Lake Formation - Patrones de diseño y gobernanzaPatrones de diseño de data lake con S3 como base de almacenamiento y control de acceso granular con Lake Formation. También se explican pipelines ETL y optimización de costos.Búsqueda y análisis de datos - Construcción de plataforma de búsqueda de texto completo y visualización con OpenSearchTécnicas de diseño de búsqueda y análisis de datos con Amazon OpenSearch Service. Construcción de plataforma de análisis con búsqueda de texto completo, análisis de logs y visualización con dashboards.

Términos y artículos similares

Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.AWS AppFabricUn servicio que estandariza y agrega registros de auditoría de aplicaciones SaaSAmazon Security LakeServicio de data lake que centraliza datos de seguridad en formato OCSFConstrucción de un data lake de seguridad con Amazon Security Lake - Análisis integrado en formato OCSFExplicamos la agregación automática de CloudTrail, VPC Flow Logs y logs de Route 53 con Security Lake, la normalización OCSF y la integración con suscriptores.