使用 AWS AppFabric 集中 SaaS 审计日志 - OCSF 标准化与 Security Lake 集成
详解 AppFabric 收集 SaaS 应用审计日志、转换为 OCSF 格式标准化,以及构建分析管道的方法。
AppFabric 概述
AppFabric 是一项将 SaaS 应用审计日志标准化并集中的服务。企业使用的多个 SaaS (Okta、Google Workspace、Slack、Salesforce、Microsoft 365 等) 各有独自的日志格式和 API,进行跨平台安全分析需要开发各自的连接器。AppFabric 将这些审计日志自动转换为 OCSF (Open Cybersecurity Schema Framework) 格式,并分发到 S3 或 Security Lake。无需开发和维护连接器,新增 SaaS 只需配置即可完成。截至 2024 年,已支持 Okta、Microsoft 365、Google Workspace、Slack、Zoom、Dropbox、Asana、Webex by Cisco 等主要 SaaS 平台,支持列表持续扩展中。
日志标准化与分析
各 SaaS 使用独自的日志格式,跨平台分析十分困难。AppFabric 通过标准化为 OCSF 格式,可以统一分析「哪个用户在哪个 SaaS 上执行了什么操作」。OCSF 是 Linux Foundation 旗下的开放模式,为 Authentication、Authorization、File Activity、API Activity 等事件类别定义了通用字段。这种标准化使得可以用同一个查询跨搜索 Okta 的登录失败和 Microsoft 365 的未授权访问尝试。分发到 Security Lake 后,可将 CloudTrail、VPC Flow Logs、GuardDuty 检测结果与 SaaS 日志整合,掌握组织整体的安全态势。在用户访问可视化方面,可检测 30 天以上未登录的 SaaS 账户,用于许可证优化。
与 Security Lake 的集成
将 AppFabric 的输出目标指定为 Security Lake 后,SaaS 审计日志以 OCSF 格式导入 Security Lake,可与 AWS 服务日志 (CloudTrail、VPC Flow Logs) 进行统一分析。通过 Athena 执行「特定用户过去 24 小时访问的所有 SaaS 应用」等跨服务查询,提高内部违规和账户入侵调查的效率。也支持直接输出到 S3,用于将日志转发到现有 SIEM (Splunk、Datadog)。在 AppFabric 的摄取设置中注册各 SaaS 的认证信息并配置日志获取间隔。 如需进一步深入了解 AppFabric,也可参考Amazon 上的专业书籍。
使用场景与部署模式
AppFabric 的主要使用场景分为三大类。第一是安全事件调查:通过跨多个 SaaS 日志检测异常行为,如即将离职的员工大量下载文件、从异常国家登录等。第二是合规审计:SOC 2 和 ISO 27001 认证要求提供「谁在什么时候访问了哪个 SaaS」的证据链,通过 Athena 直接查询 AppFabric 汇聚的日志可降低审计应对工时。第三是 SaaS 许可证优化:可视化活跃用户数,为取消未使用许可证的决策提供依据。部署模式方面,建议首先连接身份认证平台 (Okta/Azure AD) 和文件共享 (Google Drive/SharePoint),从可视化风险最高的操作 (权限变更、外部共享) 入手。
定价与限制注意事项
AppFabric 按摄取的事件数计费。每百万事件约 0.50 美元,成本随 SaaS 应用的使用规模而变化。输出到 Security Lake 包含在 AppFabric 费用中,但 Security Lake 侧的存储和 Athena 查询费用另行计算。需要注意的限制是,AppFabric 专注于审计日志 (谁做了什么),不获取 SaaS 应用内的内容数据 (邮件正文、文件内容)。此外,由于支持的 SaaS 正在陆续扩展中,需要事先确认自己使用的 SaaS 是否在支持列表中。获取间隔因 SaaS 而异,从准实时到数小时延迟不等,因此对实时性要求高的检测场景需考虑与 GuardDuty 等服务并用。成本管理方面,建议从安全风险较高的应用 (认证类、文件共享类) 开始分阶段引入。
总结
AppFabric 是一项将多个 SaaS 应用的审计日志以 OCSF 格式标准化并集中的服务。统一各 SaaS 的独有日志格式,通过与 Security Lake 集成实现云和 SaaS 安全日志的跨平台分析。在安全事件调查、合规审计、许可证优化三大使用场景中发挥实际价值,基于配置即可完成 SaaS 追加,无需开发连接器。