AWS 事件响应工具链 - 从 CloudTrail 到 Security Hub 的集成调查平台
解析 CloudTrail、Config、Detective、Security Hub 组合而成的 AWS 事件响应工具链,并与 Azure Sentinel 的调查方法进行比较。
事件响应对工具链的要求
当安全事件发生时,响应团队需要迅速确定「发生了什么」「何时发生的」「谁参与了」「影响范围有多大」。要回答这四个问题,需要 API 调用记录、资源配置变更历史、网络流量分析以及实体间关系的可视化。AWS 通过职责分工来应对这些需求:CloudTrail 记录 API 调用,Config 追踪资源配置变更,VPC Flow Logs 记录网络流量,Detective 整合这些数据并可视化实体间的关系。各服务专注于各自的专业领域,同时通过 Security Hub 实现统一,这种架构使得仅使用原生服务就能覆盖事件响应的各个阶段(检测、分类、调查、遏制、恢复)。
CloudTrail - 记录所有 API 调用
CloudTrail 是记录 AWS 账户内所有 API 调用的服务,也是事件响应最基本的数据源。管理事件(控制平面操作)默认保留 90 天,无需额外配置即可回溯调查过去的操作。数据事件(S3 对象访问、Lambda 调用等)需要显式启用,但一旦启用就能完整记录数据平面的操作。CloudTrail Lake 是 2022 年推出的功能,可以直接用 SQL 查询 CloudTrail 事件。以前需要将保存在 S3 中的日志通过 Athena 进行分析,而 CloudTrail Lake 使得「查询过去 30 天内特定 IAM 角色执行的所有 API 调用」这样的调查查询可以立即执行。CloudTrail Insights 是自动检测异常 API 调用模式的功能,当出现与平时不同频率或类型的 API 调用时会生成告警。这使得能够及早发现攻击者的侦察活动或权限提升尝试。
Config 实现资源配置变更追踪
AWS Config 是持续记录账户内资源配置变更并提供配置时间线的服务。在事件响应中,Config 的作用是准确掌握「事件发生前后资源配置发生了怎样的变化」。例如,当怀疑 S3 存储桶发生数据泄露时,查看 Config 的时间线就能确定存储桶策略何时被修改、公共访问阻止何时被禁用。使用 Config Rules 可以实时检测违反安全基准的配置变更。如果设置了「安全组不得允许来自 0.0.0.0/0 的 SSH」这样的规则,违规发生的瞬间就会被检测到。Config 的高级功能包括聚合器。它可以将 Organizations 内所有账户的 Config 数据集中到一个账户,跨组织搜索和分析资源配置。即使事件跨越多个账户,也可以通过聚合器进行统一调查。
Detective 与 Security Hub 的集成调查
Amazon Detective 自动摄取 CloudTrail 日志、VPC Flow Logs、GuardDuty 检测结果和 EKS 审计日志,并存储在图数据库中。它将实体(IAM 用户、角色、IP 地址、EC2 实例等)之间的关系以图形方式可视化,使人能够直观地把握事件全貌。当 GuardDuty 生成「检测到可疑 API 调用」的告警时,可以在 Detective 中以该告警为起点开始调查。按时间线追踪相关 IAM 角色的历史行为模式、访问源 IP 地址的地理分布、同一角色操作过的其他资源,从而确定入侵范围。Security Hub 作为集中汇总这些检测结果和调查结果的仪表板发挥作用。通过 ASFF(AWS Security Finding Format),来自 GuardDuty、Inspector、Macie、Config 和第三方工具的检测结果以统一格式显示。如果通过 EventBridge 将自动修复操作连接到 Lambda,就可以自动化针对特定检测结果的遏制处理。
与 Azure Sentinel 的调查方法比较
Azure Sentinel(现 Microsoft Sentinel)是云原生 SIEM/SOAR,其事件响应方法与 AWS 有根本性的不同。Sentinel 将所有日志集中到 Log Analytics 工作区,使用 KQL(Kusto Query Language)进行跨域分析,采用集中式方法。这与 AWS 的分布式方法(各服务负责专业领域并通过 ASFF 协作)形成对比。Sentinel 的优势在于不仅能摄取 Azure 的日志,还能摄取 AWS、GCP 和本地环境的日志,以及与 Microsoft 365 Defender 的深度集成。能够统一调查邮件威胁、终端异常和基于身份的攻击,对于使用 Microsoft 生态系统的组织来说具有很大价值。另一方面,Sentinel 按日志摄取量计费,在大规模环境中成本管理成为挑战。AWS 的 GuardDuty 和 Detective 将日志摄取成本内含在服务中,无需关注分析对象的数据量。如果想系统地学习事件响应实务,相关书籍 (Amazon) 也可作为参考。
总结
AWS 的事件响应工具链由 CloudTrail 的完整 API 调用记录、Config 的资源配置变更追踪、Detective 的实体间关系可视化、Security Hub 的检测结果集中汇总组成。各服务专注于专业领域并通过 ASFF 协作的分布式架构,使得无需引入第三方 SIEM 就能覆盖从事件检测到调查、遏制的全过程。Azure Sentinel 在多源支持和 Microsoft 生态系统集成方面具有优势,但需要管理日志摄取成本。AWS 方法的最大优点是只需启用各服务就能建立调查基础设施的便捷性,以及日志分析成本内含的可预测定价体系。要提高事件响应成熟度,第一步是在所有账户中启用 CloudTrail 和 Config,并通过 Security Hub 构建可视化基础设施。