AWS AppFabric
将 SaaS 应用程序的安全日志标准化为 OCSF 格式,实现统一审计和安全分析的服务
概述
AWS AppFabric 是一项服务,可收集企业使用的多个 SaaS 应用程序 (Google Workspace、Microsoft 365、Salesforce、Slack、Zoom 等) 的安全相关日志,将其标准化为 OCSF (Open Cybersecurity Schema Framework) 格式并进行统一管理。由于各 SaaS 的审计日志以各自独有的格式提供,跨平台分析一直很困难,而 AppFabric 通过转换为通用模式,可以统一分析不同 SaaS 间的用户行为。标准化后的日志可输出到 S3 或 Security Lake,便于使用 Athena 或 OpenSearch 进行分析,也易于与 SIEM 工具集成。可用于检测影子 IT 和早期发现内部威胁。
应用包与认证连接的配置
AppFabric 的配置从创建应用包 (App Bundle) 开始。应用包是 AppFabric 的管理单元,一个包可以连接多个 SaaS 应用程序。与各 SaaS 的连接有使用 OAuth 2.0 认证和使用 API 密钥两种方式。例如,Google Workspace 通过 OAuth 2.0 连接,需要使用具有管理员权限的账户完成认证流程。Microsoft 365 通过 Azure AD 的应用注册进行连接,需要授予所需的 API 权限 (如 AuditLog.Read.All)。连接建立后,AppFabric 会定期轮询各 SaaS 的审计日志 API 获取新事件。获取间隔因服务而异,但大多数情况下约 5 - 15 分钟的延迟即可反映最新日志。连接的认证信息以加密方式存储,令牌的自动刷新也由 AppFabric 管理,运维人员无需手动刷新令牌。
OCSF 标准化与日志输出目标设计
AppFabric 的核心功能是将各 SaaS 特有的日志格式标准化为 OCSF (Open Cybersecurity Schema Framework)。OCSF 是安全事件的通用模式,以统一方式表达事件类别 (认证、访问控制、文件操作等)、行为者 (谁)、目标 (对什么) 和结果 (成功/失败)。例如,Google Workspace 的登录成功事件和 Microsoft 365 的登录成功事件都会被标准化为 OCSF 的 Authentication 类别、activity_id: Logon。输出目标可选择 S3 存储桶和 Amazon Security Lake,选择 S3 输出时可指定 Parquet 格式或 JSON 格式。Parquet 格式在 Athena 查询性能方面表现优异,适合大量日志的分析。输出到 Security Lake 后,可以与 CloudTrail 或 VPC Flow Logs 等其他 AWS 安全日志进行跨源分析。输出目标的分区设计基于日期自动完成,提高了特定时间段日志检索的效率。
安全分析用例与运维设计
使用 AppFabric 收集和标准化的日志的主要用例是检测可疑用户行为。例如,可以跨 SaaS 检测以下模式:同一用户在短时间内从多个国家登录 (不可能的旅行)、大量下载通常不访问的文件 (数据外泄征兆)、深夜进行管理员权限变更 (权限提升攻击)。在实务中,定期在 Athena 中执行查询,检测匹配异常模式的事件并通过 SNS 通知的自动化流水线非常有效。此外,还可用于监控即将离职员工的账户活动,检测离职前的大量数据下载等内部威胁对策。在成本方面,AppFabric 本身的费用基于事件摄取数量按量计费,S3 存储成本和 Athena 查询成本另行产生。建议设置日志保留期限,并通过将旧日志迁移到 S3 Glacier 的生命周期规则来优化存储成本。支持的 SaaS 在持续增加中,导入前务必在官方文档中确认目标 SaaS 是否受支持。