Uma resposta atrasada a violações prejudica a capacidade de uma organização de limitar o impacto de uma violação.

As definições de configuração que prejudicam os recursos de monitoramento incluem, mas não estão limitadas a:
- desabilitar deliberadamente o monitoramento
- não habilitar o monitoramento opcional
- não especificar eventos relevantes para exportar para serviços de monitoramento
- isentar do monitoramento ações de usuários, grupos, processos e regiões geográficas específicos

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

Uma resposta atrasada a violações prejudica a capacidade de uma organização de limitar o impacto de uma violação.

As definições de configuração que prejudicam os recursos de monitoramento incluem, mas não estão limitadas a:
- desabilitar deliberadamente o monitoramento
- não habilitar o monitoramento opcional
- não especificar eventos relevantes para exportar para serviços de monitoramento
- isentar do monitoramento ações de usuários, grupos, processos e regiões geográficas específicos

A falta de registros de auditoria limita a capacidade de detectar e responder a incidentes relacionados à segurança e impede a investigação forense.

As definições de configuração que prejudicam os recursos de registro incluem, mas não estão limitadas a:
- desativar deliberadamente o log de auditoria
- isentar o log de ações de usuários, grupos ou processos específicos
- proteger inadequadamente a integridade do log
- não habilitar o log de auditoria opcional
- reduzir a taxa de amostragem de log

Por padrão, os Grupos do CloudWatch Log retêm logs indefinidamente. Um valor não definido indica que as políticas de tratamento de dados organizacionais não foram consultadas para definir as configurações apropriadas. Isso pode significar que a organização incorrerá em despesas desnecessárias no armazenamento e gerenciamento de eventos de registro que não são mais relevantes.

Um invasor pode lançar um ataque de negação de carteira (DoW), solicitando persistentemente o registro de eventos espúrios por um longo período de tempo, o que pode impactar a organização financeiramente.

Exemplo 1: O exemplo a seguir mostra um modelo que não consegue definir uma política de retenção.

{
    "AWSTemplateFormatVersion": "2010-09-09",
    "Resources": {
        "MyLogGroup": {
            "Type": "AWS::Logs::LogGroup",
            "Properties": {
                "LogGroupName": "Service01LogGroup"
            }
        }
    }
}