VPC Flow Logs: como usar logs de rede para investigação e visibilidade
Sem logs de rede, movimento lateral e exfiltração passam invisíveis. Veja como capturar e usar VPC Flow Logs.
Logs de identidade respondem quem fez o quê, mas não mostram como o tráfego se moveu pela rede. Os VPC Flow Logs preenchem essa lacuna, registrando metadados das conexões dentro da VPC: origem, destino, portas, protocolo e se o tráfego foi aceito ou rejeitado. Em uma investigação, eles são essenciais para detectar movimento lateral, varreduras internas e exfiltração de dados.
Este guia mostra como capturar e usar VPC Flow Logs de forma defensiva, entendendo o que eles registram, suas limitações e como correlacioná-los com outras fontes. O objetivo é ganhar visibilidade de rede sem se afogar em volume.
O que os Flow Logs registram
Os Flow Logs capturam metadados de fluxo por interface de rede, sub-rede ou VPC inteira. Cada registro indica IPs de origem e destino, portas, protocolo, bytes e a ação, aceito ou rejeitado. Tráfego rejeitado é especialmente interessante: uma rajada de conexões rejeitadas pode indicar varredura, enquanto conexões aceitas inesperadas entre cargas que não deveriam se comunicar sugerem movimento lateral.
É importante saber o que eles não capturam: Flow Logs registram metadados, não o conteúdo dos pacotes. Eles dizem que houve uma conexão, mas não o que trafegou dentro dela. Para conteúdo, são necessárias outras abordagens, como inspeção em camada de aplicação.
Investigação e correlação
Os Flow Logs ganham força quando correlacionados. Combine-os com o CloudTrail para ligar uma atividade de rede a uma identidade que provisionou um recurso, e com os logs de aplicação para entender o contexto de negócio. Em um incidente, eles ajudam a mapear quais hosts um recurso comprometido tentou alcançar e se houve tráfego de saída anômalo, indício de exfiltração.
- Investigar conexões rejeitadas para detectar varredura
- Procurar comunicação inesperada entre cargas (movimento lateral)
- Analisar tráfego de saída anômalo (exfiltração)
- Correlacionar com CloudTrail e logs de aplicação
- Mapear o que um host comprometido tentou alcançar
Armazenamento, custo e foco
Flow Logs geram volume alto. Direcione-os para armazenamento econômico e use consultas para análise sob demanda, em vez de tentar olhar tudo o tempo todo. Defina o escopo com critério: capturar a VPC inteira dá cobertura ampla, mas habilitar em sub-redes e interfaces sensíveis pode equilibrar visibilidade e custo. Ative pelo menos onde há cargas críticas e exposição.
Checklist prático
- Habilitar Flow Logs ao menos em VPCs e sub-redes críticas
- Capturar tráfego aceito e rejeitado
- Direcionar para armazenamento econômico
- Definir retenção compatível com investigação
- Investigar conexões rejeitadas como sinal de varredura
- Procurar comunicação inesperada entre cargas
- Analisar tráfego de saída anômalo
- Correlacionar com CloudTrail e logs de aplicação
- Padronizar consultas de investigação de rede
- Equilibrar escopo de captura com custo
Boas práticas
- Use Flow Logs para visibilidade de rede que a identidade não dá
- Foque em rejeitados e em comunicação inesperada
- Correlacione com outras fontes para contexto completo
- Direcione o volume para armazenamento de baixo custo
- Defina escopo por criticidade para equilibrar custo
- Lembre que eles registram metadados, não conteúdo
Erros comuns
Não habilitar Flow Logs em nenhuma rede
Movimento lateral e exfiltração ficam invisíveis na investigação.
Capturar tudo sem estratégia de custo
Volume e custo altos sem ganho proporcional de visibilidade.
Esperar conteúdo de pacote nos Flow Logs
Expectativa errada: eles registram metadados, não o conteúdo.
Ignorar tráfego rejeitado
Sinais de varredura e enumeração interna passam despercebidos.
Flow Logs sem correlação com outras fontes
Visão de rede isolada, sem ligar atividade a identidade e contexto.
Quando procurar apoio especializado
Definir o que capturar na rede e como correlacionar com identidade e aplicação é parte do serviço de Monitoramento e Resposta da GUARDIASEC, que estrutura visibilidade e investigação adaptadas ao seu ambiente.
Perguntas frequentes
VPC Flow Logs capturam o conteúdo das conexões?
Não. Eles registram metadados de fluxo: IPs de origem e destino, portas, protocolo, bytes e se o tráfego foi aceito ou rejeitado. Eles dizem que houve uma conexão e entre quem, mas não o que trafegou. Para inspecionar conteúdo, são necessárias outras abordagens, em camadas diferentes.
Por que o tráfego rejeitado é tão útil?
Porque conexões rejeitadas costumam revelar comportamento suspeito. Uma rajada de tentativas rejeitadas pode indicar varredura de portas, e padrões de rejeição entre cargas internas ajudam a mapear tentativas de movimento lateral. Analisar o que foi bloqueado, e não só o que passou, enriquece bastante a investigação de rede.
Devo habilitar Flow Logs na VPC inteira?
Capturar a VPC inteira dá cobertura ampla, mas gera volume e custo altos. Uma estratégia equilibrada é habilitar pelo menos onde há cargas críticas e exposição, e expandir conforme a necessidade. O importante é ter visibilidade nas redes que mais importam, direcionando os logs para armazenamento econômico.
Como os Flow Logs ajudam em um incidente?
Eles permitem mapear quais hosts um recurso comprometido tentou alcançar, identificar tráfego de saída anômalo que sugere exfiltração e detectar comunicação inesperada entre cargas. Correlacionados com o CloudTrail e os logs de aplicação, ajudam a reconstruir como o ataque se moveu pela rede, não apenas quem agiu.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.