Security
分析 AWS Cloud Trail 日誌以獲取安全見解
我已啟用雲跟踪日誌,並將日誌發送到我的 graylog 系統。現在如何對以下案例進行分析:
- 如果同一使用者嘗試從不同的源 IP 登錄和使用怎麼辦
- 需要分析特定使用者是否在某個地區(例如美國)登錄,然後他突然嘗試從歐洲登錄。
- 基本上試圖開發一些與安全相關的案例。
如果 graylog 不支持上述內容,我可以開發自己的應用程序。最好的方法是什麼?將所有日誌發送到 Kafka,然後從那裡使用應用程序來跟踪它?
一般來說, CloudTrail 日誌非常適合審計和調查過去的事件,但是它們非常詳細,並且要了解實際發生的情況,您通常需要將多個CloudTrail 事件連結在一起以了解完整情況。
要專門回答您的案例,即防止使用者從未知目的地登錄,您最好適當地配置您的 IAM 使用者策略並檢查
IpAddress
條件:PolicyName: RestrictedAccess PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - "*" Resource: - "*" Condition: IpAddress: aws:SourceIp: - 192.0.2.0/24 - 12.34.56.78/32 - ...
對於其他與安全相關的用途,比如說當有人創建對世界開放的安全組時收到通知,您確實可以嘗試從 CloudTrail 中找出答案,但這可能是一項艱鉅的任務。AWS Config及其廣泛的安全相關規則集可能會為您提供更好的服務,這些規則實際上與Cloud Trail集成,並可能提供您需要的警報和見解。AWS Trusted Advisor還可以提供一些安全建議。或者正如 Tim 指出的那樣,查看AWS Guard Duty。
或者嘗試其中一種雲安全第三方服務:Cloud Conformity、CloudCheckr、Cloud Health等。它們都可以執行您所追求的警報和安全檢查。
推出自己的安全解決方案很少是一個好主意。初始開發、保持最新狀態、處理誤報/誤報……更好地使用 AWS 或專業公司市場上已有的工具。
希望有幫助:)