Wie verwende ich CloudTrail, um zu sehen, ob eine Sicherheitsgruppe oder Ressource in meinem AWS-Konto geändert wurde?

Kurzbeschreibung

Um den Verlauf der Sicherheitsgruppen-Ereignisse in Ihrem AWS-Konto einzusehen und zu überwachen, können Sie einen der folgenden AWS-Services und -Funktionen verwenden:

• AWS CloudTrail-Ereignisverlauf
• Amazon Athena-Abfragen
• AWS Config-Konfigurationsverlauf

Hinweis: Im Folgenden finden Sie einige Beispiele für API-Aufrufe im Zusammenhang mit Sicherheitsgruppen:

• CreateSecurityGroup
• DeleteSecurityGroup
• AuthorizeSecurityGroupEgress
• AuthorizeSecurityGroupIngress
• RevokeSecurityGroupEgress
• RevokeSecurityGroupIngress

Lösung

Den CloudTrail-Ereignisverlauf verwenden, um Änderungen an Sicherheitsgruppen in Ihrem AWS-Konto zu überprüfen

Hinweis: Sie können CloudTrail verwenden, um den Ereignisverlauf der letzten 90 Tage zu durchsuchen.

1.Öffnen Sie die CloudTrail-Konsole.

2.Wählen Sie Ereignisverlauf aus.

3.Wählen Sie unter Filter die Dropdownliste aus. Wählen Sie dann Ressourcenname aus.

4.Geben Sie im Textfeld Ressourcennamen eingeben den Namen Ihrer Ressource ein (z. B. sg-123456789).

5.Geben Sie für Zeitraum den gewünschten Zeitraum ein. Wählen Sie dann Übernehmen aus.

6.Erweitern Sie das Ereignis unter Ereigniszeit. Wählen Sie dann Ereignis anzeigen aus.

Weitere Informationen finden Sie unter CloudTrail-Ereignisse in der CloudTrail-Konsole anzeigen.

Beispiel für ein Ereignis im CloudTrail-Ereignisverlauf

Hinweis: In diesem Beispiel lässt eine Regel für eingehenden Datenverkehr den TCP-Port 998 ab 192.168.0.0/32 zu.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Verwenden von Athena-Abfragen, um Änderungen an Sicherheitsgruppen in Ihrem AWS-Konto zu überprüfen

Hinweis: Um Athena zum Abfragen von CloudTrail-Protokollen verwenden zu können, müssen Sie einen Trail für die Protokollierung in einem Amazon Simple Storage Service (Amazon S3)-Bucket konfiguriert haben. Sie können Athena verwenden, um CloudTrail-Protokolle der letzten 90 Tage abzufragen.

1.Öffnen Sie die Athena-Konsole.

2.Wählen Sie Abfrage-Editor aus. Der Athena-Abfrage-Editor wird geöffnet.

3.Geben Sie im Athena-Abfrage-Editor eine Abfrage für Ihren entsprechenden Anwendungsfall ein. Wählen Sie dann Abfrage ausführen aus.

Weitere Informationen finden Sie unter Grundlegendes zu CloudTrail-Protokollen und Athena-Tabellen.

Beispielabfrage zur Rückgabe aller CloudTrail-Ereignisse für die Erstellung und Löschung von Sicherheitsgruppen

Wichtig: Ersetzen Sie example table name durch Ihren Tabellennamen.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Beispielabfrage zur Rückgabe aller CloudTrail-Ereignisse für Änderungen, die an einer bestimmten Sicherheitsgruppe vorgenommen wurden

Wichtig: Ersetzen Sie example table name durch Ihren Tabellennamen.

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Verwenden des AWS Config-Konfigurationsverlaufs, um Änderungen an Sicherheitsgruppen in Ihrem AWS-Konto zu überprüfen

Hinweis: Sie können AWS Config verwenden, um den Konfigurationsverlauf für Sicherheitsgruppenereignisse anzuzeigen, die über das standardmäßige 90-Tage-Limit hinausgehen. Sie müssen den AWS Config-Konfigurations-Recorder aktiviert haben. Weitere Informationen finden Sie unter Verwaltung des Konfigurations-Recorders.

1.Öffnen Sie die CloudTrail-Konsole.

2.Wählen Sie Ereignisverlauf aus.

3.Wählen Sie unter Filter die Dropdownliste aus. Wählen Sie dann den Ereignisnamen aus.

4.Geben Sie in das Textfeld Ereignisnamen eingeben den Ereignistyp ein, nach dem Sie suchen (z. B. CreateSecurityGroup). Wählen Sie dann Übernehmen aus.

5.Erweitern Sie das Ereignis unter Ereigniszeit.

6.Wählen Sie im Bereich Referenzierte Ressourcen das Uhrsymbol in der Spalte Config-Timeline aus, um die Konfigurationszeitleiste anzuzeigen.

Weitere Informationen finden Sie unter Ressourcen anzeigen, auf die mit AWS Config verwiesen wird.