CloudTrail事件通知
【以下的问题经过翻译处理】 我们已经配置了Control Tower Landing Zone,并在我们的组织中注册了数十个帐户。
我们想要监控所有帐户中的一些操作(ConsoleLogin、SwitchRole、CreateUser、CreatePolicy、CreateRole、PutGroupPolicy等),并在操作发生时通过Slack或Pagerduty进行通知。
是否有任何开箱即用的解决方案或推荐方法?
我正在考虑两种方法:
- 监听Cloudtrail S3日志存储桶 创建一个帐户,该帐户将仅具有对日志存档帐户中的cloudtrail日志S3存储桶的只读访问权限。Lambda函数将在桶中有新记录时触发。它将从S3下载文件并解析事件。 巨大的不利之处是,它将不得不解析所有可能很昂贵和低效的cloudtrail条目。
- 使用EventBridge总线聚合事件 创建专用帐户“审核通知”,该帐户将是从所有其他帐户汇总匹配事件的EventBridge事件总线。将配置事件规则,其中Lambda目标将匹配的事件从所有帐户转发到“Audit Notifications”帐户中的Slack / Pagerduty / ...。 将匹配的事件转发到“Audit Notifications”中的事件总线目标的事件规则将在每个受管区域的每个成员帐户中部署。 与https://aws.amazon.com/premiumsupport/knowledge-center/root-user-account-eventbridge-rule/中描述的类似。
我更喜欢第二种方法,但也许还有其他选项。
- Neueste
- Die meisten Stimmen
- Die meisten Kommentare
【以下的回答经过翻译处理】 可能有几种方法可以实现这一目标,但这里有一种常见的模式。使用 Control Tower,它会设置集中式日志桶,但也会在每个账户中为本地 Cloudtrail 日志配置 Cloudwatch 日志组。您可以针对特定操作在该日志组上创建度量过滤器。例如,IAM 策略更改或登录失败。文档在这里:https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CreateMetricFilterProcedure.html 和 https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html。
日志过滤器可将警报发送到Control Tower创建的 SNS 主题 aws-controltower-SecurityNotifications。该主题通过 Lambda 函数将警报转发到审计帐户中的主题。该主题可以订阅电子邮件、PagerDuty 等。请注意,中央 SNS 主题可能会有点嘈杂,因此可能需要创建新的主题。您也可以在每个账户中以不同方式订阅 SNS 话题。这样就可以灵活处理谁/什么会收到特定账户的警报。
在部署方面,如果您正在使用cloudformation,并为Metric Filters创建模板,则Control Tower解决方案的自定义https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/或Organizations StackSetshttps://aws.amazon.com/blogs/aws/new-use-aws-cloudformation-stacksets-for-multiple-accounts-in-an-aws-organization/可以帮助您快速轻松地将相同的模板部署到许多账户中。从中心位置管理部署和更新。
Relevanter Inhalt
AWS OFFICIALAktualisiert vor 2 Jahren- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- Wie erstelle ich automatisch Tabellen in Amazon Athena, um AWS-CloudTrail-Protokolle zu durchsuchen?AWS OFFICIALAktualisiert vor 3 Jahren