¿Cómo utilizo CloudTrail para ver si se ha cambiado un grupo de seguridad o un recurso en mi cuenta de AWS?

5 minutos de lectura
0

Con fines de auditoría, quiero buscar los cambios realizados en un grupo de seguridad en mi Amazon Virtual Private Cloud (Amazon VPC). ¿Cuál es la mejor manera de revisar los cambios en el grupo de seguridad en mi cuenta de AWS?

Breve descripción

Para ver y supervisar el historial de eventos del grupo de seguridad en su cuenta de AWS, puede utilizar cualquiera de los siguientes servicios y funciones de AWS:

Nota: A continuación se muestran algunos ejemplos de llamadas a la API relacionadas con el grupo de seguridad:

Resolución

Para usar el historial de eventos de CloudTrail para revisar los cambios en el grupo de seguridad en su cuenta de AWS

**Nota:**Puede usar CloudTrail para buscar en el historial de eventos de los últimos 90 días.

1.    Abra la consola de CloudTrail.

2.SeleccioneHistorial de eventos.

3.    En Filtrar, seleccione la lista desplegable. A continuación, elija Nombre del recurso.

4.    En el cuadro de texto Introducir el nombre del recurso, introduzca el nombre del recurso (por ejemplo, sg-123456789).

5.Para Intervalo de tiempo, introduzca el intervalo de tiempo deseado. A continuación, seleccione Aplicar.

6.    En Hora del evento, expanda el evento. A continuación, seleccione Ver el evento.

Para obtener más información, consulte Visualización de eventos de CloudTrail en la consola de CloudTrail.

Ejemplo de evento del historial de eventos de CloudTrail

**Nota:**En este ejemplo, una regla de entrada permite el puerto TCP 998 desde 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Para usar las consultas en Athena para revisar los cambios en el grupo de seguridad en su cuenta de AWS

**Nota:**Para usar Athena para consultar los registros de CloudTrail, debe tener un seguimiento configurado para registrar en un bucket de Amazon Simple Storage Service (Amazon S3). Puede utilizar Athena para consultar los registros de CloudTrail de los últimos 90 días.

1.    Abra la consola de Athena.

2.    Elija Editor de consultas. Se abre el editor de consultas de Athena.

3.    En el editor de consultas de Athena, introduzca una consulta basada en su caso de uso. A continuación, elija Ejecutar consulta.

Para obtener más información, consulte Descripción de los registros de CloudTrail y las tablas de Athena.

Ejemplo de consulta que devuelve todos los eventos de CloudTrail para la creación y eliminación de un grupo de seguridad

**Importante:**Sustituya el nombre de la tabla de ejemplo por el nombre de su tabla.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Ejemplo de consulta que devuelve todos los eventos de CloudTrail relacionados con los cambios realizados en un grupo de seguridad específico

**Importante:**Sustituya el nombre de la tabla de ejemplo por el nombre de su tabla.

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Para usar el historial de configuración de AWS Config para revisar los cambios en el grupo de seguridad de su cuenta de AWS

Nota: Puede usar AWS Config para ver el historial de configuración del historial de eventos del grupo de seguridad más allá del límite predeterminado de 90 días. Debe tener activado el grabador de configuración de AWS Config. Para obtener más información, consulte Administrar el grabador de configuración.

1.    Abra la consola de CloudTrail.

2.SeleccioneHistorial de eventos.

3.    En Filtrar, seleccione la lista desplegable. A continuación, elija Nombre del evento.

4.    En el cuadro de texto Introducir nombre del evento, introduzca el tipo de evento que busca (por ejemplo, CreateSecurityGroup). A continuación, seleccione Aplicar.

5.    En Hora del evento, expanda el evento.

6.    En el panel Recursos a los que se hace referencia, elija el icono del reloj en la columna Escala de tiempo de configuración para ver la escala de tiempo de configuración.

Para obtener más información, consulte Visualización de los recursos a los que se hace referencia con AWS Config.


OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años