Comment utiliser CloudTrail pour voir si un groupe de sécurité ou une ressource a été modifié dans mon compte AWS ?

Lecture de 4 minute(s)

À des fins d'audit, je souhaite rechercher les modifications apportées à un groupe de sécurité dans mon Amazon Virtual Private Cloud (Amazon VPC). Quelle est la meilleure méthode pour vérifier les modifications apportées à un groupe de sécurité dans mon compte AWS ?

Brève description

Pour consulter et surveiller l'historique des événements de groupe de sécurité dans votre compte AWS, vous pouvez utiliser l'un des services et fonctionnalités AWS suivants :

Remarque : Voici quelques exemples d'appels d'API liés au groupe de sécurité :

Résolution

Pour utiliser l'historique des événements CloudTrail afin de vérifier les modifications apportées au groupe de sécurité dans votre compte AWS

Remarque : Vous pouvez utiliser CloudTrail pour effectuer des recherches dans l'historique des événements des 90 derniers jours.

1. Ouvrez la console CloudTrail.

2. Choisissez Historique des événements.

3. Dans Filtre, sélectionnez la liste déroulante. Puis, sélectionnez Nom de la ressource.

4. Dans la zone de texte Saisir le nom de la ressource, saisissez le nom de votre ressource (par exemple, sg-123456789).

5. Dans Durée, saisissez la durée souhaitée. Puis, sélectionnez Appliquer.

6. Dans le champ Heure de l'événement, développez l'événement. Puis, sélectionnez Afficher l'événement.

Pour plus d'informations, consultez la section Affichage des événements CloudTrail dans la console CloudTrail.

Exemple d'événement d'historique des événements CloudTrail

Remarque : Dans cet exemple, une règle entrante autorise le port TCP 998 depuis 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Pour utiliser les requêtes Athena afin de vérifier les modifications apportées au groupe de sécurité dans votre compte AWS

Remarque : Pour interroger les journaux CloudTrail á l’aide d’Athena, vous devez disposer d’une piste configurée pour vous connecter à un compartiment Amazon Simple Storage Service (Amazon S3). Vous pouvez utiliser Athena pour interroger les journaux CloudTrail des 90 derniers jours.

1. Ouvrez la console Athena.

2. Sélectionnez Éditeur de requêtes. L'éditeur de requêtes Athena s'ouvre.

3. Dans l'éditeur de requêtes Athena, saisissez une requête en fonction de votre cas d'utilisation. Puis, sélectionnez Exécuter la requête.

Pour plus d'informations, consultez la section Présentation des journaux CloudTrail et des tables Athena.

Exemple de requête pour renvoyer tous les événements CloudTrail pour la création et la suppression de groupes de sécurité

Important : Remplacez example table name par le nom de votre table.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Exemple de requête pour renvoyer tous les événements CloudTrail pour les modifications apportées à un groupe de sécurité spécifique

Important : Remplacez example table name par le nom de votre table.

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Pour utiliser l'historique de configuration d'AWS Config afin de vérifier les modifications apportées au groupe de sécurité dans votre compte AWS

Remarque : Vous pouvez utiliser AWS Config pour consulter l'historique de configuration de l'historique des événements du groupe de sécurité au-delà de la limite par défaut de 90 jours. L'enregistreur de configuration d’AWS Config doit être activé. Pour plus d'informations, consultez la section Gestion de l'enregistreur de configuration.

1. Ouvrez la console CloudTrail.

2. Choisissez Historique des événements.

3. Dans Filtre, sélectionnez la liste déroulante. Puis, sélectionnez Nom de l'événement.

4. Dans la zone de texte Saisir le nom de l'événement, saisissez le type d'événement que vous recherchez (par exemple, CreateSecurityGroup). Puis, sélectionnez Appliquer.

5. Dans le champ Heure de l'événement, développez l'événement.

6. Dans le volet Ressources référencées, choisissez l'icône en forme d'horloge dans la colonne Chronologie de configuration pour afficher la chronologie de configuration.

Pour plus d'informations, consultez la section Affichage des ressources référencées avec AWS Config.

Sujets

Gestion et gouvernance

Balises

AWS CloudTrail

Langue

Français

Vidéos associées

Regarder la vidéo d'Aditya pour en savoir plus (4:47)

AWS OFFICIELA mis à jour il y a 3 ans

Aucun commentaire

Contenus pertinents

y aura-t'il un surcout pour moi si je sélectionne un autre GPU ?
GPU demand
demandé il y a 2 ans
Compte bloque je n'arrive plus a acceder au compt
Shekina Banza
demandé il y a un an
Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a 5 mois
démarrage d'instances a mon insu
marc
demandé il y a un an
Problème d'accès à une base de données logique dans une application laravel multi-tenant
PaulineE
demandé il y a 3 mois
Comment puis-je vérifier qui a modifié une fonction Lambda et quelles modifications ont été apportées ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je créer une règle d'événement EventBridge pour m'avertir que mon compte utilisateur root AWS a été utilisé ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment surveiller les modifications apportées aux groupes de sécurité configurés sur mon instance EC2 Linux en utilisant EventBridge et Amazon SNS ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment savoir si mon plan de contrôle Amazon EKS a été mis à jour ?
AWS OFFICIELA mis à jour il y a 6 mois