CloudTrail을 사용하여 내 AWS 계정에서 보안 그룹 또는 리소스가 변경되었는지 확인하려면 어떻게 해야 합니까?

3분 분량

감사 목적으로 Amazon Virtual Private Cloud(Amazon VPC)에서 보안 그룹에 적용된 변경 사항을 찾고 싶습니다. 내 AWS 계정의 보안 그룹 변경 사항을 검토하는 가장 좋은 방법은 무엇입니까?

간략한 설명

AWS 계정의 보안 그룹 이벤트 기록을 보고 모니터링하려면 다음 AWS 서비스 및 기능을 사용할 수 있습니다.

참고: 다음은 보안 그룹 관련 API 호출의 몇 가지 예입니다.

해결 방법

CloudTrail 이벤트 기록을 사용하여 AWS 계정의 보안 그룹 변경 사항 검토하기

참고: CloudTrail을 사용하여 지난 90일 동안의 이벤트 기록을 검색할 수 있습니다.

1. CloudTrail 콘솔을 엽니다.

2. 이벤트 기록을 선택합니다.

3. 필터에서 드롭다운 목록을 선택합니다. 그런 다음, 리소스 이름을 선택합니다.

4. 리소스 이름 입력 텍스트 상자에 리소스 이름(예: sg-123456789)을 입력합니다.

5. 시간 범위에 원하는 시간 범위를 입력합니다. 그런 다음, 적용을 선택합니다.

이벤트 시간에서 이벤트를 확장합니다. 그런 다음, 이벤트 보기를 선택합니다.

자세한 내용은 CloudTrail 콘솔에서 CloudTrail 이벤트 보기를 참조하십시오.

CloudTrail 이벤트 기록 이벤트 예시

참고: 이 예에서는 인바운드 규칙이 192.168.0.0/32의 TCP 포트 998을 허용합니다.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Athena 쿼리를 사용하여 AWS 계정의 보안 그룹 변경 사항 검토하기

참고: Athena를 사용하여 CloudTrail Logs를 쿼리하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 기록하도록 추적을 구성해야 합니다. Athena를 사용하여 지난 90일 동안의 CloudTrail Logs를 쿼리할 수 있습니다.

1. Athena 콘솔을 엽니다.

2. 쿼리 편집기를 선택합니다. Athena 쿼리 편집기가 열립니다.

3. Athena 쿼리 편집기에서 사용 사례에 따라 쿼리를 입력합니다. 그런 다음, 쿼리 실행을 선택합니다.

자세한 내용은 CloudTrail Logs 및 Athena 테이블 이해를 참조하십시오.

보안 그룹 생성 및 삭제를 위한 모든 CloudTrail 이벤트를 반환하는 예제 쿼리

중요: example table name을 테이블 이름으로 바꾸십시오.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

특정 보안 그룹의 변경 사항에 대한 모든 CloudTrail 이벤트를 반환하는 예제 쿼리

중요: example table name을 테이블 이름으로 바꾸십시오.

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;