Como uso o CloudTrail para ver se um grupo ou recurso de segurança foi alterado em minha conta da AWS?
Para fins de auditoria, quero verificar as alterações feitas em um grupo de segurança na minha Amazon Virtual Private Cloud (Amazon VPC). Qual é a melhor maneira de analisar as alterações do grupo de segurança na minha conta da AWS?
Breve descrição
Para visualizar e monitorar o histórico de eventos do grupo de segurança em sua conta da AWS, use qualquer um dos seguintes serviços e recursos da AWS:
- Histórico de eventos do AWS CloudTrail
- Consultas do Amazon Athena
- Histórico de configuração do AWS Config
Observação: veja a seguir alguns exemplos de chamadas de API relacionadas a grupos de segurança:
- CreateSecurityGroup
- DeleteSecurityGroup
- AuthorizeSecurityGroupEgress
- AuthorizeSecurityGroupIngress
- RevokeSecurityGroupEgress
- RevokeSecurityGroupIngress
Resolução
Para usar o histórico de eventos do CloudTrail para analisar as alterações do grupo de segurança em sua conta da AWS
Observação: você pode usar o CloudTrail para pesquisar o histórico de eventos dos últimos 90 dias.
1. Abra o console do CloudTrail.
2. Escolha Event history(Histórico de eventos).
3. Em Filter (Filtro), selecione a lista suspensa. Em seguida, escolha Resource name (Nome do recurso).
4. Na caixa de texto Enter resource name (Inserir nome do recurso), insira o nome do seu recurso (por exemplo,sg-123456789).
-
Em Time range (Intervalo de tempo), insira o intervalo de tempo desejado. Em seguida, escolha Apply (Aplicar).
-
Em Event time (Horário do evento), expanda o evento. Em seguida, escolha View event (Exibir evento).
Para obter mais informações, consulte Viewing CloudTrail events in the CloudTrail console (Visualização de eventos do CloudTrail no console do CloudTrail).
Exemplo de evento histórico de eventos do CloudTrail
Observação: neste exemplo, uma regra de entrada permite a porta TCP 998 de 192.168.0.0/32.
{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "123456789:Bob", "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob", "accountId": "123456789", "accessKeyId": "123456789", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-08-05T07:15:25Z" }, "sessionIssuer": { "type": "Role", "principalId": "123456789", "arn": "arn:aws:iam::123456789:role/123456789", "accountId": "123456789", "userName": "Bob" } } }, "eventTime": "2019-08-05T07:16:31Z", "eventSource": "ec2.amazonaws.com", "eventName": "AuthorizeSecurityGroupIngress", "awsRegion": "us-east-1", "sourceIPAddress": "111.111.111.111", "userAgent": "console.ec2.amazonaws.com", "requestParameters": { "groupId": "sg-123456789", "ipPermissions": { "items": [ { "ipProtocol": "tcp", "fromPort": 998, "toPort": 998, "groups": {}, "ipRanges": { "items": [ { "cidrIp": "192.168.0.0/32" } ] }, "ipv6Ranges": {}, "prefixListIds": {} } ] } }, "responseElements": { "requestId": "65ada3c8-d72f-4366-a583-9a9586811111", "_return": true }, "requestID": "65ada3c8-d72f-4366-a583-9a9586811111", "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111", "eventType": "AwsApiCall", "recipientAccountId": "123456789" }
Para usar as consultas do Athena para revisar as alterações do grupo de segurança em sua conta da AWS
Observação: para usar o Athena para consultar o CloudTrail Logs, você deve ter uma trilha configurada para fazer login em um bucket do Amazon Simple Storage Service (Amazon S3). Você pode usar o Athena para consultar o CloudTrail Logs nos últimos 90 dias.
1. Abra o console do Athena.
-
Escolha Editor de consulta. O editor de consultas Athena é aberto.
-
No editor de consultas Athena, insira uma consulta com base no seu caso de uso. Em seguida, escolha Run query (Executar consulta).
Para mais informações, consulte Understanding CloudTrail Logs and Athena Tables (Compreendendo os registros do CloudTrail e as tabelas do Athena).
Exemplo de consulta para retornar todos os eventos do CloudTrail para criação e exclusão de grupos de segurança
Importante: substitua o nome da tabela de exemplo pelo nome da sua tabela.
SELECT * FROM example table name WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup') and eventtime > '2019-02-15T00:00:00Z' order by eventtime asc
Exemplo de consulta para retornar todos os eventos do CloudTrail para alterações feitas em um grupo de segurança específico
Importante: substitua o nome da tabela de exemplo pelo nome da sua tabela.
SELECT * FROM example table name WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%') and eventtime > '2019-02-15T00:00:00Z' order by eventtime asc;
Para usar o histórico de configuração do AWS Config para revisar as alterações do grupo de segurança em sua conta da AWS
Observação: use o AWS Config para visualizar o histórico de configurações do histórico de eventos do grupo de segurança além do limite padrão de 90 dias. Você deve ter o gravador de configuração do AWS Config ativado. Para mais informações, consulte Gerenciando o gravador de configuração.
1. Abra o console do CloudTrail.
2. Escolha Event history(Histórico de eventos).
3. Em Filter (Filtro), selecione a lista suspensa. Em seguida, escolha Nome do evento.
-
Na caixa de texto Insert event name (Inserir nome do evento), insira o tipo de evento que você está procurando (por exemplo, CreateSecurityGroup). Em seguida, escolha Apply (Aplicar).
-
Em Event time (Horário do evento), expanda o evento.
-
No painel Resource Referenced (Recursos referenciados), escolha o ícone do relógio na coluna Config timeline (Linha do tempo de configuração) para visualizar a linha do tempo de configuração.
Para mais informações, consulte Viewing resources referenced with AWS Config (Visualização de recursos referenciados com o AWS Config).
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 10 meses