Skip to content
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como uso o CloudTrail para rastrear alterações de grupos de segurança e recursos em minha conta?

3 minuto de leitura
0

Quero usar o AWS CloudTrail para rastrear alterações de grupos de segurança e recursos em minha conta da AWS.

Resolução

É possível usar o AWS CloudTrail, o Amazon Athena e o AWS Config para visualizar e monitorar o histórico de eventos de grupos de segurança em sua conta da AWS.

Pré-requisitos:

Analise a atividade do grupo de segurança com o histórico de eventos do CloudTrail

Observação: é possível usar o CloudTrail para pesquisar o histórico de eventos dos últimos 90 dias.

  1. Abra o console do CloudTrail.
  2. Escolha Histórico de eventos.
  3. Em Filtro, na lista suspensa, escolha Nome do recurso.
  4. Na caixa de texto Inserir nome do recurso, insira o nome do recurso. Por exemplo, sg-123456789.
  5. Em Intervalo de tempo, insira o intervalo de tempo desejado. Em seguida, escolha Aplicar.
  6. Escolha um evento na lista de resultados.

Para obter mais informações, consulte Visualizar eventos de gerenciamento recentes com o console.

Exemplo de um evento do CloudTrail:

Observação: neste exemplo, uma regra de entrada permite a porta TCP 998 de 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Analise a atividade do grupo de segurança com consultas do Athena

  1. Abra o console do Athena.
  2. Escolha Editor de consulta.
  3. No editor de consultas Athena, insira uma consulta com base no seu caso de uso. Em seguida, escolha Executar consulta.

Para obter mais informações, consulte Compreender logs do CloudTrail e tabelas do Athena.

Exemplo de consulta para retornar eventos de criação e exclusão de grupos de segurança:

Importante: substitua o nome da tabela de exemplo pelo nome da sua tabela.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Exemplo de consulta para retornar todos os eventos do CloudTrail para alterações feitas em um grupo de segurança específico:

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Analise a atividade do grupo de segurança com o histórico de configuração do AWS Config

  1. Abra o console do CloudTrail.
  2. Escolha Histórico de eventos.
  3. Em Filtro, na lista suspensa, escolha Nome do evento.
  4. Na caixa de texto Inserir nome do evento, insira o tipo de evento. Por exemplo, CreateSecurityGroup. Em seguida, escolha Aplicar.
  5. Escolha um evento na lista de resultados.
  6. No painel Recursos referenciados, escolha Exibir cronograma de recursos do AWS Config para visualizar o cronograma de configuração.

Para mais informações, consulte Viewing resources referenced with AWS Config (Visualização de recursos referenciados com o AWS Config).

Tópicos
Gestão e governança
Tags
AWS CloudTrail
Idioma
Português

Vídeos relacionados

Assista ao vídeo de Aditya para saber mais (4:47)
Assista ao vídeo de Aditya para saber mais (4:47)
AWS OFICIALAtualizada há 2 meses
Sem comentários

Conteúdo relevante