寻找TLSv1调用的来源/从CloudTrail获得了IP,但不确定如何深入挖掘。
【以下的问题经过翻译处理】 你好!
我收到一条通知,说我的AWS账户中有使用TLS v1的连接。在过去的几天里,我已经设置了CloudTrail来监控连接,最终在Lake Query中出现了一个TLSv1连接。由于大多数我访问AWS的连接使用适当的TLS,因此TLSv1连接需要一段时间才能出现,截至本帖子发布时只有两个TLSv1连接。
虽然我在CloudTrail中找到了连接,但我还不知道如何将该连接链接到源。我不知道它是AWS资源之间的连接,还是来自我的服务器访问AWS的连接。
希望通过我提供的信息能帮助我找到请求源并解决问题,如果需要更多信息,请告诉我。
原始通知 区域:us-east-1 S3存储桶: <mybucket> APIAction: REST.GET.BUCKET
CloudTrail查询 事件源:s3.amazonaws.com 事件名称:ListObjects 事件类型:AwsApiCall 源IP:35.93.148.248 / 52.11.56.67
看起来,源IP属于AWS us-west-2.compute服务。我的第一个理论是与EC2负载均衡器有关(我有两个),但它们都使用HTTP而不是HTTPS。因此,我不认为它们是TLSv1的请求源?
我知道有指南可以在AWS中实施TLS1.2,但我不确定需要在哪里应用它,因为我不确定TLSv1连接的确切来源。我希望在尝试阻止TLSv1连接之前先知道源。
非常感谢您的帮助!
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 你已经完成了查找调用的第一部分,第二部分确实是找到源头。 一旦你有了CloudTrail事件,你可以使用以下字段来找到调用的来源:
- 如果是你拥有的弹性IP,则sourceIp字段有用。你可以看到它关联了什么。
- userAgent字段可指示哪个服务正在进行调用(可能显示powershell、SDK、curl或其他内容)
- userIdentity字段可能指示使用的主体和关联实例
记录的详细信息在此处描述:https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html
请注意,如果你的Bucket是公开的,这个IP可能是外部公开访问,你的选项是:
- 强制对此Bucket使用TLS 1.2:https://repost.aws/knowledge-center/s3-enforce-modern-tls
- 在Bucket前使用代理:https://repost.aws/knowledge-center/s3-access-old-tls
希望对你有所帮助,Jon
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前