Wie verwende ich CloudTrail, um Änderungen an Sicherheitsgruppen und Ressourcen in meinem Konto zu verfolgen?

Lesedauer: 3 Minute

Ich möchte AWS CloudTrail verwenden, um Änderungen an Sicherheitsgruppen und Ressourcen in meinem AWS-Konto zu verfolgen.

Lösung

Du kannst AWS CloudTrail, Amazon Athena und AWS Config verwenden, um den Verlauf von Sicherheitsgruppenereignissen in deinem AWS-Konto anzuzeigen und zu überwachen.

Voraussetzungen:

Konfiguriere CloudTrail so, dass Protokolle für Athena-Abfragen an einen Amazon Simple Storage Service (Amazon S3)-Bucket gesendet werden.
Schalte den AWS Config-Konfigurationsrekorder ein, um den Verlauf der Sicherheitsgruppenereignisse nach Ablauf des Standardlimits von 90 Tagen anzuzeigen.

Überprüfen der Aktivität von Sicherheitsgruppen mit dem CloudTrail-Ereignisverlauf

Hinweis: Du kannst CloudTrail verwenden, um den Ereignisverlauf der letzten 90 Tage zu durchsuchen.

Öffne die CloudTrail-Konsole.
Wähle Ereignisverlauf aus.
Wähle unter Filter für die Dropdown-Liste den Eintrag Ressourcenname aus.
Gib im Textfeld Ressourcenname eingeben deinen Ressourcennamen ein. Zum Beispiel sg-123456789.
Gib für Time range (Zeitbereich) den gewünschten Zeitbereich ein. Wähle dann Anwenden aus.
Wähle ein Ereignis in der Ergebnisliste aus.

Weitere Informationen findest du unter Aktuelle Verwaltungsereignisse mit der Konsole anzeigen.

Beispiel für ein CloudTrail-Ereignis:

Hinweis: In diesem Beispiel lässt eine Regel für eingehenden Datenverkehr den TCP-Port 998 ab 192.168.0.0/32 zu.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Überprüfen der Aktivität von Sicherheitsgruppen mit Athena-Abfragen

Öffne die Athena-Konsole.
Wähle Abfragen-Editor aus.
Gib im Athena-Abfragen-Editor eine Abfrage für den entsprechenden Anwendungsfall ein. Wähle dann Abfrage ausführen aus.

Weitere Informationen findest du unter Grundlegendes zu CloudTrail-Protokollen und Athena-Tabellen.

Beispielabfrage zur Rückgabe von Ereignissen zum Erstellen und Löschen von Sicherheitsgruppen:

Wichtig: Ersetze example table name durch den Tabellennamen.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Beispielabfrage zur Rückgabe aller CloudTrail-Ereignisse für Änderungen, die an einer bestimmten Sicherheitsgruppe vorgenommen wurden:

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Überprüfen der Aktivität von Sicherheitsgruppen mit dem AWS Config-Konfigurationsverlauf

Öffne die CloudTrail-Konsole.
Wähle Ereignisverlauf aus.
Wähle unter Filter für die Dropdown-Liste den Eintrag Ereignisname aus.
Gib im Textfeld Ereignisname eingeben den Ereignistyp ein. Zum Beispiel CreateSecurityGroup. Wähle dann Anwenden aus.
Wähle ein Ereignis in der Ergebnisliste aus.
Wähle im Bereich Referenzierte Ressourcendie Option Anzeigen der AWS Config-Ressourcen-Timeline aus, um den Konfigurationszeitplan anzuzeigen.

Weitere Informationen findest du unter Ressourcen anzeigen, auf die mit AWS Config verwiesen wird.

Themen: Management & Governance
Tags: AWS CloudTrail
Sprache: Deutsch

Relevanter Inhalt

Wie verwende ich AWS CloudTrail, um API-Aufrufe an meine Amazon EC2-Instances zu verfolgen?
AWS OFFICIALAktualisiert vor 4 Jahren
Woher weiß ich, welcher Benutzer eine bestimmte Änderung an meiner AWS-Infrastruktur vorgenommen hat?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie verwende ich Athena, um meine CloudTrail-Protokolle nach AWS Support-API-Aufrufen abzufragen?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie verwende ich CloudTrail, um nach Aktionen auf einer bestimmten Ressource zu suchen, z. B. wer ein EBS-Volume auf einer EC2-Instance gelöscht hat?
AWS OFFICIALAktualisiert vor 2 Jahren