Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo uso CloudTrail para realizar un seguimiento de los cambios en los grupos de seguridad y los recursos de mi cuenta?

4 minutos de lectura
0

Quiero usar AWS CloudTrail para realizar un seguimiento de los cambios en los grupos de seguridad y los recursos en mi cuenta de AWS.

Resolución

Puedes usar AWS CloudTrail, Amazon Athena y AWS Config para ver y supervisar el historial de eventos del grupo de seguridad en tu cuenta de AWS.

Requisitos previos:

Revisión de la actividad del grupo de seguridad con el historial de eventos de CloudTrail

Nota: Puedes usar CloudTrail para buscar en el historial de eventos de los últimos 90 días.

  1. Abre la consola de CloudTrail.
  2. Selecciona Historial de eventos.
  3. En Filtro, en la lista desplegable, elige Nombre del recurso.
  4. En el cuadro de texto Introducir el nombre del recurso, introduce el nombre del recurso. Por ejemplo: sg-123456789.
  5. En Intervalo de tiempo, introduce el intervalo de tiempo que desees. A continuación, elige Aplicar.
  6. Selecciona un evento en la lista de resultados.

Para obtener más información, consulta Visualización de eventos de administración recientes con la consola.

Ejemplo de un evento de CloudTrail:

Nota: En este ejemplo, una regla de entrada permite el puerto TCP 998 desde 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Revisión de la actividad del grupo de seguridad con consultas de Athena

  1. Abre la consola de Athena.
  2. Elige Editor de consultas.
  3. En el editor de consultas de Athena, introduce una consulta basada en tu caso de uso. A continuación, elige Ejecutar consulta.

Para obtener más información, consulta Descripción de los registros de CloudTrail y las tablas de Athena.

Ejemplo de consulta para devolver eventos de creación y eliminación de grupos de seguridad:

Importante: Sustituye el nombre de la tabla de ejemplo por el nombre de tu tabla.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Ejemplo de consulta que devuelve todos los eventos de CloudTrail relacionados con los cambios realizados en un grupo de seguridad específico:

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Revisión de la actividad del grupo de seguridad con el historial de configuración de AWS Config

  1. Abre la consola de CloudTrail.
  2. Selecciona Historial de eventos.
  3. En Filtro, en la lista desplegable, elige Nombre del evento.
  4. En el cuadro de texto Introducir el nombre del evento, introduce el tipo de evento. Por ejemplo, CreateSecurityGroup. A continuación, elige Aplicar.
  5. Selecciona un evento en la lista de resultados.
  6. En el panel Recursos a los que se hace referencia, elige **Ver cronograma de recursos de AWS Config ** para ver el cronograma de configuración.

Para obtener más información, consulta Visualización de los recursos a los que se hace referencia con AWS Config.

Temas
Management & Governance
Etiquetas
AWS CloudTrail
Idioma
Español

Vídeos relacionados

Ve el vídeo de Aditya para obtener más información (4:47)
Ve el vídeo de Aditya para obtener más información (4:47)
OFICIAL DE AWSActualizada hace 9 meses
Sin comentarios

Contenido relevante