Come posso utilizzare CloudTrail per monitorare le modifiche apportate a gruppi di sicurezza e risorse nel mio account?

Risoluzione

Per visualizzare e monitorare la cronologia degli eventi dei gruppi di sicurezza nel tuo account AWS, puoi utilizzare AWS CloudTrail, Amazon Athena e AWS Config.

Prerequisiti:

• Configura CloudTrail per inviare i log a un bucket Amazon Simple Storage Service (Amazon S3) per le query Athena.
• Attiva il registratore di configurazione AWS Config per visualizzare la cronologia degli eventi relativi ai gruppi di sicurezza dopo il limite predefinito di 90 giorni.

Esamina l'attività dei gruppi di sicurezza tramite la cronologia degli eventi CloudTrail

Nota: puoi usare CloudTrail per effettuare ricerche nella cronologia degli eventi degli ultimi 90 giorni.

1. Apri la console CloudTrail.
2. Scegli Cronologia degli eventi.
3. In Filtro, nell'elenco a discesa, scegli Nome risorsa.
4. Nella casella di testo Inserisci un nome di risorsa, inserisci il nome della risorsa. Ad esempio, sg-123456789.
5. In Intervallo di tempo, inserisci l'intervallo di tempo desiderato. Quindi scegli Applica.
6. Scegli un evento nell'elenco dei risultati.

Per ulteriori informazioni, consulta Visualizzazione degli eventi di gestione recenti con la console.

Esempio di evento CloudTrail:

Nota: in questo esempio, è stata inserita una regola in entrata che abilita la porta TCP 998 da 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Esamina l'attività dei gruppi di sicurezza con query Athena

1. Apri la console Athena.
2. Scegli Editor di query.
3. Nell'editor di query Athena, inserisci una query basata sul caso d'uso. Quindi scegli Esegui query.

Per ulteriori informazioni, consulta Comprendi i log di CloudTrail e le tabelle di Athena.

Esempio di query per restituire gli eventi di creazione ed eliminazione di gruppi di sicurezza:

Importante: sostituisci example table name con il nome della tua tabella.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Esempio di query per risalire a tutti gli eventi CloudTrail relativi alle modifiche apportate a un gruppo di sicurezza specifico:

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Esamina l'attività dei gruppi di sicurezza con la cronologia delle configurazioni di AWS Config

1. Apri la console CloudTrail.
2. Scegli Cronologia degli eventi.
3. In Filtro, nell'elenco a discesa, scegli Nome evento.
4. Nella casella di testo Inserisci un nome di evento, inserisci il tipo di evento. Ad esempio, CreateSecurityGroup. Quindi scegli Applica.
5. Scegli un evento nell'elenco dei risultati.
6. Nel pannello Risorse di riferimento, scegli Visualizza la cronologia delle risorse di AWS Config per visualizzare la cronologia delle configurazioni.

Per ulteriori informazioni, consulta Visualizzazione delle risorse a cui viene fatto riferimento tramite AWS Config.