web-dev-qa-db-ja.com

AWS Cloud Trailログを分析して、セキュリティの洞察を取得します

クラウドトレイルログを有効にし、ログをグレイログシステムに取得します。次に、次のユースケースで分析を行うにはどうすればよいですか。

  • 同じユーザーが異なるソースIPからログインして使用しようとしている場合はどうなりますか
  • 特定のユーザーが特定の地域(たとえば米国)でログインしているかのように分析する必要があり、突然彼はヨーロッパからログインしようとします。
  • 基本的に、セキュリティ関連のユースケースを開発しようとしています。

グレイログが上記をサポートしていない場合は、独自のアプリケーションを開発してもかまいません。それを行うための最良の方法は何ですか?すべてのログをKafkaに送信し、そこからアプリケーションを使用して追跡しますか?

securityamazon-web-servicesgraylog
1
Naggappan Ramukannan

一般的にCloudTrailログ過去のインシデントの監査と調査には最適ですが、非常に詳細であり、実際に何が起こっているのかを理解するには、通常、複数のCloudTrailイベントをリンクして取得する必要があります。全体像。

ユースケースに具体的に答える、つまりユーザーが不明な宛先からログインできないようにするには、IAMユーザーポリシーを適切に構成し、IpAddressを確認する方がよい場合があります。状態:

  PolicyName: RestrictedAccess
  PolicyDocument:
    Version: 2012-10-17
    Statement:
    - Effect: Allow
      Action:
      - "*"
      Resource:
      - "*"
      Condition:
        IpAddress:
          aws:SourceIp:
          - 192.0.2.0/24
          - 12.34.56.78/32
          - ...

他のセキュリティ関連の用途については、誰かが作成したときに通知されるように言うと、世界に開かれたセキュリティグループ CloudTrailからそれを理解することはできますが、それはかなりの作業かもしれません。 AWS Configと、実際には -と統合する)のセキュリティ関連ルールの広範なセットを使用した方がよい場合があります。 クラウドトレイル そしてあなたが必要とするアラートと洞察を提供するかもしれません。 AWS Trusted Advisorもセキュリティアドバイザリを提供できます。または、Timが指摘したように、チェックアウトAWS Guard Duty

または、クラウドセキュリティサードパーティサービスの1つを試してください: Cloud ConformityCloudCheckrCloud Health など。これらはすべてアラートを実行でき、あなたが求めているセキュリティチェック。

独自のセキュリティソリューションを展開することはめったに良い考えではありませんです。初期開発、最新の状態の維持、誤検知/ネガティブの処理、... AWSまたは専門企業が市場ですでに利用可能なツールをより適切に使用します。

お役に立てば幸いです:)

2
MLu