Назад | Перейти на главную страницу

Анализ журналов AWS Cloud Trail для получения информации о безопасности

Я включил журналы облачных трассировок, и я получаю журналы в моей системе Graylog. Теперь, как мне провести анализ следующих вариантов использования:

Что делать, если один и тот же пользователь пытается войти и использовать с другого исходного IP-адреса
Необходимо проанализировать, например, если конкретный пользователь входит в систему в каком-то регионе (например, в США), а затем он внезапно пытается войти в систему из Европы.
В основном пытаюсь разработать некоторые варианты использования, связанные с безопасностью.

Я могу разработать собственное приложение, если Graylog не поддерживает вышеуказанное. Как лучше всего это сделать? Отправить все журналы в Kafka, а оттуда использовать приложение для отслеживания?

В общем-то Журналы CloudTrail отлично подходят для аудита и расследования прошлых инцидентов, однако они очень подробны, и чтобы понять, что на самом деле происходит, вам обычно необходимо связать вместе несколько События CloudTrail чтобы получить полную картину.

Чтобы ответить конкретно на ваш вариант использования, т.е. запретить пользователям входить в систему из неизвестных мест назначения, возможно, вам лучше правильно настроить политику пользователя IAM и проверить IpAddress состояние:

  PolicyName: RestrictedAccess
  PolicyDocument:
    Version: 2012-10-17
    Statement:
    - Effect: Allow
      Action:
      - "*"
      Resource:
      - "*"
      Condition:
        IpAddress:
          aws:SourceIp:
          - 192.0.2.0/24
          - 12.34.56.78/32
          - ...

Для других целей, связанных с безопасностью, скажем, чтобы получать уведомления, когда кто-то создает Группа безопасности открыта для мира вы действительно можете попытаться выяснить это с помощью CloudTrail, но это может оказаться непростой задачей. Тебе может быть лучше служить AWS Config и его обширный набор правил, связанных с безопасностью, которые фактически интегрироваться с Облачный след и может предоставлять необходимые предупреждения и аналитические данные. AWS Trusted Advisor может также предоставить некоторые рекомендации по безопасности. Или, как указал Тим, проверьте AWS Guard Duty.

В качестве альтернативы попробуйте одну из сторонних служб облачной безопасности: Соответствие облаку, CloudCheckr, Облачное здоровьеи т. д. Все они могут выполнять необходимые вам предупреждения и проверку безопасности.

Развертывание собственных решений безопасности - это редко хорошая идея. Начальная разработка, поддержание в актуальном состоянии, работа с ложными срабатываниями / отрицаниями ... лучше использовать инструменты, уже доступные в AWS или на рынке специализированными компаниями.

Надеюсь, это поможет :)