Я включил журналы облачных трассировок и получаю журналы в моей системе Graylog. Теперь, как я могу провести анализ следующих случаев использования:
Я могу разработать собственное приложение, если Graylog не поддерживает вышеуказанное. Как лучше всего это сделать? Отправить все журналы в Kafka, а затем оттуда использовать приложение для отслеживания?
Обычно журналы CloudTrail отлично подходят для аудита и расследования прошлых инцидентов, однако они очень подробны, и для понимания того, что происходит на самом деле, обычно необходимо связать несколько События CloudTrail , чтобы получить полную картину.
Чтобы ответить конкретно на ваш вариант использования, то есть предотвратить вход пользователей из неизвестных мест назначения , вам, возможно, лучше правильно настроить свою политику пользователя IAM и проверить условие IpAddress
:
PolicyName: RestrictedAccess
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- "*"
Resource:
- "*"
Condition:
IpAddress:
aws:SourceIp:
- 192.0.2.0/24
- 12.34.56.78/32
- ...
Для других целей, связанных с безопасностью, например, чтобы получать уведомления, когда кто-то создает группу безопасности, открытую для всего мира , вы действительно можете попытаться выяснить это из CloudTrail, но это может оказаться непростой задачей. Возможно, вам лучше подойдет AWS Config и его обширный набор правил, связанных с безопасностью, которые фактически интегрируются с Cloud Trail и могут предоставлять необходимые предупреждения и аналитические данные. AWS Trusted Advisor также может предоставить некоторые рекомендации по безопасности. Или, как указал Тим, посмотрите AWS Guard Duty .
В качестве альтернативы попробуйте одну из сторонних служб облачной безопасности: Соответствие облака , CloudCheckr , Состояние облака и т. Д. Все они могут отправлять оповещения и Вам нужна проверка безопасности.
Развертывание собственных решений безопасности редко бывает хорошей идеей . Первоначальная разработка, поддержание ее в актуальном состоянии, работа с ложными срабатываниями / отрицаниями, ... лучше использовать инструменты, уже доступные в AWS или на рынке специализированными компаниями.
Надеюсь, что это поможет:)