Вопросы Теги

Анализ журналов AWS Cloud Trail для получения информации о безопасности

Я включил журналы облачных трассировок и получаю журналы в моей системе Graylog. Теперь, как я могу провести анализ следующих случаев использования:

  • Что делать, если один и тот же пользователь пытается войти в систему и использовать с другого IP-адреса источника
  • . Необходимо проанализировать, как если бы конкретный пользователь входит в систему с некоторым регионом (например, США), тогда внезапно он пытается войти в систему из Европы.
  • В основном пытается разработать некоторые варианты использования, связанные с безопасностью.

Я могу разработать собственное приложение, если Graylog не поддерживает вышеуказанное. Как лучше всего это сделать? Отправить все журналы в Kafka, а затем оттуда использовать приложение для отслеживания?

1
задан 15 November 2018 в 00:59
1 ответ

Обычно журналы CloudTrail отлично подходят для аудита и расследования прошлых инцидентов, однако они очень подробны, и для понимания того, что происходит на самом деле, обычно необходимо связать несколько События CloudTrail , чтобы получить полную картину.

Чтобы ответить конкретно на ваш вариант использования, то есть предотвратить вход пользователей из неизвестных мест назначения , вам, возможно, лучше правильно настроить свою политику пользователя IAM и проверить условие IpAddress : 

  PolicyName: RestrictedAccess
  PolicyDocument:
    Version: 2012-10-17
    Statement:
    - Effect: Allow
      Action:
      - "*"
      Resource:
      - "*"
      Condition:
        IpAddress:
          aws:SourceIp:
          - 192.0.2.0/24
          - 12.34.56.78/32
          - ...

Для других целей, связанных с безопасностью, например, чтобы получать уведомления, когда кто-то создает группу безопасности, открытую для всего мира , вы действительно можете попытаться выяснить это из CloudTrail, но это может оказаться непростой задачей. Возможно, вам лучше подойдет AWS Config и его обширный набор правил, связанных с безопасностью, которые фактически интегрируются с Cloud Trail и могут предоставлять необходимые предупреждения и аналитические данные. AWS Trusted Advisor также может предоставить некоторые рекомендации по безопасности. Или, как указал Тим, посмотрите AWS Guard Duty .

В качестве альтернативы попробуйте одну из сторонних служб облачной безопасности: Соответствие облака , CloudCheckr , Состояние облака и т. Д. Все они могут отправлять оповещения и Вам нужна проверка безопасности.

Развертывание собственных решений безопасности редко бывает хорошей идеей . Первоначальная разработка, поддержание ее в актуальном состоянии, работа с ложными срабатываниями / отрицаниями, ... лучше использовать инструменты, уже доступные в AWS или на рынке специализированными компаниями.

Надеюсь, что это поможет:)

1
ответ дан 3 December 2019 в 23:10

Теги

Похожие вопросы