DEV Community
·
🕵️♂️ 20个基于场景的AWS CloudTrail问答
💡
原文英文,约600词,阅读约需3分钟。
📝
内容提要
CloudTrail可监测未授权登录、调查EC2实例删除、追踪资源创建、保护日志及跟踪安全组变更。通过分析CloudTrail日志,能够识别用户行为、自动化操作、跨账户活动,并设置警报监控敏感操作。
🎯
关键要点
- 使用CloudTrail监测未授权的控制台登录尝试,过滤事件名称为ConsoleLogin,识别失败的登录尝试。
- 通过搜索CloudTrail日志中的TerminateInstances事件,调查谁删除了EC2实例。
- 查找RunInstances、CreateBucket等事件,追踪未被认领的资源创建。
- 启用日志文件验证,使用版本控制的S3桶,并应用IAM策略以保护CloudTrail日志不被删除或篡改。
- CloudTrail可以跟踪安全组的变更,查找AuthorizeSecurityGroupIngress和RevokeSecurityGroupIngress事件。
- 通过搜索StopLogging或DeleteTrail事件确认CloudTrail是否被禁用。
- 通过检查userIdentity.type字段区分用户与自动化操作的行为。
- 创建CloudWatch事件规则,监控敏感操作并发送警报,例如删除KMS密钥。
- CloudTrail可以跟踪跨账户活动,userIdentity.accountId字段显示源账户。
- 查找AssumeRole事件以确定用户何时假设IAM角色。
- CloudTrail可以检测S3桶策略的修改,查找PutBucketPolicy事件。
- 通过查找意外的资源创建事件,使用CloudTrail帮助识别账单激增的原因。
- CloudTrail记录管理操作,但不记录直接数据访问,使用RDS/DynamoDB的日志功能进行查询级别的日志记录。
- 使用AWS Organizations启用组织跟踪,确保所有AWS账户记录到中央跟踪中。
- 检查CreateUser、CreatePolicy或PutUserPolicy事件,了解是否有人尝试创建新的IAM用户或策略。
- 如果在日志中意外发现DeleteBucket,识别userIdentity,审查sourceIPAddress,并检查MFA或GuardDuty是否启用。
- 查找UpdateFunctionCode或UpdateFunctionConfiguration事件,检测未经批准的Lambda函数更新。
- CloudTrail可以检测CLI/API活动,记录AWS CLI或SDK的所有调用。
- 查找ChangeResourceRecordSets事件以跟踪Route 53 DNS记录的变更。
- 创建多区域跟踪以在多个区域记录CloudTrail事件,并将其存储在单个S3桶中。
❓
延伸问答
如何使用CloudTrail检测未授权的控制台登录尝试?
可以创建CloudTrail跟踪,监控事件名称为ConsoleLogin,并过滤响应元素为失败的登录尝试。
CloudTrail如何帮助调查EC2实例的删除?
通过搜索CloudTrail日志中的TerminateInstances事件,可以找到执行删除操作的用户身份。
如何保护CloudTrail日志不被删除或篡改?
启用日志文件验证,使用版本控制的S3桶,并应用IAM策略禁止所有用户删除日志。
CloudTrail能否跟踪安全组的变更?
是的,可以通过查找AuthorizeSecurityGroupIngress和RevokeSecurityGroupIngress事件来跟踪安全组的入站和出站规则变更。
如何确认CloudTrail是否被禁用?
可以搜索CloudTrail控制台中的StopLogging或DeleteTrail事件来确认是否被禁用。
如何追踪跨账户活动?
CloudTrail可以通过userIdentity.accountId字段显示源账户,跨账户访问会显示AssumeRole事件。
➡️
