我已启用 Cloud Trail 日志,并将日志发送到我的 Graylog 系统。现在我该如何对以下用例进行分析:
- 如果同一个用户尝试登录并使用不同的源 IP,该怎么办?
- 需要进行分析,例如如果特定用户在某个地区(例如美国)登录,然后他突然尝试从欧洲登录。
- 基本上尝试开发一些与安全相关的用例。
如果 graylog 不支持上述功能,我可以开发自己的应用程序。最好的方法是什么?将所有日志发送到 Kafka,然后从那里使用应用程序进行跟踪?
答案1
一般来说CloudTrail 日志非常适合审计和调查过去的事件,但它们非常详细,要了解真正发生的事情,你通常需要将多个事件联系起来CloudTrail 事件以获得完整的画面。
具体回答你的用例,即防止用户从未知目的地登录,您最好适当配置 IAM 用户策略并检查IpAddress条件:
PolicyName: RestrictedAccess
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- "*"
Resource:
- "*"
Condition:
IpAddress:
aws:SourceIp:
- 192.0.2.0/24
- 12.34.56.78/32
- ...
对于其他与安全相关的用途,比如当有人创建保安集团面向世界开放您确实可以尝试从 CloudTrail 中找出答案,但这可能是一项艰巨的任务。您可能更愿意使用AWS Config以及其广泛的安全相关规则整合云迹并可能提供您所需的警报和见解。AWS 可信顾问也可以提供一些安全建议。或者像 Tim 指出的那样,查看AWS Guard Duty。
或者尝试以下云安全第三方服务之一:云整合,CloudCheckr,云健康等等。它们都可以进行您所追求的警报和安全检查。
推出自己的安全解决方案这很少是一个好主意. 初始开发、保持最新状态、处理误报/漏报……最好使用 AWS 或专业公司在市场上提供的现有工具。
希望有帮助:)