Анализ журналов AWS Cloud Trail для анализа безопасности

Question

Анализ журналов AWS Cloud Trail для анализа безопасности

Я включил журналы облачного следа и получаю журналы в свою систему Graylog. Теперь, как я могу сделать анализ следующих вариантов использования:

Что делать, если один и тот же пользователь пытается войти в систему и использовать с разных исходных IP-адресов
Необходимо проанализировать, например, если какой-то пользователь входит в какой-либо регион (скажем, в США), то вдруг он пытается войти из Европы.
В основном пытается разработать некоторые варианты использования, связанные с безопасностью.

Я вполне могу разработать свое собственное приложение, если graylog не поддерживает вышеизложенное. Каков наилучший способ сделать это? Отправить все журналы в Кафку, а затем оттуда использовать приложение для отслеживания?

1

amazon-web-services security graylog

Источник

Naggappan Ramukannan 14 ноя '18 в 05:46

1 ответ

Решение

Другие вопросы по тегам amazon-web-services security graylog

MLu 14 ноя '18 в 22:52 2018-11-14 22:52 · Accepted Answer · 2018-11-14 22:52

Обычно журналы CloudTrail отлично подходят для аудита и расследования прошлых инцидентов, однако они очень подробны и для понимания того, что на самом деле происходит, обычно требуется связать вместе несколько событий CloudTrail, чтобы получить полную картину.

Чтобы конкретно ответить на ваш вариант использования, то есть запретить пользователям входить в систему с неизвестных мест назначения, вам может быть лучше правильно настроить политику пользователя IAM и проверить IpAddress состояние:

  PolicyName: RestrictedAccess
  PolicyDocument:
    Version: 2012-10-17
    Statement:
    - Effect: Allow
      Action:
      - "*"
      Resource:
      - "*"
      Condition:
        IpAddress:
          aws:SourceIp:
          - 192.0.2.0/24
          - 12.34.56.78/32
          - ...

Что касается других применений, связанных с безопасностью, скажем, если вы будете уведомлены, когда кто-то создаст группу безопасности, открытую для всего мира, вы действительно можете попытаться выяснить это с помощью CloudTrail, но это может быть довольно сложным делом. Возможно, вам будет лучше работать с AWS Config и его обширным набором правил, связанных с безопасностью, которые фактически интегрируются с Cloud Trail и могут предоставлять вам необходимые оповещения и советы. AWS Trusted Advisor также может предоставить некоторые рекомендации по безопасности. Или, как указал Тим, проверьте AWS Guard Duty.

В качестве альтернативы попробуйте одну из сторонних служб облачной безопасности: Cloud Conformity, CloudCheckr, Cloud Health и т. Д. Все они могут выполнять оповещения и проверку безопасности, которые вам нужны.

Развертывание собственных решений безопасности редко является хорошей идеей. Первоначальная разработка, поддерживая ее в актуальном состоянии, имея дело с ложными срабатываниями / недостатками, ... лучше использовать инструменты, уже доступные в AWS или на рынке специализированными компаниями.

Надеюсь, это поможет:)