分析AWS云轨迹日志以获得安全洞察力

Question

我启用了云跟踪日志，并将日志发送到我的灰日志系统。现在我如何对以下用例进行分析：

• 如果同一个用户尝试从不同的源IP登录和使用
• 需要分析的是，如果特定用户正在与某个地区(比如美国)登录，那么他突然试图从欧洲登录。
• 基本上试着开发一些与安全相关的用例。

如果graylog不支持上面的内容，我可以开发自己的应用程序。做这件事最好的方法是什么？将所有日志发送到Kafka，然后使用应用程序跟踪它？

Answer 1

通常，CloudTrail日志对于审计和调查过去的事件是很好的，但是它们非常详细，并且要理解实际发生的事情，通常需要将多个CloudTrail事件链接起来以获得完整的图像。

要具体回答您的使用情况，即防止用户从未知的目的地登录，您最好适当地配置您的IAM用户策略并检查IpAddress条件：

  PolicyName: RestrictedAccess
  PolicyDocument:
    Version: 2012-10-17
    Statement:
    - Effect: Allow
      Action:
      - "*"
      Resource:
      - "*"
      Condition:
        IpAddress:
          aws:SourceIp:
          - 192.0.2.0/24
          - 12.34.56.78/32
          - ...

对于其他与安全相关的用途，例如，当有人创建一个向世界开放的安全组时，您可以尝试从CloudTrail中了解它，但这可能是一项相当大的任务。您可以更好地使用AWS Config及其广泛的与安全相关的规则，这些规则实际上是结合在一起云迹的，并且可能提供所需的警告和洞察力。AWS可信顾问还可以提供一些安全建议。或者，正如提姆指出的，请查看AWS警卫职责。

或者，尝试一种云安全第三方服务：云整合、CloudCheckr、云健康等。它们都可以进行警报和安全检查。

推出自己的安全解决方案很少是个好主意。最初的发展，保持最新，处理假阳性/阴性，.更好地使用AWS中已有的工具或专业公司在市场上提供的工具。

希望有帮助:)