Comment utiliser CloudTrail pour savoir si un groupe de sécurité ou une ressource a été modifié dans mon compte AWS ?

Dernière mise à jour :20/01/2022

À des fins d'audit, je souhaite rechercher les modifications apportées à un groupe de sécurité dans mon Amazon Virtual Private Cloud (Amazon VPC). Quel est le meilleur moyen d'examiner les modifications apportées au groupe de sécurité de mon compte AWS ?

Brève description

Pour afficher et surveiller l'historique des événements du groupe de sécurité dans votre compte AWS, vous pouvez utiliser l'un des services et fonctions AWS suivants :

Remarque : ci-dessous, vous trouverez des exemples d'appels d'API liés aux groupes de sécurité :

Solution

Pour utiliser l'historique des événements CloudTrail afin d'examiner les modifications du groupe de sécurité dans votre compte AWS

Remarque : vous pouvez utiliser CloudTrail pour effectuer une recherche dans l'historique des événements des 90 derniers jours.

1.    Ouvrez la console CloudTrail.

2.    Choisissez Event history (Historique des événements).

3.    Dans Filtre, sélectionnez le menu déroulant. Ensuite, choisissez Nom de la ressource.

4.    Dans la zone de texte Indiquez le nom de la ressource, saisissez le nom de votre ressource (par exemple, sg-123456789).

5.    Dans la zone Période, saisissez la plage de temps souhaitée. Choisissez ensuite Appliquer.

6.    Dans la zone Heure de l'événement, développez l'événement. Ensuite, choisissez Afficher l'événement.

Pour plus d'informations, consultez la section Affichage des événements CloudTrail dans la console CloudTrail.

Exemple d'événement d'historique des événements CloudTrail

Remarque : dans cet exemple, une règle entrante autorise le port TCP 998 à partir de 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Pour utiliser les requêtes Athena afin d'examiner les modifications du groupe de sécurité dans votre compte AWS

Remarque : pour utiliser Athena afin d'interroger CloudTrail Logs, vous devez avoir un journal d’activité configuré pour journaliser vers un compartiment Amazon Simple Storage Service (Amazon S3). Vous pouvez utiliser Athena pour interroger les journaux CloudTrail au cours des 90 derniers jours.

1.    Ouvrez la console Athena.

2.    Choisissez Éditeur de requête. L'éditeur de requêtes Athena s'ouvre.

3.    Dans l'éditeur de requêtes Athena, saisissez une requête basée sur votre cas d'utilisation. Ensuite, choisissez Exécuter la requête.

Pour plus d'informations, consultez Comprendre les journaux CloudTrail et les tables Athena.

Exemple de requête pour renvoyer tous les événements CloudTrail pour la création et la suppression de groupes de sécurité

Remarque : remplacez l'exemple de nom de table par le nom de votre table.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Exemple de requête pour renvoyer tous les événements CloudTrail pour les modifications apportées à un groupe de sécurité spécifique

Remarque : remplacez l'exemple de nom de table par le nom de votre table.

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Pour utiliser l'historique de configuration AWS Config afin d'examiner les modifications du groupe de sécurité dans votre compte AWS

Remarque : vous pouvez utiliser AWS Config afin d'afficher l'historique de configuration de l'historique des événements du groupe de sécurité au-delà de la limite par défaut de 90 jours. L'enregistreur de configuration AWS Config doit être activé. Pour plus d'informations, consultez la section Gestion de l'enregistreur de configuration.

1.    Ouvrez la console CloudTrail.

2.    Choisissez Event history (Historique des événements).

3.    Dans Filtre, sélectionnez le menu déroulant. Choisissez ensuite Nom de l'événement.

4.    Dans la zone de texte Indiquer le nom de l'événement, saisissez le type d'événement que vous recherchez (par exemple, CreateSecurityGroup). Choisissez ensuite Appliquer.

5.    Dans la zone Heure de l'événement, développez l'événement.

6.    Dans le volet Ressources référencées, choisissez l'icône d'horloge dans la colonne Chronologie de configuration pour afficher la chronologie de configuration.

Pour plus d'informations, consultez la section Affichage des ressources référencées avec AWS Config.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?