Comment puis-je effectuer une recherche dans l'historique des événements CloudTrail pour savoir comment un groupe de sécurité ou une ressource a été modifié ?

Date de la dernière mise à jour : 03/09/2019

Je souhaite afficher l'historique des événements d'appels d'API du groupe de sécurité à des fins d'audit, notamment pour ce qui concerne:

Solution

Utilisez l'historique des événements AWS CloudTrail, les requêtes Amazon Athena ou l'historique de configuration AWS Config pour afficher l'historique des événements des groupes de sécurité.

Historique des événements CloudTrail

Vous pouvez utiliser la vue de l'historique des événements CloudTrail pour rechercher l'historique des événements des groupes de sécurité au cours des 90 derniers jours.

1.    Ouvrez la console CloudTrail.

2.    Choisissez Event history (Historique des événements).

3.    Sélectionnez le menu déroulant Filter (Filtre), puis choisissez Resource name(Nom de la ressource).

4.    Dans le champ Enter resource name (Saisir le nom de la ressource) saisissez le nom de votre ressource. Par exemple, sg-123456789, puis validez avec la touche Entrée de votre appareil.

5.    Agrandissez Event time (Heure de l'événement), puis choisissez View event (Afficher l'événement).

Dans cet exemple, une règle entrante autorise le port TCP 998 à partir de 192.168.0.0/32:

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Pour plus d'informations, consultez la section Affichage des événements CloudTrail dans la console CloudTrail.

Requêtes Athena

Vous pouvez utiliser des requêtes Athena afin de rechercher dans les journaux CloudTrail l'historique des événements des groupes de sécurité au cours des 90 derniers jours.

Remarque : vous devez disposer d'un journal d'activité activé afin de vous connecter à un compartiment S3.

1.    Ouvrez la console Athena.

2.    Choisissez Query Editor (Éditeur de requête).

3.    Dans l'éditeur de requête Athena, copiez et collez la requête suivante :

Remarque : remplacez l'exemple de nom de table par le nom de votre table.  

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

4.    Choisissez Run query (Exécuter la requête).

Les résultats de cette requête suivent la création et la suppression du groupe de sécurité.

5.    Vous pouvez interroger toutes les modifications apportées à un groupe de sécurité spécifique avec la requête suivante :  

SELECT *
FROM your example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Pour plus d'informations, consultez la section Présentation des journaux CloudTrail et des tables Athena.

Historique de configuration d'AWS Config

Vous pouvez utiliser AWS Config afin d'afficher l'historique de configuration de l'historique des événements du groupe de sécurité au-delà de la limite par défaut de 90 jours.

Remarque : l'enregistreur de configuration AWS Config doit être activé. Pour plus d'informations, consultez la section Gestion de l'enregistreur de configuration.

  1. Ouvrez la console CloudTrail.
  2. Choisissez Event history (Historique des événements).
  3. Sélectionnez le menu déroulant Filter (Filtre), puis choisissez Event name(Nom de l'événement).
  4. Dans le champ Enter event name (Saisir le nom de l'événement), saisissez le nom de votre ressource. Par exemple, CreateSecurityGroup, puis validez avec la touche Entrée de votre appareil.
  5. Agrandissez Event time (Heure de l'événement).
  6. Dans Resources Referenced (Ressources référencées), choisissez l'icône représentant une horloge afin d'afficher la chronologie de configuration.

Pour plus d'informations, consultez la section Affichage des ressources référencées avec AWS Config.  


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?