Comment puis-je effectuer une recherche dans l'historique des événements CloudTrail pour savoir comment un groupe de sécurité ou une ressource a été modifié ?

Date de la dernière mise à jour : 03/09/2019

Je souhaite afficher l'historique des événements d'appels d'API du groupe de sécurité à des fins d'audit, notamment pour ce qui concerne :

Solution

Utilisez l'historique des événements AWS CloudTrail, les requêtes Amazon Athena ou l'historique de configuration AWS Config pour afficher l'historique des événements des groupes de sécurité.

Historique des événements CloudTrail

Vous pouvez utiliser la vue de l'historique des événements CloudTrail pour rechercher l'historique des événements des groupes de sécurité au cours des 90 derniers jours.

1.    Ouvrez la console CloudTrail.

2.    Choisissez Event history (Historique des événements).

3.    Sélectionnez le menu déroulant Filter (Filtre), puis choisissez Resource name(Nom de la ressource).

4.    Dans le champ Enter resource name (Saisir le nom de la ressource) saisissez le nom de votre ressource. Par exemple, sg-123456789, puis validez avec la touche Entrée de votre appareil.

5.    Agrandissez Event time (Heure de l'événement), puis choisissez View event (Afficher l'événement).

Dans cet exemple, une règle entrante autorise le port TCP 998 à partir de 192 168.0.0/32:

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Pour plus d'informations, consultez Affichage des événements CloudTrail dans la console CloudTrail.

Requêtes Athena

Vous pouvez utiliser des requêtes Athena pour rechercher dans les journaux CloudTrail l'historique des événements des groupes de sécurité au cours des 90 derniers jours.

Remarque : vous devez disposer d'une piste activée pour vous permettre de créer un journal de suivi qui s'applique à compartiment S3.

1.    Ouvrez la console Athena.

2.    Choisissez Query Editor (Éditeur de requête).

3.    Dans l'éditeur de requête Athena, copiez et collez la requête suivante :

Remarque : remplacez l'exemple de nom de table par le nom de votre table.  

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

4.    Choisissez Run query (Exécuter la requête).

Les résultats de cette requête suivent la création et la suppression du groupe de sécurité.

5.    Vous pouvez interroger toutes les modifications apportées à un groupe de sécurité spécifique avec la requête suivante :  

SELECT *
FROM your example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Pour plus d'informations, consultez Présentation des journaux CloudTrail et tables Athena.

Historique de configuration d'AWS Config

Vous pouvez utiliser AWS Config pour afficher l'historique de configuration de l'historique des événements du groupe de sécurité au-delà de la limite par défaut de 90 jours.

Remarque : l'enregistreur de configuration AWS Config doit être activé. Pour plus d'informations, consultez Gestion de l'enregistreur de configuration.

  1. Ouvrez la console CloudTrail.
  2. Choisissez Event history (Historique des événements).
  3. Sélectionnez le menu déroulant Filter (Filtre), puis choisissez Event name(Nom de l'événement).
  4. Dans le champ Enter event name (Saisir le nom de l'événement), saisissez le nom de votre ressource. Par exemple, CreateSecurityGroup, puis validez avec la touche Entrée de votre appareil.
  5. Agrandissez Event time (Heure de l'événement).
  6. Dans Ressources référencées, choisissez l'icône d'horloge pour afficher la chronologie de configuration.

Pour plus d'informations, consultez Affichage des ressources référencées avec AWS Config.  


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?