Come faccio a utilizzare CloudTrail per verificare se sono state apportate modifiche a un gruppo di sicurezza o a una risorsa nel mio account AWS?

Breve descrizione

Per visualizzare e monitorare la cronologia degli eventi del gruppo di sicurezza nel tuo account AWS, puoi utilizzare uno dei seguenti servizi e funzioni di AWS:

• Cronologia eventi di AWS CloudTrail
• Domande su Amazon Athena
• Cronologia configurazione di AWS Config

Nota: Di seguito sono riportati alcuni esempi di chiamate API relative ai gruppi di sicurezza:

• CreateSecurityGroup
• DeleteSecurityGroup
• AuthorizeSecurityGroupEgress
• AuthorizeSecurityGroupIngress
• RevokeSecurityGroupEgress
• RevokeSecurityGroupIngress

Soluzione

Utilizzare la cronologia degli eventi di CloudTrail per esaminare le modifiche ai gruppi di sicurezza nel tuo account AWS

Nota: Puoi usare CloudTrail per effettuare ricerche nella cronologia degli eventi degli ultimi 90 giorni.

1.    Apri la console CloudTrail.

2.    Scegli Cronologia eventi.

3.    In Filtro, seleziona il menu a tendina. Quindi, scegli Nome risorsa.

4.    Nella casella di testo Inserisci nome risorsa, inserisci il nome della risorsa (ad esempio sg-123456789).

5.    In Intervallo di tempo, inserisci l'intervallo di tempo desiderato. Quindi, scegli Applica.

6.    In Durata evento, estendi l'evento. Quindi, scegli Visualizza evento.

Per ulteriori informazioni, consulta Visualizzare gli eventi CloudTrail nella console CloudTrail.

Esempio di evento della cronologia degli eventi di CloudTrail

Nota: In questo esempio, è stata inserita una regola in entrata che abilita la porta TCP 998 da 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Utilizzare la query di Athena per esaminare le modifiche ai gruppi di sicurezza nel tuo account AWS

Nota: Per utilizzare Athena per eseguire query sui log di CloudTrail, è necessario avere un trail configurato per effettuare il log su un bucket Amazon Simple Storage Service (Amazon S3). Puoi usare Athena per eseguire query sui log di CloudTrail negli ultimi 90 giorni.

1.    Apri la console Athena.

2.    Scegli Query Editor. Si aprirà l'editor di query Athena.

3.    Nell'editor di query Athena, inserisci una query basata sul tuo caso d'uso. Quindi, scegli Esegui query.

Per ulteriori informazioni, consulta Conoscere i log di CloudTrail e le tabelle di Athena.

Esempio di query per risalire a tutti gli eventi CloudTrail per la creazione e l'eliminazione dei gruppi di sicurezza

Importante: Sostituisci il nome della tabella di esempio con il nome della tua tabella.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Esempio di query per risalire a tutti gli eventi CloudTrail per le modifiche apportate a un gruppo di sicurezza specifico

Importante: Sostituisci il nome della tabella di esempio con il nome della tua tabella.

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Utilizzare la cronologia di configurazione di AWS Config per esaminare le modifiche ai gruppi di sicurezza nel tuo account AWS

Nota: Puoi usare AWS Config per visualizzare la cronologia delle configurazioni relativa alla cronologia degli eventi dei gruppi di sicurezza oltre il limite predefinito di 90 giorni. È necessario che il registratore di configurazione AWS Config sia attivo. Per ulteriori informazioni, consulta Gestire il registratore di configurazione.

1.    Apri la console CloudTrail.

2.    Scegli Cronologia eventi.

3.    In Filtro, seleziona il menu a tendina. Quindi, scegli Nome evento.

4.    Nella casella di testo Inserisci nome evento, inserisci il tipo di evento che stai cercando (ad esempio, CreateSecurityGroup). Quindi, scegli Applica.

5.    In Durata evento, estendi l'evento.

6.    Nel riquadro Risorse di riferimento, scegli l'icona dell'orologio nella colonna Cronologia di configurazione per visualizzare la cronologia di configurazione.

Per ulteriori informazioni, consulta Visualizzare le risorse referenziate con AWS Config.