CloudTrail을 사용하여 AWS 계정에서 보안 그룹 또는 리소스가 변경되었는지 확인하려면 어떻게 해야 합니까?
감사를 위해 Amazon Virtual Private Cloud(Amazon VPC)의 보안 그룹 변경 사항을 확인하려고 합니다. AWS 계정에서 보안 그룹 변경 사항을 검토하는 가장 좋은 방법은 무엇입니까?
간략한 설명
AWS 계정에서 보안 그룹 이벤트 기록을 보고 모니터링하려면 다음 AWS 서비스와 기능 중 하나를 사용할 수 있습니다.
참고: 다음은 보안 그룹 관련 API 호출의 몇 가지 예입니다.
- CreateSecurityGroup
- DeleteSecurityGroup
- AuthorizeSecurityGroupEgress
- AuthorizeSecurityGroupIngress
- RevokeSecurityGroupEgress
- RevokeSecurityGroupIngress
해결 방법
CloudTrail 이벤트 기록을 사용하여 AWS 계정의 보안 그룹 변경 사항을 검토하려면 다음을 수행합니다.
참고: CloudTrail은 지난 90일간의 이벤트 기록을 검색하는 데 사용할 수 있습니다.
1. CloudTrail 콘솔을 엽니다.
2. [Event history]를 선택합니다.
3. **필터(Filter)**에서 드롭다운 목록을 선택합니다. 그런 다음 **리소스 이름(Resource name)**을 선택합니다.
4. 리소스 이름 입력(Enter resource name) 텍스트 상자에 리소스 이름(예: sg-123456789)을 입력합니다.
5. **시간 범위(Time range)**에 원하는 시간 범위를 입력합니다. 그런 다음 **적용(Apply)**을 선택합니다.
6. **이벤트 시간(Event time)**에서 이벤트를 확장합니다. 그런 다음 **이벤트 보기(View event)**를 선택합니다.
자세한 내용은 CloudTrail 콘솔에서 CloudTrail 이벤트 보기를 참조하십시오.
예시 CloudTrail 이벤트 기록 이벤트
참고: 이 예시에서 인바운드 규칙은 192.168.0.0/32에서 TCP 포트 998을 허용합니다.
{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "123456789:Bob", "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob", "accountId": "123456789", "accessKeyId": "123456789", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-08-05T07:15:25Z" }, "sessionIssuer": { "type": "Role", "principalId": "123456789", "arn": "arn:aws:iam::123456789:role/123456789", "accountId": "123456789", "userName": "Bob" } } }, "eventTime": "2019-08-05T07:16:31Z", "eventSource": "ec2.amazonaws.com", "eventName": "AuthorizeSecurityGroupIngress", "awsRegion": "us-east-1", "sourceIPAddress": "111.111.111.111", "userAgent": "console.ec2.amazonaws.com", "requestParameters": { "groupId": "sg-123456789", "ipPermissions": { "items": [ { "ipProtocol": "tcp", "fromPort": 998, "toPort": 998, "groups": {}, "ipRanges": { "items": [ { "cidrIp": "192.168.0.0/32" } ] }, "ipv6Ranges": {}, "prefixListIds": {} } ] } }, "responseElements": { "requestId": "65ada3c8-d72f-4366-a583-9a9586811111", "_return": true }, "requestID": "65ada3c8-d72f-4366-a583-9a9586811111", "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111", "eventType": "AwsApiCall", "recipientAccountId": "123456789" }
Athena 쿼리를 사용하여 AWS 계정의 보안 그룹 변경 사항을 검토하려면 다음을 수행합니다.
참고: Athena를 사용하여 CloudTrail 로그를 쿼리하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 로그하도록 구성된 추적이 있어야 합니다. Athena를 사용하여 지난 90일 동안의 CloudTrail 로그를 쿼리할 수 있습니다.
1. Athena 콘솔을 엽니다.
2. **쿼리 편집기(Query Editor)**를 선택합니다. Athena 쿼리 편집기가 열립니다.
3. Athena 쿼리 편집기에서 사용 사례에 따라 쿼리를 입력합니다. 그런 다음 **쿼리 실행(Run query)**을 선택합니다.
자세한 내용은 CloudTrail 로그 및 Athena 테이블 이해를 참조하십시오.
보안 그룹 생성 및 삭제에 대한 모든 CloudTrail 이벤트를 반환하는 예제 쿼리
중요: 예제 테이블 이름을 테이블 이름으로 바꿉니다.
SELECT * FROM example table name WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup') and eventtime > '2019-02-15T00:00:00Z' order by eventtime asc
특정 보안 그룹의 변경 사항에 대한 모든 CloudTrail 이벤트를 반환하는 예제 쿼리
중요: 예제 테이블 이름을 테이블 이름으로 바꿉니다.
SELECT * FROM example table name WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%') and eventtime > '2019-02-15T00:00:00Z' order by eventtime asc;
AWS Config 구성 기록을 사용하여 AWS 계정의 보안 그룹 변경 사항을 검토하려면 다음을 수행합니다.
참고: AWS Config를 사용하여 기본 90일 제한을 초과하는 보안 그룹 이벤트 기록에 대한 구성 기록을 볼 수 있습니다. AWS Config 구성 레코더가 켜져 있어야 합니다. 자세한 내용은 구성 레코더 관리를 참조하십시오.
1. CloudTrail 콘솔을 엽니다.
2. [Event history]를 선택합니다.
3. **필터(Filter)**에서 드롭다운 목록을 선택합니다. 그런 다음 **이벤트 이름(Event name)**을 선택합니다.
4. 이벤트 이름 입력(Enter event name) 텍스트 상자에 검색 중인 이벤트 유형(예: CreateSecurityGroup)을 입력합니다. 그런 다음 **적용(Apply)**을 선택합니다.
5. **이벤트 시간(Event time)**에서 이벤트를 확장합니다.
6. 참조된 리소스(Resource Referenced) 창에서 Config 타임라인(Config timeline) 열의 시계 아이콘을 선택하여 구성 타임라인을 확인합니다.
자세한 내용은 AWS Config로 참조된 리소스 보기를 참조하십시오.
관련 콘텐츠
- 질문됨 3달 전
AWS 공식업데이트됨 2년 전
