บรรจวบ เข้าสู่ระบบ
Score:0
samtech 2021 avatar Server

ปัญหาเหตุการณ์ S3 Logs

ธง th
samtech 2021

มีวิธีดูว่าผู้ใช้ IAM 'g2' กำลังดำเนินการอย่างไรใน S3 และ IP ใดที่พวกเขาเรียกใช้ ฉันได้เปิดใช้งานการบันทึกการดำเนินการ S3 แล้ว

ประเด็นหนึ่งที่ฉันยังไม่สามารถเข้าใจได้ก็คือเมื่อฉันพยายามค้นหาบันทึกในเส้นทางระบบคลาวด์โดยใช้คีย์การเข้าถึง AWS หรือชื่อผู้ใช้ในทั้งสองกรณี ฉันได้รับผลลัพธ์เป็นไม่ตรงกัน แต่ตลอดทั้งวันที่ผู้ใช้ (g2) โต้ตอบกับ S3 ตามเวลาที่ดูเหมือนว่า CRON ทำงานบนเซิร์ฟเวอร์บางตัว จะระบุได้อย่างไร?

ฉันได้วิเคราะห์ประวัติเหตุการณ์ CloudTrail และใช้ CloudWatch Logs Insights เพื่อค้นหาที่อยู่ IP การบันทึกการเข้าถึงเป็นเวลา 90 วันโดยใช้ทั้ง “ชื่อผู้ใช้” และ “คีย์การเข้าถึง AWS” แต่ดูเหมือนว่าจะไม่มากนัก ช่วยในการค้นหาข้อมูลผู้ใช้ âg2â âg2â ผู้ใช้ IAM มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ ผู้ใช้ไม่มีสิทธิ์เข้าถึงการจัดการคอนโซล ฉันสงสัยว่ามันแค่ทำ 'ls' เพื่อตรวจสอบการมีอยู่ของไฟล์บางไฟล์ ฉันคิดว่าการกระทำเดียวกันนี้จะเกิดขึ้นในแต่ละวันสำหรับมัน

ฉันทราบวันที่/เวลาที่ผู้ใช้ดำเนินการและทรัพยากร (S3) แต่นั่นคือทั้งหมด (ไม่มีบัคเก็ต ไม่มี IP ฯลฯ) มีอะไรที่เราสามารถทำได้กับข้อมูลนั้นหรือไม่?

ฉันได้ทดสอบข้อความค้นหาเหล่านี้แล้ว แต่ไม่สามารถรับผลลัพธ์ได้ 

    ฟิลด์ @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resource.0.ARN
    | กรอง sourceIPAddress == "xx.xx.xx.xx" และ userIdentity.sessionContext.sessionIssuer.userName == "g2" และ eventSource == "s3.amazonaws.com"
    | จัดเรียง @timestamp desc
    | จำกัด 100

    ฟิลด์ @timestamp, @ข้อความ
    | กรอง userIdentity.userName == "g2"
    | จัดเรียง @timestamp desc
    | จำกัด 20

    ฟิลด์ @timestamp, @ข้อความ
    | กรอง sourceIPAddress == "192.168.1.1"
    | จัดเรียง @timestamp desc
    | จำกัด 20
    â

ข้อความค้นหา Athena ของ CloudTrail Logs มีประโยชน์หรือไม่ เครื่องมือ CLI บันทึก CloudTrail จะเป็นประโยชน์สำหรับสถานการณ์ของฉันหรือไม่ ใครสามารถช่วยฉันได้บ้าง

98
0 + 0
Tim avatar
gp flag
Tim
เทคนิคหนึ่งที่สามารถช่วยได้คือการพุชบันทึก CloudTrail ลงใน Cloudwatch Logs และใช้ Cloudwatch Log Insights เพื่อค้นหา การค้นหารายการบันทึกแต่ละรายการในบันทึก CloudTrail อาจเป็นเรื่องยุ่งยาก
0
ตอบกลับ
samtech 2021 avatar
th flag
samtech 2021
สวัสดี Tim ฉันได้วิเคราะห์ประวัติเหตุการณ์ CloudTrail และใช้ CloudWatch Logs Insights เพื่อค้นหาที่อยู่ IP การบันทึกการเข้าถึงเป็นเวลา 90 วันโดยใช้ทั้ง “ชื่อผู้ใช้” และ “AWS Access Key” แต่ดูเหมือนว่าไม่ใช่ ช่วยได้มากในการค้นหาข้อมูลผู้ใช้ âg2â âg2â ผู้ใช้ IAM มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ ผู้ใช้ไม่มีสิทธิ์เข้าถึงการจัดการคอนโซล ฉันสงสัยว่ามันแค่ทำ 'ls' เพื่อตรวจสอบการมีอยู่ของไฟล์บางไฟล์ ฉันคิดว่าการกระทำเดียวกันนี้จะเกิดขึ้นในแต่ละวันสำหรับมัน
0
ตอบกลับ
Score:0
avatar Server
ธง cn
shearn89

ฉันตั้งค่าเส้นทางใหม่เพื่อทดสอบสิ่งนี้ กระบวนการคือ:

  1. สร้าง CloudTrail ใหม่ เปิดใช้งานการส่งไปยัง CloudWatch ตามที่ @Tim แนะนำ และยังเปิดใช้งาน Data Events บน S3 คุณอาจต้องการเปิดใช้ Data Events บน S3 และกรองสำหรับบัคเก็ตที่ต้องการ มิฉะนั้น คุณอาจสร้างบันทึกจำนวนมาก!
  2. คัดลอกไฟล์บางไฟล์ลงในที่เก็บข้อมูลทดสอบ (ฟู.txt)
  3. CloudWatch -> กลุ่มบันทึก -> กลุ่มของฉัน -> "ดูข้อมูลเชิงลึกในบันทึก"

เมื่อบันทึกเริ่มมาถึงฉันสามารถทำสิ่งต่อไปนี้ได้อย่างง่ายดาย:

ค้นหาการใช้งานจาก IP ของฉัน (หากคุณทราบว่า IP แทนที่ 192.168.1.1):

ฟิลด์ @timestamp, @ข้อความ
| กรอง sourceIPAddress == "192.168.1.1"
| จัดเรียง @timestamp desc
| จำกัด 20

ค้นหากิจกรรมจากบทบาทที่ฉันคิด:

ฟิลด์ @timestamp, @ข้อความ
| กรอง userIdentity.sessionContext.sessionIssuer.userName == "ผู้ดูแลระบบ"
| จัดเรียง @timestamp desc
| จำกัด 20

จากนั้นฉันสามารถขยายแถวใดก็ได้ด้วยลูกศรทางซ้ายเพื่อค้นหาฟิลด์ที่มีประโยชน์เพิ่มเติม ฟิลด์ใด ๆ สามารถเพิ่มลงใน เขตข้อมูล รายการเพื่อให้แสดงอย่างสวยงามเช่น ใช้ IP & Role & Service เพื่อจำกัดการค้นหาและแสดงข้อมูลที่เป็นประโยชน์:

ฟิลด์ @timestamp, eventName, eventType, requestParameters.bucketName, requestParameters.key, resource.0.ARN
| กรอง sourceIPAddress == "xx.xx.xx.xx" และ userIdentity.sessionContext.sessionIssuer.userName == "Admin" และ eventSource == "s3.amazonaws.com"
| จัดเรียง @timestamp desc
| จำกัด 100

อัปเดตด่วน: ฉันลงชื่อเข้าใช้บัญชีพื้นที่เก็บข้อมูลสำรองของฉัน เพื่อค้นหาผู้ใช้ IAM จริง คีย์คือ:

กรอง userIdentity.userName == "iam-ชื่อผู้ใช้"
0 + 0
samtech 2021 avatar
th flag
samtech 2021
สวัสดี shearn89 ฉันลองแล้ว แต่จบลงด้วยผลลัพธ์เป็น "ไม่พบผลลัพธ์" https://ibb.co/2yhXyrJ
0
ตอบกลับ
cn flag
shearn89
ดูการอัปเดตของฉัน คุณอาจต้องค้นหาใน `userIdentity.userName`
0
ตอบกลับ
samtech 2021 avatar
th flag
samtech 2021
ยังไม่มีผลลัพธ์ด้วยรหัสนี้: | กรอง userIdentity.userName == "g2" | จัดเรียง @timestamp desc | จำกัด 20
0
ตอบกลับ
cn flag
shearn89
คุณจะต้องพยายามจำกัดการค้นหาให้แคบลงเพื่อระบุฟิลด์ที่จะค้นหา หากคุณทราบคร่าวๆ ว่ากิจกรรมเกิดขึ้นเมื่อไหร่ คุณก็สามารถเริ่มต้นได้ที่นั่น หรือทดสอบกับผู้ใช้ IAM รายอื่นเพื่อยืนยันว่าใช้งานได้ ตรวจสอบชื่อผู้ใช้เหมือนกันกับใน IAM - เป็นเพียง 'g2' หรือไม่
0
ตอบกลับ
samtech 2021 avatar
th flag
samtech 2021
ขอบคุณ เชียรน์89 ฉันรู้วันที่/เวลาที่ผู้ใช้ดำเนินการและทรัพยากร (S3) แต่นั่นคือทั้งหมด (ไม่มีบัคเก็ต ไม่มี IP ฯลฯ) มีอะไรที่เราสามารถทำได้กับข้อมูลนั้นหรือไม่?
0
ตอบกลับ
cn flag
shearn89
คุณจะต้องเริ่มต้นด้วยการค้นหาในช่วงเวลานั้น (เช่น 5 นาทีสำหรับช่วงเวลานั้น) จากนั้นกรองตามบริการและเจาะลึกบันทึก ฉันไม่สามารถให้คุณทีละขั้นตอนในการสำรวจข้อมูลของคุณเองได้ คุณจะต้องดูที่เหตุการณ์และเริ่มกรองผ่านมัน
0
ตอบกลับ
samtech 2021 avatar
th flag
samtech 2021
เฮลไอโอ เชียรน์89, ฉันทำอย่างนั้นและฉันสามารถค้นหาผลลัพธ์ที่ต้องการกับผู้ใช้ IAM รายอื่น แต่ไม่ใช่กับผู้ใช้เฉพาะรายนั้น "g2" ยังไม่สามารถทราบสาเหตุได้
0
ตอบกลับ
cn flag
shearn89
G2 เป็นผู้ใช้ IAM อย่างแน่นอน เข้าถึงผ่านคีย์การเข้าถึงหรือไม่ หรือกำลังทำงานบนอินสแตนซ์ EC2 โดยใช้บทบาทของอินสแตนซ์ หรือสมมติบทบาทในบรรทัดคำสั่ง?
0
ตอบกลับ
samtech 2021 avatar
th flag
samtech 2021
สวัสดี shearn89 ใช่ ถูกต้อง"g2â เป็นผู้ใช้ IAM และมีสิทธิ์การเข้าถึงของผู้ดูแลระบบ ผู้ใช้ไม่มีสิทธิ์เข้าถึงการจัดการคอนโซล
0
ตอบกลับ
cn flag
shearn89
การค้นหาจะคำนึงถึงขนาดตัวพิมพ์ คุณเคยค้นหา `G2` เมื่อผู้ใช้คือ `g2` หรือไม่? มิฉะนั้นฉันออกจากความคิด หากคุณพบกิจกรรมของผู้ใช้รายอื่น แสดงว่า CloudTrail ทำงานได้ตามที่ตั้งใจไว้
0
ตอบกลับ
samtech 2021 avatar
th flag
samtech 2021
shearn89 ฉันกำลังค้นหาด้วยชื่อผู้ใช้ IAM เดียวกันทุกประการ แต่ไม่มีผลลัพธ์ ใช่ ข้อความค้นหาทำงานได้ดีสำหรับผู้ใช้รายอื่น มีความเป็นไปได้ไหมว่านี่คือ cron?
0
ตอบกลับ
cn flag
shearn89
ไม่เป็นไร หากเป็น cron ก็ควรเข้าสู่ระบบ CloudTrail ต่อไป เว้นแต่ว่าจะไม่เกิดขึ้นจริงในฐานะผู้ใช้ G2 แต่เป็นผู้ใช้รายอื่น
0
ตอบกลับ
cn flag
shearn89
ให้เรา [สนทนาต่อในแชท](https://chat.stackexchange.com/rooms/134016/discussion-between-shearn89-and-samtech-2021)
0
ตอบกลับ
samtech 2021 avatar
th flag
samtech 2021
สวัสดี shearn89 จากการสอบถาม Athena ฉันสามารถค้นหากิจกรรมของผู้ใช้ âg2â IAM รวมถึงที่อยู่ IP แต่จากผลลัพธ์ดูเหมือนว่าจะใช้ครั้งล่าสุดในเดือนตุลาคม 2021 แต่ IAM บันทึกว่าเป็นการเข้าถึงวันนี้ คุณช่วยแนะนำได้ไหมว่าทำไมถึงเป็นเช่นนั้นหรือจะวินิจฉัยได้อย่างไร
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา