我想监视任何试图从我的 CloudTrail 的 S3 存储桶中删除日志的人。
我曾尝试使用我自己的 IAM 用户删除此存储桶上的其中一个日志,但 CloudTrail 本身似乎没有注意到我已从其存储桶中删除了一个对象。
是否有我必须激活的特定监控来检查这些日志是否被可能的攻击者删除?
还有一个优点:Guard Duty 有没有办法在我的环境中检测到这种行为?
提前致谢。
问问题
55 次
3 回答
5
您可以为此使用 CloudTrail日志验证,可以在控制台或通过 AWS CLI 启用:
要验证 CloudTrail 日志文件的完整性,您可以使用 AWS CLI 或创建您自己的解决方案。AWS CLI 将在 CloudTrail 交付文件的位置验证文件。
于 2021-07-06T18:10:22.280 回答
1
启用 cloudtrail 以监控管理和数据事件。当您启用对数据事件的监控时,所有与 S3 相关的数据事件也将由 cloudtrail 监控。
在 cloudtrail 中启用日志文件完整性验证。CloudTrail 为它提供的每个日志文件创建一个哈希。每小时,CloudTrail 还会创建并提供一个文件,该文件引用过去一小时的日志文件并包含每个文件的哈希值。该文件称为摘要文件。CloudTrail 使用公钥和私钥对的私钥对每个摘要文件进行签名。 验证日志文件的完整性。
此外,为 S3 删除事件设置 lambda 函数,以便在需要时通过 SNS 触发通知。
作为最佳实践,如果您管理多个 AWS 账户,请使用 AWS Organizations 管理 cloudtrail 并将 cloudtrail 记录在专用 AWS 账户中,该账户专门用于访问受限的日志记录。此外,请考虑启用 S3 存储桶的跨区域复制/版本控制和启用 MFA 删除以在删除对象版本时要求多重身份验证 (MFA)。
于 2021-07-29T14:33:15.813 回答
0
您可以使用 CloudTrail 日志验证,但请注意它不会自动提醒您。相反,它会留下一条线索,您可以按需验证完整性。有关详细信息,请参阅此链接。
如果您将这些日志摄取到日志聚合器(如 Splunk 或 Elk)中,则可以定义警报,其中 cloudtrail 操作会从包含您的日志的 S3 存储桶中删除日志文件。如果没有,您可以使用 cloudwatch 警报来触发来自 CloudTrail 的事件,但请注意,它是一种相当生硬的工具,您可能无法获得所需的搜索粒度。
我认为 GuardDuty 不会对此类行为发出警报,但我可能是错的。
于 2021-07-09T12:07:31.577 回答