我已启用云跟踪日志,并将日志发送到我的 graylog 系统。现在如何对以下用例进行分析:
- 如果同一用户尝试从不同的源 IP 登录和使用怎么办
- 需要分析特定用户是否在某个地区(例如美国)登录,然后他突然尝试从欧洲登录。
- 基本上试图开发一些与安全相关的用例。
如果 graylog 不支持上述内容,我可以开发自己的应用程序。最好的方法是什么?将所有日志发送到 Kafka,然后从那里使用应用程序来跟踪它?
AskOverflow.Dev
一般来说, CloudTrail 日志非常适合审计和调查过去的事件,但它们非常详细,并且要了解实际发生的情况,您通常需要将多个CloudTrail 事件链接在一起以了解完整情况。
要专门回答您的用例,即防止用户从未知目的地登录,您最好适当地配置您的 IAM 用户策略并检查
IpAddress条件:对于其他与安全相关的用途,比如说当有人创建对世界开放的安全组时收到通知,您确实可以尝试从 CloudTrail 中找出答案,但这可能是一项艰巨的任务。AWS Config及其广泛的安全相关规则集可能会为您提供更好的服务,这些规则实际上与Cloud Trail集成,并可能提供您需要的警报和见解。AWS Trusted Advisor还可以提供一些安全建议。或者正如 Tim 指出的那样,查看AWS Guard Duty。
或者尝试其中一种云安全第三方服务:Cloud Conformity、CloudCheckr、Cloud Health等。它们都可以执行您所追求的警报和安全检查。
推出自己的安全解决方案很少是一个好主意。初始开发、保持最新状态、处理误报/误报……更好地使用 AWS 或专业公司市场上已有的工具。
希望有帮助:)