Youtube Twitter LinkedIn

Amazon Cloudtrail

AWS CloudTrail permite la auditoría, el monitoreo de la seguridad y la solución de problemas operativos a partir del seguimiento de la actividad del usuario y el uso de la API. CloudTrail registra, monitorea de forma continua y retiene la actividad de la cuenta relacionada con las acciones en toda la infraestructura de AWS, lo que le permite controlar las acciones de almacenamiento, análisis y reparación.

Este servicio rastrea y monitoriza las llamadas a la API de AWS realizadas dentro del entorno. Cada llamada a una API (evento) se registra. Cada evento registrado contiene:

  • El nombre de la API llamada: eventName

  • El servicio llamado: eventSource

  • La hora: eventTime

  • La dirección IP: SourceIPAddress

  • El método del agente: userAgent. Ejemplos:

  • Signing.amazonaws.com - Desde la consola de administración de AWS

  • console.amazonaws.com - Usuario raíz de la cuenta

  • lambda.amazonaws.com - AWS Lambda

  • Los parámetros de la solicitud: requestParameters

  • Los elementos de la respuesta: responseElements

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EXAMPA1234B56789C123",
        "arn": "arn:aws:iam::123456789012:user/developer",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "developer"
    },
    "eventTime": "2022-10-21T15:00:00Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.42",
    "userAgent": "aws-cli/1.16.310 Python/3.6.0 Windows/10 botocore/1.13.50",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-1234567890abcdef0"
                }
            ]
        }
    },
    "responseElements": {
        "startingInstances": {
            "items": [
                {
                    "instanceId": "i-1234567890abcdef0",
                    "currentState": {
                        "code": 16,
                        "name": "running"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    },
    "requestID": "59abcdfe-5b4c-123d-8e7f-example12345",
    "eventID": "1c2b3a4d-5e6f-7g8h-9i0j-exampleklmnop",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}

Enlace para acceder:

AnteriorIntroducción a Blue Team en AWSSiguienteApagando esta defensa

Última actualización