CloudTrail 로그 쿼리
CloudTrail에서 특정 AWS 액세스 키 ID(AKID)에 대한 모든 레코드 찾기
SELECT
*
FROM panther_logs.public.aws_cloudtrail
WHERE p_occurs_since('1 day')
AND array_contains('ASIAVHOW5LG5FQ4R74ZZ'::variant, p_any_trace_ids)
ORDER BY p_event_time ASC
LIMIT 100CloudTrail에서 모든 콘솔 "root" 로그인 찾기
루트 계정은 거의 콘솔에 로그인해서는 안 됩니다—이러한 모든 로그인을 찾으십시오.
SELECT
*
FROM panther_logs.public.aws_cloudtrail
절과 같은 필터 안에 있어야 합니다.
p_occurs_between('2021-01-01', '2021-01-02')
AND
eventtype = 'AwsConsoleSignIn'
AND
useridentity:arn LIKE '%root%'
ORDER BY p_event_time ASC
LIMIT 100CloudTrail에서 콘솔 로그인에 대한 모든 sourceIPAddress를 찾아 순위 매기기
이 쿼리는 위의 쿼리와 유사하며, 모든 콘솔 로그인에 대해 IP 주소를 순위 매깁니다. 이는 어떤 IP 주소가 콘솔에 로그인하는지 파악하고 상대적 활동을 순위화하는 데 도움이 됩니다. 이는 종종 이상 동작을 강조할 수 있습니다.
AWS 인스턴스와 관련된 CloudTrail 활동 표시
조사 중에 특정 인스턴스가 중심이 될 수 있습니다. 예를 들어 침해된 경우. 이 쿼리는 Panther 필드를 사용하여 p_any_aws_instance_ids 관련 활동에 대해 모든 CloudTrail 이벤트를 손쉽게 검색합니다.
AWS 역할과 관련된 CloudTrail 활동 표시
위의 쿼리와 유사하게 Panther 필드 p_any_aws_arns 를 사용하여 관심 있는 ARN(예: 침해된 것으로 알려진 역할의 ARN)과 관련된 모든 CloudTrail 활동을 빠르고 쉽게 찾을 수 있습니다.
AWS 계정 ID와 관련된 CloudTrail 활동 표시
이는 Panther 필드를 사용하여 광범위하게 쿼리하는 또 다른 변형입니다. 이 경우 p_any_aws_account_ids (예: 계정이 침해되어 측면 이동이 우려되는 경우).
CloudTrail에서 모든 인스턴스 시작(런치) 표시
자격 증명이 유출되면 공격자가 인프라를 생성하거나 수정할 것을 우려하는 경우가 자주 있습니다. 아래 쿼리는 모든 RunInstances 명령을 찾습니다. 이는 이상 활동 여부를 검토해야 합니다. 예를 들어, 공격자는 침해된 계정에서 비트코인 채굴을 위해 다수의 GPU 인스턴스를 대량으로 시작한 사례가 알려져 있습니다.
Last updated
Was this helpful?