CloudTrail 로그 쿼리

CloudTrail에서 특정 AWS 액세스 키 ID(AKID)에 대한 모든 레코드 찾기

SELECT
 *
FROM panther_logs.public.aws_cloudtrail
WHERE p_occurs_since('1 day')
     AND array_contains('ASIAVHOW5LG5FQ4R74ZZ'::variant, p_any_trace_ids)
ORDER BY p_event_time ASC
LIMIT 100

CloudTrail에서 모든 콘솔 "root" 로그인 찾기

루트 계정은 거의 콘솔에 로그인하지 않아야 합니다—이러한 모든 로그인을 찾습니다.

SELECT
 *
FROM panther_logs.public.aws_cloudtrail
WHERE
  p_occurs_between('2021-01-01', '2021-01-02')
  AND
  eventtype = 'AwsConsoleSignIn'
  AND
  useridentity:arn LIKE '%root%'
ORDER BY p_event_time ASC
LIMIT 100

CloudTrail에서 콘솔 로그인에 대한 모든 sourceIPAddresses를 찾아 순위 매기기

이 쿼리는 위의 쿼리와 유사하며, 모든 콘솔 로그인에 대한 IP 주소를 순위화합니다. 이는 어떤 IP 주소가 콘솔에 로그인하는지 식별하고 상대적 활동을 순위화하는 데 도움이 됩니다. 이는 종종 이상 행동을 강조할 수 있습니다.

AWS 인스턴스와 관련된 CloudTrail 활동 표시

조사 중에 특정 인스턴스가 중심이 될 수 있습니다. 예를 들어, 인스턴스가 손상된 경우. 이 쿼리는 Panther 필드를 사용하여 aws_instance_id 관련 활동에 대한 모든 CloudTrail 이벤트를 쉽게 검색합니다.

AWS 역할과 관련된 CloudTrail 활동 표시

위의 쿼리와 유사하게, Panther 필드 p_any_aws_arns 를 사용하여 관심 있는 ARN(예: 손상된 것으로 알려진 역할의 ARN)과 관련된 모든 CloudTrail 활동을 빠르고 쉽게 찾을 수 있습니다.

AWS 계정 ID와 관련된 CloudTrail 활동 표시

이는 Panther 필드를 사용하여 광범위하게 쿼리하는 또 다른 변형입니다. 이 경우 aws_account_id (예: 계정이 손상되어 측면 이동이 우려되는 경우) 관심 있는 계정과 관련된 모든 CloudTrail 데이터를 찾습니다.

CloudTrail에서 모든 인스턴스 시작(launch) 표시

자격 증명이 유출된 경우 공격자가 인프라를 생성하거나 수정하는 것이 우려되는 경우가 많습니다. 아래 쿼리는 모든 RunInstances 명령을 찾습니다. 이는 이상 활동 여부를 검토해야 합니다. 예를 들어, 공격자는 손상된 계정에서 비트코인 채굴을 위해 대량의 GPU 인스턴스를 빠르게 생성한 사례가 알려져 있습니다.