# S3 Access 로그 쿼리

## S3 버킷과 통신하는 고유한(DISTINCT) IP 주소를 찾아 순위를 매기기

S3 버킷의 잘못된 구성은 주요 위협 벡터입니다. 공개 읽기가 의도되지 않았던 개방된 버킷이 탐지되면, 부적절한 접근이 있었는지 파악하는 것이 매우 중요합니다.

이 쿼리는 관심 있는 버킷에 접근하는 모든 IP 주소를 수집하고 순위를 매깁니다. 이를 검토하여 조직 외부의 주소가 있는지 확인해야 하며, 있다면 데이터 유출이 있었을 수 있습니다.**.**

```sql
SELECT
 remoteip,
 count(1) AS total_rows
FROM panther_logs.public.aws_s3serveraccess
WHERE
  p_occurs_between('2021-01-01', '2021-02-01')
  AND
  bucket='somebucket'
GROUP BY remoteip
ORDER BY total_rows DESC
```