S3 액세스 로그 쿼리

S3 버킷과 통신하는 DISTINT(중복 제거된) IP 주소를 찾아 순위 매기기

S3 버킷의 잘못된 구성은 주요 위협 벡터입니다. 의도치 않게 공개된 버킷이 감지된 경우, 부적절한 접근이 있었는지 이해하는 것이 매우 중요합니다.

이 쿼리는 관심 있는 버킷에 접근한 모든 IP 주소를 수집하고 순위를 매깁니다. 이러한 주소들을 검토하여 조직 외부의 것인지 확인해야 합니다 — 그렇다면 데이터 유출이 있었을 수 있습니다.

SELECT
 remoteip,
 count(1) AS total_rows
FROM panther_logs.public.aws_s3serveraccess
WHERE
  p_occurs_between('2021-01-01', '2021-02-01')
  AND
  bucket='somebucket'
GROUP BY remoteip
ORDER BY total_rows DESC

PreviousOkta 로그 쿼리 NextVPC 로그 쿼리

Last updated 1 month ago

Was this helpful?

hashtagS3 버킷과 통신하는 DISTINT(중복 제거된) IP 주소를 찾아 순위 매기기

S3 버킷과 통신하는 DISTINT(중복 제거된) IP 주소를 찾아 순위 매기기