S3 액세스 로그 쿼리

S3 버킷과 통신하는 DISTINCT IP 주소를 찾아 순위 지정

S3 버킷의 잘못된 구성은 주요 위협 벡터입니다. 공개 버킷이 의도치 않게 모든 사용자에게 읽기 가능하게 설정된 것이 감지되면 부적절한 액세스가 있었는지 파악하는 것이 매우 중요합니다.

이 쿼리는 관심 있는 버킷에 액세스한 모든 IP 주소를 수집하고 순위를 매깁니다. 조직 외부의 주소가 있는지 검토해야 하며, 있다면 데이터 유출이 발생했을 수 있습니다..

SELECT
 remoteip,
 count(1) AS total_rows
FROM panther_logs.public.aws_s3serveraccess
WHERE
  p_occurs_between('2021-01-01', '2021-02-01')
  AND
  bucket='somebucket'
GROUP BY remoteip
ORDER BY total_rows DESC

이전Okta 로그 쿼리 다음VPC 로그 쿼리

마지막 업데이트 2개월 전

도움이 되었나요?

hashtagS3 버킷과 통신하는 DISTINCT IP 주소를 찾아 순위 지정

S3 버킷과 통신하는 DISTINCT IP 주소를 찾아 순위 지정