search
Knowledge BaseRelease NotesRequest Demo

VPC 로그 쿼리

이 페이지에는 VPC 플로우 로그 및 VPC DNS 로그 예제가 포함되어 있습니다.

hashtag
VPC 플로우 로그 쿼리

hashtag
SSH 및 RDP에 대한 VPC 플로우로그 활동 표시

원격 셸에는 일반적으로 한쪽 끝에 사람이 있습니다. 조사 중 SSH 및 RDP 세션을 분리하는 것은 특정 행위자 활동을 식별하기 위한 표준 절차인 경우가 많습니다.

SELECT
 *
FROM panther_logs.public.aws_vpcflow
WHERE
  p_occurs_between('2021-01-01', '2021-01-02')
  AND
  (srcport IN (22, 3389) OR dstport IN (22, 3389))
ORDER BY p_event_time ASC
LIMIT 100

hashtag
IP 주소에 대한 VPC 플로우로그 활동 표시

조사 중 특정 IP 주소(예: 알려진 명령 및 제어 노드)가 관심 대상으로 식별되는 경우가 많습니다. IP 주소의 역할이 확인되면 해당 활동을 분리하고 설명하는 것이 중요합니다. 이는 어떤 리소스가 손상되었을 가능성이 있는지 나타낼 수 있습니다.

SELECT
 *
FROM panther_logs.public.aws_vpcflow
WHERE p_occurs_between('2021-01-01', '2021-01-02')
     AND array_contains('1.2.3.4'::variant, p_any_ip_addresses)
ORDER BY p_event_time ASC
LIMIT 100

hashtag
콘솔 로그인 수행과 관련된 CloudTrail sourceIPAddresses 관련 VPC 플로우로그 활동 표시

자격 증명 유출 우려가 있는 경우 모든 AWS 콘솔 활동을 추적하는 것이 매우 중요합니다. 이 쿼리는 콘솔 로그인에 관련된 모든 CloudTrail sourceIPAddresses를 찾은 다음 관련된 모든 VPC 플로우 활동을 반환합니다. 이를 통해 공통 IP 주소가 있는지 확인할 수 있습니다. 특히 관심 있는 것은 조직 외부 인스턴스와 통신하면서 콘솔에 로그인하는 주소입니다. 이는 권한 없는 행위자가 계정 리소스에 접근하는 타격을 의미할 수 있습니다.

hashtag
VPC DNS 쿼리 예제

circle-info

아래 쿼리는 VPC DNS 로그에 대한 것이지만 다른 DNS 로그에 맞게 조정할 수 있습니다.

hashtag
지난 1주일 동안 쿼리가 가장 많은 소스

hashtag
지난 4주 동안 드문 쿼리

hashtag
쿼리 나열, AWS 내부 쿼리 제거

hashtag
상위 10개 TLD 분리 및 나열

이전S3 액세스 로그 쿼리다음시각화 및 대시보드

마지막 업데이트

도움이 되었나요?