VPC 로그 쿼리
이 페이지에는 VPC 플로우 로그 및 VPC DNS 로그의 예제가 포함되어 있습니다.
VPC 플로우 로그 쿼리
SSH 및 RDP에 대한 VPC 플로우로그 활동 표시
원격 셸은 일반적으로 한쪽에 사람이 있습니다. 조사 중에 SSH 및 RDP 세션을 분리하는 것은 특정 행위자 활동을 식별하기 위한 표준 절차인 경우가 많습니다.
SELECT
*
FROM panther_logs.public.aws_vpcflow
WHERE
p_occurs_between('2021-01-01', '2021-01-02')
AND
(srcport IN (22, 3389) OR dstport IN (22, 3389))
ORDER BY p_event_time ASC
LIMIT 100IP 주소에 대한 VPC 플로우로그 활동 표시
조사 중에는 특정 IP 주소가 관심 대상으로 식별되는 경우가 많습니다(예: 알려진 명령 및 제어 노드). IP 주소의 역할이 확인되면 해당 활동을 분리하고 설명하는 것이 중요합니다. 이는 어떤 리소스가 침해되었을 가능성이 있는지 나타낼 수 있습니다.
SELECT
*
FROM panther_logs.public.aws_vpcflow
WHERE p_occurs_between('2021-01-01', '2021-01-02')
AND array_contains('1.2.3.4'::variant, p_any_ip_addresses)
ORDER BY p_event_time ASC
LIMIT 100콘솔 로그인 관련 CloudTrail sourceIPAddresses와 관련된 VPC 플로우로그 활동 표시
자격 증명 유출에 대한 우려가 있는 경우 모든 AWS 콘솔 활동을 확인하는 것이 매우 중요합니다. 이 쿼리는 콘솔 로그인에 관련된 모든 CloudTrail sourceIPAddress를 찾고, 관련된 모든 VPC 플로우 활동을 반환합니다. 이를 통해 공통 IP 주소가 있는지 확인할 수 있습니다. 특히 관심이 가는 것은 조직 외부 인스턴스와 통신하는 것뿐만 아니라 콘솔에 로그인하는 IP 주소입니다. 이는 권한 없는 행위자가 계정 리소스에 액세스하는 침해를 나타낼 수 있습니다.
VPC DNS 쿼리 예제
지난 1주일 동안 쿼리가 가장 많은 소스
지난 4주 동안의 희귀 쿼리
쿼리 나열, AWS 내부 쿼리 제거
분해하여 상위 10개 최상위 도메인 나열
Last updated
Was this helpful?