Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Lake-Abfragen für AWS Quellversion 2 (OCSF1.1.0)
Sie können die Daten abfragen, die Security Lake speichert AWS Lake Formation Datenbanken und Tabellen. Sie können auch Abonnenten von Drittanbietern in der Security Lake-Konsole erstellenAPI, oder AWS CLI. Abonnenten von Drittanbietern können Lake Formation Formation-Daten auch aus den von Ihnen angegebenen Quellen abfragen.
Der Lake Formation Data Lake-Administrator muss der IAM Identität, die die Daten abfragt, SELECT Berechtigungen für die entsprechenden Datenbanken und Tabellen gewähren. Ein Abonnent muss auch in Security Lake erstellt werden, bevor er Daten abfragen kann. Weitere Informationen zum Erstellen eines Abonnenten mit Abfragezugriff finden Sie unterVerwaltung des Abfragezugriffs für Security Lake-Abonnenten.
Der folgende Abschnitt enthält Anleitungen zum Abfragen von Daten aus Security Lake und enthält einige Abfragebeispiele für systemeigene Unterstützung AWS Quellen. Diese Abfragen dienen zum Abrufen von Daten in einem bestimmten AWS-Region. In diesen Beispielen wird us-east-1 (US East (Nord-Virginia)) verwendet. Darüber hinaus verwenden die Beispielabfragen einen LIMIT 25 Parameter, der bis zu 25 Datensätze zurückgibt. Sie können diesen Parameter weglassen oder ihn nach Ihren Wünschen anpassen. Weitere Beispiele finden Sie im GitHub Verzeichnis Amazon Security Lake OCSF Queries
Quelltabelle für das Protokoll
Wenn Sie Security Lake-Daten abfragen, müssen Sie den Namen der Lake Formation-Tabelle angeben, in der sich die Daten befinden.
SELECT * FROM "amazon_security_lake_glue_db_DB_Region"."amazon_security_lake_table_DB_Region_SECURITY_LAKE_TABLE" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Zu den allgemeinen Werten für die Protokollquelltabelle gehören die folgenden:
cloud_trail_mgmt_2_0– AWS CloudTrail Verwaltungsereignisselambda_execution_2_0— CloudTrail Datenereignisse für Lambdas3_data_2_0— CloudTrail Datenereignisse für S3route53_2_0— Amazon Route 53-Resolver-Abfrageprotokollesh_findings_2_0– AWS Security Hub findingsvpc_flow_2_0— Flussprotokolle von Amazon Virtual Private Cloud (AmazonVPC)eks_audit_2_0— Auditprotokolle von Amazon Elastic Kubernetes Service (AmazonEKS)waf_2_0– AWS WAF v2-Protokolle
Beispiel: Alle Security Hub Hub-Ergebnisse in der Tabelle sh_findings_2_0 aus der Region us-east-1
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Datenbank-Region
Wenn Sie Security Lake-Daten abfragen, müssen Sie den Namen der Datenbankregion angeben, aus der Sie die Daten abfragen. Eine vollständige Liste der Datenbankregionen, in denen Security Lake derzeit verfügbar ist, finden Sie unter Amazon Security Lake-Endpoints.
Beispiel: Amazon Virtual Private Cloud Cloud-Aktivitäten anhand der Quell-IP auflisten
Das folgende Beispiel listet alle VPC Amazon-Aktivitäten von der Quell-IP auf 192.0.2.1 die danach aufgenommen wurden 20230301 (01. März 2023), in der Tabelle vpc_flow_2_0 aus dem us-west-2
DB_Region.
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time_dt desc LIMIT 25
Datum der Partition
Durch die Partitionierung Ihrer Daten können Sie die Menge der bei jeder Abfrage gescannten Daten einschränken und so die Leistung verbessern und die Kosten senken. Partitionen funktionieren in Security Lake 2.0 etwas anders als in Security Lake 1.0. Security Lake implementiert jetzt die Partitionierung über time_dtregion, undaccountid. In Security Lake 1.0 wurde dagegen die Partitionierung durch Parameter eventDayregion, und accountid implementiert.
Bei der Abfrage time_dt werden automatisch die Datumspartitionen von S3 abgerufen und sie können wie jedes zeitbasierte Feld in Athena abgefragt werden.
Dies ist eine Beispielabfrage, bei der die time_dt Partition verwendet wird, um die Logs nach dem Zeitpunkt 01. März 2023 abzufragen:
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT 25
Zu den gängigen Werten für time_dt gehören die folgenden:
- Ereignisse, die im letzten Jahr eingetreten sind
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' YEAR - Ereignisse, die im letzten Monat eingetreten sind
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' MONTH - Ereignisse der letzten 30 Tage
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '30' DAY - Ereignisse der letzten 12 Stunden
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '12' HOUR - Ereignisse, die in den letzten 5 Minuten eingetreten sind
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '5' MINUTE - Ereignisse, die vor 7 bis 14 Tagen eingetreten sind
-
WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '14' DAY AND CURRENT_TIMESTAMP - INTERVAL '7' DAY - Ereignisse, die an oder nach einem bestimmten Datum auftreten
-
WHERE time_dt >= TIMESTAMP '2023-03-01'
Beispiel: Liste aller CloudTrail Aktivitäten von der Quell-IP 192.0.2.1 am oder nach dem 1. März 2023 in der Tabelle cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay >= '20230301' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Beispiel: Liste aller CloudTrail Aktivitäten von der Quell-IP 192.0.2.1 in den letzten 30 Tagen in der Tabelle cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar) AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Security Lake-Observables abfragen
Observables ist eine neue Funktion, die jetzt in Security Lake 2.0 verfügbar ist. Das beobachtbare Objekt ist ein Pivot-Element, das verwandte Informationen enthält, die sich an vielen Stellen des Ereignisses befinden. Durch die Abfrage von Observablen können Benutzer umfassende Sicherheitsinformationen aus ihren Datensätzen ableiten.
Indem Sie bestimmte Elemente innerhalb von Observablen abfragen, können Sie die Datensätze auf Dinge wie bestimmte Benutzernamen, Ressourcen UIDsIPs, Hashes und andere Typinformationen beschränken IOC
Dies ist eine Beispielabfrage, bei der das Observables-Array verwendet wird, um die Protokolle in VPC Flow- und Route53-Tabellen abzufragen, die den IP-Wert '172.01.02.03' enthalten
WITH a AS (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip'), b as (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip') SELECT * FROM a LEFT JOIN b ON a.value=b.value and a.name=b.name LIMIT 25
Abfragen nach Daten CloudTrail
AWS CloudTrail verfolgt Benutzeraktivitäten und API -nutzung in AWS-Services. Abonnenten können CloudTrail Daten abfragen, um die folgenden Arten von Informationen zu erhalten:
Hier sind einige Beispiele für CloudTrail Datenabfragen:
Unbefugte Versuche gegen AWS-Services in den letzten 7 Tagen
SELECT time_dt, api.service.name, api.operation, api.response.error, api.response.message, api.response.data, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.response.error in ( 'Client.UnauthorizedOperation', 'Client.InvalidPermission.NotFound', 'Client.OperationNotPermitted', 'AccessDenied') ORDER BY time desc LIMIT 25
Liste aller CloudTrail Aktivitäten von der Quell-IP 192.0.2.1 in den letzten 7 Tagen
SELECT api.request.uid, time_dt, api.service.name, api.operation, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1.' ORDER BY time desc LIMIT 25
Liste aller IAM Aktivitäten in den letzten 7 Tagen
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.service.name = 'iam.amazonaws.com' ORDER BY time desc LIMIT 25
Instanzen, in denen die Anmeldeinformationen AIDACKCEVSQ6C2EXAMPLE in den letzten 7 Tagen verwendet wurden
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND actor.user.credential_uid = 'AIDACKCEVSQ6C2EXAMPLE' LIMIT 25
Liste der fehlgeschlagenen CloudTrail Datensätze der letzten 7 Tage
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE status='failed' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Abfragen für Route 53-Resolver-Abfrageprotokolle
Die Amazon Route 53-Resolver-Abfrageprotokolle verfolgen DNS Anfragen, die von Ressourcen in Ihrem Amazon VPC gestellt wurden. Abonnenten können die Route 53-Resolver-Abfrageprotokolle abfragen, um die folgenden Arten von Informationen zu erhalten:
Im Folgenden finden Sie einige Beispielabfragen für Route 53-Resolver-Abfrageprotokolle:
Liste der DNS Abfragen der letzten CloudTrail 7 Tage
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Liste der DNS Suchanfragen, die s3.amazonaws.com in den letzten 7 Tagen übereinstimmten
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE query.hostname LIKE 's3.amazonaws.com.' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Liste der DNS Abfragen, die in den letzten 7 Tagen nicht gelöst wurden
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE cardinality(answers) = 0 and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Liste der DNS Anfragen, die 192.0.2.1 in den letzten 7 Tagen beantwortet wurden
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answer.rdata FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(answers) as st(answer) WHERE answer.rdata='192.0.2.1' AND time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Abfragen zu Ergebnissen von Security Hub
Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und Best Practices im Bereich Sicherheit zu überprüfen. Security Hub erstellt Ergebnisse für Sicherheitsüberprüfungen und erhält Ergebnisse von Diensten Dritter.
Hier sind einige Beispielabfragen zu Ergebnissen von Security Hub:
Neue Ergebnisse mit einem Schweregrad größer oder gleich MEDIUM in den letzten 7 Tagen
SELECT time_dt, finding_info, severity_id, status FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND severity_id >= 3 AND status = 'New' ORDER BY time DESC LIMIT 25
Doppelte Befunde in den letzten 7 Tagen
SELECT finding_info.uid, MAX(time_dt) AS time, ARBITRARY(region) AS region, ARBITRARY(accountid) AS accountid, ARBITRARY(finding_info) AS finding, ARBITRARY(vulnerabilities) AS vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY finding_info.uid LIMIT 25
Alle nicht informativen Ergebnisse der letzten 7 Tage
SELECT time_dt, finding_info.title, finding_info, severity FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE severity != 'Informational' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Ergebnisse, bei denen es sich bei der Ressource um einen Amazon S3 S3-Bucket handelt (keine Zeitbeschränkung)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(resources, element -> element.type = 'amzn-s3-demo-bucket') LIMIT 25
Ergebnisse, bei denen das Common Vulnerability Scoring System (CVSS) einen Wert von mehr als 1 (ohne Zeitbeschränkung) aufweist
SELECT DISTINCT finding_info.uid time_dt, metadata, finding_info, vulnerabilities, resource FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0", UNNEST(vulnerabilities) AS t(vulnerability), UNNEST(vulnerability.cve.cvss) AS t(cvs) WHERE cvs.base_score > 1.0 AND vulnerabilities is NOT NULL LIMIT 25
Ergebnisse, die mit Common Vulnerabilities and Exposures (CVE) übereinstimmen CVE-0000-0000 (keine zeitliche Beschränkung)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(vulnerabilities, element -> element.cve.uid = 'CVE-0000-0000') LIMIT 25
Anzahl der Produkte, die in den letzten 7 Tagen Ergebnisse von Security Hub gesendet haben
SELECT metadata.product.name, count(*) FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY metadata.product.name ORDER BY metadata.product.name DESC LIMIT 25
Anzahl der Ressourcentypen in den Ergebnissen der letzten 7 Tage
SELECT count(*) AS "Total", resource.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY resource.type ORDER BY count(*) DESC LIMIT 25
Anfällige Pakete aufgrund von Ergebnissen der letzten 7 Tage
SELECT vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND vulnerabilities is NOT NULL LIMIT 25
Ergebnisse, die sich in den letzten 7 Tagen geändert haben
SELECT status, finding_info.title, finding_info.created_time_dt, finding_info, finding_info.uid, finding_info.first_seen_time_dt, finding_info.last_seen_time_dt, finding_info.modified_time_dt FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Abfragen für Amazon VPC Flow Logs
Amazon Virtual Private Cloud (AmazonVPC) bietet Details zum IP-Verkehr zu und von Netzwerkschnittstellen in IhremVPC.
Hier sind einige Beispielabfragen für Amazon VPC Flow Logs:
Verkehr im Speziellen AWS-Regionen in den letzten 7 Tagen
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND region in ('us-east-1','us-east-2','us-west-2') LIMIT 25
Liste der Aktivitäten von Quell-IP 192.0.2.1 und Quellport 22 in den letzten 7 Tagen
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1' AND src_endpoint.port = 22 LIMIT 25
Anzahl der unterschiedlichen Ziel-IP-Adressen in den letzten 7 Tagen
SELECT COUNT(DISTINCT dst_endpoint.ip) AS "Total" FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Datenverkehr, der in den letzten 7 Tagen von 198.51.100.0/24 stammt
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND split_part(src_endpoint.ip,'.', 1)='198'AND split_part(src_endpoint.ip,'.', 2)='51' LIMIT 25
Der gesamte HTTPS Verkehr der letzten 7 Tage
SELECT dst_endpoint.ip as dst, src_endpoint.ip as src, traffic.packets FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY dst_endpoint.ip, traffic.packets, src_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Sortiert nach Paketanzahl für Verbindungen, die 443 in den letzten 7 Tagen für den Port bestimmt sind
SELECT traffic.packets, dst_endpoint.ip FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY traffic.packets, dst_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Gesamter Verkehr zwischen IP 192.0.2.1 und 192.0.2.2 in den letzten 7 Tagen
SELECT start_time_dt, end_time_dt, src_endpoint.interface_uid, connection_info.direction, src_endpoint.ip, dst_endpoint.ip, src_endpoint.port, dst_endpoint.port, traffic.packets, traffic.bytes FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND( src_endpoint.ip = '192.0.2.1' AND dst_endpoint.ip = '192.0.2.2') OR ( src_endpoint.ip = '192.0.2.2' AND dst_endpoint.ip = '192.0.2.1') ORDER BY start_time_dt ASC LIMIT 25
Gesamter eingehender Verkehr der letzten 7 Tage
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Inbound' LIMIT 25
Gesamter ausgehender Verkehr der letzten 7 Tage
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Outbound' LIMIT 25
Der gesamte abgelehnte Verkehr der letzten 7 Tage
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND action = 'Denied' LIMIT 25
Abfragen für EKS Amazon-Audit-Logs
Amazon EKS Logs verfolgt Aktivitäten auf der Kontrollebene und stellt Prüf- und Diagnoseprotokolle direkt von der EKS Amazon-Kontrollebene in CloudWatch Logs in Ihrem Konto zur Verfügung. Diese Protokolle erleichtern Ihnen die Absicherung und Ausführung Ihrer Cluster. Abonnenten können EKS Protokolle abfragen, um die folgenden Arten von Informationen zu erhalten.
Hier sind einige Beispielabfragen für EKS Amazon-Audit-Logs:
Anfragen an eine bestimmte Person URL in den letzten 7 Tagen
SELECT time_dt, actor.user.name, http_request.url.path, activity_name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'get' and http_request.url.path = '/apis/coordination.k8s.io/v1/' LIMIT 25
Aktualisiere Anfragen von '10.0.97.167' in den letzten 7 Tagen
SELECT activity_name, time_dt, api.request, http_request.url.path, src_endpoint.ip, resources FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '10.0.97.167' AND activity_name = 'Update' LIMIT 25
Anfragen und Antworten im Zusammenhang mit der Ressource 'kube-controller-manager' in den letzten 7 Tagen
SELECT activity_name, time_dt, api.request, api.response, resource.name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0", UNNEST(resources) AS t(resource) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND resource.name = 'kube-controller-manager' LIMIT 25
Abfragen für AWS WAF v2-Protokolle
AWS WAF ist eine Firewall für Webanwendungen, mit der Sie Webanfragen überwachen können, die Ihre Endbenutzer an Ihre Anwendungen senden, und den Zugriff auf Ihre Inhalte kontrollieren können.
Hier sind einige Beispiele für Abfragen AWS WAF v2-Protokolle:
Anfragen von einer bestimmten Quell-IP in den letzten 7 Tagen posten
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, http_request.http_headers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '100.123.123.123' AND activity_name = 'Post' LIMIT 25
Anfragen, die in den letzten 7 Tagen einem Firewalltyp MANAGED RULE _ _ GROUP entsprachen
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.type = 'MANAGED_RULE_GROUP' LIMIT 25
Anfragen, die REGEX in den letzten 7 Tagen einer Firewallregel entsprachen
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.condition = 'REGEX' LIMIT 25
Abgerufene Anfragen für AWS Anmeldeinformationen, die ausgelöst wurden AWS WAF herrschte in den letzten 7 Tagen
SELECT time_dt, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND http_request.url.path = '/.aws/credentials' AND action = 'Denied' LIMIT 25
Erhalten Sie Anfragen für AWS Anmeldeinformationen, gruppiert nach Ländern der letzten 7 Tage
SELECT count(*) as Total, src_endpoint.location.country AS Country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'Get' AND http_request.url.path = '/.aws/credentials' GROUP BY src_endpoint.location.country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method
