Creación de alarmas de CloudWatch para eventos de CloudTrail: ejemplos - AWS CloudTrail

Creación de alarmas de CloudWatch para eventos de CloudTrail: ejemplos

En este tema se describe cómo se configuran alarmas para eventos de CloudTrail y se incluyen ejemplos.

nota

En lugar de crear manualmente los siguientes ejemplos de filtros de métricas y alarmas, puede utilizar una plantilla de AWS CloudFormation para crearlos todos de una vez. Para obtener más información, consulte Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation.

Prerequisites

Para poder utilizar los ejemplos en este tema, debe:

  • Crear un registro de seguimiento con la consola o CLI.

  • Cree un grupo de registros como parte de la creación de un registro de seguimiento.

  • Especifique o cree un rol de IAM que conceda a CloudTrail permisos para crear una secuencia de registros de CloudWatch Logs en el grupo de registros que especifique y para entregar eventos de CloudTrail a dicha secuencia de registros. El valor predeterminado CloudTrail_CloudWatchLogs_Role se encarga de ello por usted.

Para obtener más información, consulte Envío de eventos a Amazon CloudWatch Logs. Los ejemplos de esta sección se realizan en la consola de Amazon CloudWatch Logs. Para obtener más información sobre cómo crear alarmas y filtros de métricas, consulte Creación de métricas a partir de eventos de registro mediante filtros y Uso de alarmas de Amazon CloudWatch en la Guía del usuario de Amazon CloudWatch.

Crear un filtro de métricas y crear una alarma

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar una alarma en función del filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más información sobre la sintaxis de los filtros de métricas y los patrones de los eventos de registro de CloudTrail, consulte las secciones relacionadas con JSON de Filtros y sintaxis de patrones en la guía del usuario de Amazon CloudWatch Logs.

Ejemplo de cambios de configuración del grupo de seguridad

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se desencadene cuando se produzcan cambios en la configuración de grupos de seguridad.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que creó para los eventos de registro de CloudTrail.

  4. Elija Actions (Acciones) y, a continuación, seleccione Create metric filter (Crear filtro de métrica).

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    { ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Next (Siguiente).

  7. En la páginaAssign metric (Asignar métrica), vaya a Filter name (Nombre de filtro) e ingrese SecurityGroupEvents.

  8. En Metric details (Detalles de métrica), active Create new (Crear nueva) y, a continuación, ingrese CloudTrailMetrics para Metric namespace (Espacio de nombres de métrica).

  9. En Metric name (Nombre de métrica), escriba SecurityGroupEventCount.

  10. En Metric value (Valor de métrica), escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Next (Siguiente).

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abre la página de detalles del grupo de registros de CloudWatch Logs para el grupo de registros de seguimiento de CloudTrail. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Crear un filtro de métricas.. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 1 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, SecurityGroupEventCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para Threshold (Umbral), ingrese 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Next (Siguiente).

  3. En la página Configure actions (Configuración de acciones), elija In alarm (En alarma), que indica que la acción se realiza cuando se cruza el umbral de 1 evento de cambio en 5 minutos, y SecurityGroupEventCount está en estado de alarma.

    1. Para Select an SNS topic (Seleccionar un tema de SNS), elija Create new (Crear nuevo).

    2. Escriba SecurityGroupChanges_CloudWatch_Alarms_topic como nombre del nuevo tema de Amazon SNS.

    3. En Email endpoints that will receive the notification (Puntos de enlace de email que recibirán la notificación), ingrese las direcciones de email de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Los destinatarios especificados aquí reciben un email en el que se les solicita confirmar que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Next (Siguiente).

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese Security group configuration changes para el nombre y Raises alarms if security group configuration changes occur para la descripción. Elija Next (Siguiente).

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo de errores de inicio de sesión en la AWS Management Console

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se desencadene cuando se produzcan tres o más errores de inicio de sesión en la AWS Management Console durante un periodo de cinco minutos.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que creó para los eventos de registro de CloudTrail.

  4. Elija Actions (Acciones) y, a continuación, seleccione Create metric filter (Crear filtro de métrica).

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Next (Siguiente).

  7. En la página Assign metric (Asignar métrica), vaya a Filter name (Nombre de filtro) e ingrese ConsoleSignInFailures.

  8. En Metric details (Detalles de métrica), active Create new (Crear nueva) y, a continuación, ingrese CloudTrailMetrics para Metric namespace (Espacio de nombres de métrica).

  9. Para Metric name (Nombre de métrica), escriba ConsoleSigninFailureCount.

  10. En Metric value (Valor de métrica), escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Next (Siguiente).

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abre la página de detalles del grupo de registros de CloudWatch Logs para el grupo de registros de seguimiento de CloudTrail. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Crear un filtro de métricas.. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 3 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, ConsoleSigninFailureCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para Threshold (Umbral), ingrese 3.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Next (Siguiente).

  3. En la página Configure actions (Configurar acciones), elija In alarm (En alarma), que indica que la acción se realiza cuando se cruza el umbral de 3 eventos de cambio en 5 minutos y que ConsoleSigninFailureCount está en estado de alarma.

    1. Para Select an SNS topic (Seleccionar un tema de SNS), elija Create new (Crear nuevo).

    2. Ingrese ConsoleSignInFailures_CloudWatch_Alarms_Topic como nombre del nuevo tema de Amazon SNS.

    3. En Email endpoints that will receive the notification (Puntos de enlace de email que recibirán la notificación), ingrese las direcciones de email de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Los destinatarios especificados aquí reciben un email en el que se les solicita confirmar que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Next (Siguiente).

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese Console sign-in failures para el nombre y Raises alarms if more than 3 console sign-in failures occur in 5 minutes para la descripción. Elija Next (Siguiente).

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.

Ejemplo: cambios en política de IAM

Siga este procedimiento para crear una alarma de Amazon CloudWatch que se desencadene cuando se produzca una llamada a la API para cambiar una política de IAM.

Crear un filtro de métricas.

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs.

  3. En la lista de grupos de registro, seleccione el grupo de registro que creó para los eventos de registro de CloudTrail.

  4. Elija Actions (Acciones) y, a continuación, seleccione Create metric filter (Crear filtro de métrica).

  5. En la página Define pattern (Definir patrón), vaya a Create filter pattern (Crear patrón de filtro) e ingrese lo siguiente para Filter pattern (Patrón de filtro).

    {($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
  6. En Test pattern (Probar patrón), deje los valores predeterminados. Elija Next (Siguiente).

  7. En la página Assign metric (Asignar métrica), vaya a Filter name (Nombre de filtro)e ingrese IAMPolicyChanges.

  8. En Metric details (Detalles de métrica), active Create new (Crear nueva) y, a continuación, ingrese CloudTrailMetrics para Metric namespace (Espacio de nombres de métrica).

  9. Para Metric name (Nombre de métrica), escriba IAMPolicyEventCount.

  10. En Metric value (Valor de métrica), escriba 1.

  11. Deje Default value (Valor predeterminado) en blanco.

  12. Elija Next (Siguiente).

  13. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Seleccione Create metric filter (Crear filtro de métricas) para crear el filtro, o elija Edit (Editar) para volver y cambiar los valores.

Crear una alarma

Después de crear el filtro de métricas, se abre la página de detalles del grupo de registros de CloudWatch Logs para el grupo de registros de seguimiento de CloudTrail. Siga este procedimiento para crear una alarma.

  1. En la página Metric filters (Filtros de métricas), busque el filtro de métrica que creó en Crear un filtro de métricas.. Complete la casilla de verificación del filtro de métricas. En la barra Metric filters (Filtros de métricas), elija Create alarm (Crear alarma).

  2. En la página Create Alarm (Crear alarma), vaya a Specify metric and conditions (Especificar métrica y condiciones) e ingrese lo siguiente.

    1. Para Graph (Gráfico), la línea se establece en 1 en función de otras configuraciones que realice al crear la alarma.

    2. Para Metric name (Nombre de métrica), conserve el nombre de métrica actual, IAMPolicyEventCount.

    3. Para Statistic (Estadística), conserve el valor predeterminado, Sum.

    4. Para Period (Periodo), conserve el valor predeterminado, 5 minutes.

    5. En la sección Conditions (Condiciones), vaya a Threshold type (Tipo de umbral) y escriba Static (Estático).

    6. Cuando metric_name es, elija Greater/Equal (Mayor/Igual).

    7. Para Threshold (Umbral), ingrese 1.

    8. En Additional configuration (Configuración adicional), deje los valores predeterminados. Elija Siguiente.

  3. En la página Configure actions (Configurar acciones), elija In alarm (En alarma), que indica que la acción se realiza cuando se cruza el umbral de 1 evento de cambio en 5 minutos y que IAMPolicyEventCount está en estado de alarma.

    1. Para Select an SNS topic (Seleccionar un tema de SNS), elija Create new (Crear nuevo).

    2. Ingrese IAM_Policy_Changes_CloudWatch_Alarms_topic como nombre del nuevo tema de Amazon SNS.

    3. En Email endpoints that will receive the notification (Puntos de enlace de email que recibirán la notificación), ingrese las direcciones de email de los usuarios que desea que reciban notificaciones si se produce esta alarma. Separe las direcciones de email con comas.

      Los destinatarios especificados aquí reciben un email en el que se les solicita confirmar que desean suscribirse al tema de Amazon SNS.

    4. Elija Create new topic.

  4. En este ejemplo, omita los otros tipos de acción. Elija Next (Siguiente).

  5. En la página Add name and description (Agregar nombre y descripción), ingrese un nombre fácil de recordar para la alarma y una descripción. En este ejemplo, ingrese IAM Policy Changes para el nombre y Raises alarms if IAM policy changes occur para la descripción. Elija Next (Siguiente).

  6. En la página Preview and create (Ver de manera preliminar y crear), revise las opciones seleccionadas. Seleccione Edit (Editar) para realizar cambios, o elija Create alarm (Crear alarma) para crear la alarma.

    Después de crear la alarma, CloudWatch abre la página Alarms (Alarmas). La columna Actions (Acciones) de la alarma muestra Pending confirmation (Confirmación pendiente) hasta que todos los destinatarios de email del tema SNS hayan confirmado que desean suscribirse a las notificaciones de SNS.