Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Consultas de Security Lake para AWS fuente versión 2 (OCSF1.1.0)
Puede consultar los datos que almacena Security Lake en AWS Lake Formation bases de datos y tablas. También puede crear suscriptores de terceros en la consola de Security LakeAPI, o AWS CLI. Los suscriptores de terceros también pueden consultar los datos de Lake Formation de las fuentes que especifique.
El administrador del lago de datos de Lake Formation debe conceder SELECT permisos en las bases de datos y tablas pertinentes a la IAM identidad que consulta los datos. También se debe crear un suscriptor en Security Lake antes de que pueda consultar los datos. Para obtener más información sobre cómo crear una suscriptor con acceso de consulta, lea Administrar el acceso a las consultas para los suscriptores de Security Lake.
La siguiente sección proporciona orientación sobre la consulta de datos de Security Lake e incluye algunos ejemplos de consultas compatibles de forma nativa AWS fuentes. Estas consultas están diseñadas para recuperar datos en un entorno específico Región de AWS. Estos ejemplos utilizan us-east-1 (US East (Virginia del Norte)). Además, las consultas de ejemplo utilizan un parámetro LIMIT 25 que devuelve hasta 25 registros. Puede omitir este parámetro o ajustarlo según sus preferencias. Para ver más ejemplos, consulte el GitHub directorio Amazon Security Lake OCSF Queries
Tabla de orígenes de registro
Al consultar los datos de Security Lake, debe incluir el nombre de la tabla de Lake Formation en la que residen los datos.
SELECT * FROM "amazon_security_lake_glue_db_DB_Region"."amazon_security_lake_table_DB_Region_SECURITY_LAKE_TABLE" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Los valores comunes de la tabla de orígenes de registro incluyen los siguientes:
cloud_trail_mgmt_2_0– AWS CloudTrail eventos de administraciónlambda_execution_2_0— eventos CloudTrail de datos para Lambdas3_data_2_0— eventos CloudTrail de datos para S3route53_2_0: registros de consultas de Amazon Route 53 Resolversh_findings_2_0– AWS Security Hub findingsvpc_flow_2_0— Registros de flujo de Amazon Virtual Private Cloud (AmazonVPC)eks_audit_2_0— Registros de auditoría de Amazon Elastic Kubernetes Service (Amazon) EKSwaf_2_0– AWS WAF Registros v2
Ejemplo: todos los resultados de Security Hub de la tabla sh_findings_2_0 de la región us-east-1
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Región de base de datos
Al consultar los datos de Security Lake, debe incluir el nombre de región de base de datos de la que está consultando datos. Para obtener una lista completa de las regiones de bases de datos en las que Security Lake está disponible actualmente, consulte Puntos de conexión de Amazon Security Lake.
Ejemplo: Listar la actividad de Amazon Virtual Private Cloud desde la IP de origen
El siguiente ejemplo muestra todas las VPC actividades de Amazon desde la IP de origen. 192.0.2.1 que se grabaron después 20230301 (1 de marzo de 2023), en la tabla vpc_flow_2_0 desde el us-west-2
DB_Region.
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time_dt desc LIMIT 25
Fecha de partición
La partición de los datos le permite restringir el volumen de datos que explora cada consulta, lo que mejora el rendimiento y reduce los costos. Las particiones funcionan de forma ligeramente diferente en Security Lake 2.0 en comparación con Security Lake 1.0. Security Lake ahora implementa la partición mediante time_dtregion, yaccountid. Por su parte, Security Lake 1.0 implementó la partición mediante eventDay parámetrosregion, yaccountid.
Las consultas time_dt generarán automáticamente las particiones de fecha de S3 y se pueden consultar como cualquier campo basado en el tiempo en Athena.
Este es un ejemplo de consulta que utiliza la time_dt partición para consultar los registros después del 1 de marzo de 2023:
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT 25
Los valores válidos de time_dt incluyen la siguiente información:
- Eventos ocurridos en el último año
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' YEAR - Eventos ocurridos en el último año
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' MONTH - Eventos ocurridos en los últimos 30 días
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '30' DAY - Eventos ocurridos en las últimas 12 horas
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '12' HOUR - Eventos ocurridos en los últimos 5 minutos
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '5' MINUTE - Eventos ocurridos entre hace 7 y 14 días
-
WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '14' DAY AND CURRENT_TIMESTAMP - INTERVAL '7' DAY - Eventos ocurridos en una fecha específica o después de ella
-
WHERE time_dt >= TIMESTAMP '2023-03-01'
Ejemplo: lista de toda la CloudTrail actividad desde la IP de origen a 192.0.2.1 partir del 1 de marzo de 2023 en la tabla cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay >= '20230301' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Ejemplo: lista de toda la CloudTrail actividad de la IP de origen 192.0.2.1 en los últimos 30 días en la tabla cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar) AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Consultando los observables de Security Lake
Observables es una nueva función que ahora está disponible en Security Lake 2.0. El objeto observable es un elemento fundamental que contiene información relacionada que se encuentra en muchos lugares del evento. La consulta de los observables permite a los usuarios obtener información de seguridad de alto nivel a partir de sus conjuntos de datos.
Al consultar elementos específicos dentro de los observables, puede restringir los conjuntos de datos a datos como nombres de usuario específicos, recursos UIDsIPs, hashes y otro tipo de información IOC
Este es un ejemplo de consulta que utiliza la matriz de observables para consultar los registros de las tablas VPC Flow y Route53 que contienen el valor IP «172.01.02.03»
WITH a AS (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip'), b as (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip') SELECT * FROM a LEFT JOIN b ON a.value=b.value and a.name=b.name LIMIT 25
Consultas de datos CloudTrail
AWS CloudTrail rastrea la actividad y el API uso de los usuarios en Servicios de AWS. Los suscriptores pueden consultar CloudTrail los datos para obtener los siguientes tipos de información:
Estos son algunos ejemplos de consultas de CloudTrail datos:
Intentos no autorizados contra Servicios de AWS en los últimos 7 días
SELECT time_dt, api.service.name, api.operation, api.response.error, api.response.message, api.response.data, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.response.error in ( 'Client.UnauthorizedOperation', 'Client.InvalidPermission.NotFound', 'Client.OperationNotPermitted', 'AccessDenied') ORDER BY time desc LIMIT 25
Lista de toda la CloudTrail actividad de la IP de origen 192.0.2.1 en los últimos 7 días
SELECT api.request.uid, time_dt, api.service.name, api.operation, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1.' ORDER BY time desc LIMIT 25
Lista de todas las IAM actividades de los últimos 7 días
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.service.name = 'iam.amazonaws.com' ORDER BY time desc LIMIT 25
Instancias en las que se utilizó la credencial AIDACKCEVSQ6C2EXAMPLE en los últimos 7 días
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND actor.user.credential_uid = 'AIDACKCEVSQ6C2EXAMPLE' LIMIT 25
Lista de CloudTrail registros fallidos de los últimos 7 días
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE status='failed' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Consultas para los registros de consultas del solucionador de Route 53
Los registros de consultas de Amazon Route 53 permiten realizar un seguimiento de DNS las consultas realizadas por los recursos de AmazonVPC. Los suscriptores pueden consultar los registros de consultas de Route 53 Resolver para obtener los siguientes tipos de información:
Estos son algunos ejemplos de consultas para los registros de consultas de reresolver de Route 53:
Lista de DNS consultas de los CloudTrail últimos 7 días
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Lista de DNS consultas que coinciden s3.amazonaws.com en los últimos 7 días
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE query.hostname LIKE 's3.amazonaws.com.' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Lista de DNS consultas que no se han resuelto en los últimos 7 días
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE cardinality(answers) = 0 and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Lista de DNS consultas que se resolvieron 192.0.2.1 en los últimos 7 días
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answer.rdata FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(answers) as st(answer) WHERE answer.rdata='192.0.2.1' AND time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Consultas sobre los resultados de Security Hub
Security Hub le proporciona una visión completa de su estado de seguridad en AWS y le ayuda a comparar su entorno con los estándares y las mejores prácticas del sector de la seguridad. Security Hub produce resultados para los controles de seguridad y recibe resultados de servicios de terceros.
Estos son algunos ejemplos de consultas sobre los resultados de Security Hub:
Nuevos resultados con una gravedad superior o igual a MEDIUM de los últimos 7 días
SELECT time_dt, finding_info, severity_id, status FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND severity_id >= 3 AND status = 'New' ORDER BY time DESC LIMIT 25
Resultados duplicados en los últimos 7 días
SELECT finding_info.uid, MAX(time_dt) AS time, ARBITRARY(region) AS region, ARBITRARY(accountid) AS accountid, ARBITRARY(finding_info) AS finding, ARBITRARY(vulnerabilities) AS vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY finding_info.uid LIMIT 25
Todos los resultados no informativos de los últimos 7 días
SELECT time_dt, finding_info.title, finding_info, severity FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE severity != 'Informational' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Resultados dónde el recurso es un bucket de Amazon S3 (sin restricción de tiempo)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(resources, element -> element.type = 'amzn-s3-demo-bucket') LIMIT 25
Los hallazgos con un sistema de puntuación de vulnerabilidades común (CVSS) obtienen una puntuación superior a 1 (sin restricción de tiempo)
SELECT DISTINCT finding_info.uid time_dt, metadata, finding_info, vulnerabilities, resource FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0", UNNEST(vulnerabilities) AS t(vulnerability), UNNEST(vulnerability.cve.cvss) AS t(cvs) WHERE cvs.base_score > 1.0 AND vulnerabilities is NOT NULL LIMIT 25
Hallazgos que coinciden con las vulnerabilidades y exposiciones comunes (CVE) CVE-0000-0000 (sin restricción de tiempo)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(vulnerabilities, element -> element.cve.uid = 'CVE-0000-0000') LIMIT 25
Recuento de productos que han enviado resultados desde Security Hub en los últimos 7 días
SELECT metadata.product.name, count(*) FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY metadata.product.name ORDER BY metadata.product.name DESC LIMIT 25
Recuento de los tipos de recursos incluidos en los resultados de los últimos 7 días
SELECT count(*) AS "Total", resource.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY resource.type ORDER BY count(*) DESC LIMIT 25
Paquetes vulnerables a causa de los resultados de los últimos 7 días
SELECT vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND vulnerabilities is NOT NULL LIMIT 25
Resultados que han cambiado en los últimos 7 días
SELECT status, finding_info.title, finding_info.created_time_dt, finding_info, finding_info.uid, finding_info.first_seen_time_dt, finding_info.last_seen_time_dt, finding_info.modified_time_dt FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Consultas para Amazon VPC Flow Logs
Amazon Virtual Private Cloud (AmazonVPC) proporciona detalles sobre el tráfico IP que entra y sale de las interfaces de red de suVPC.
Estos son algunos ejemplos de consultas para Amazon VPC Flow Logs:
Tráfico en específico Regiones de AWS en los últimos 7 días
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND region in ('us-east-1','us-east-2','us-west-2') LIMIT 25
Lista de actividad de la IP 192.0.2.1 y el puerto de origen 22 en los últimos 7 días
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1' AND src_endpoint.port = 22 LIMIT 25
Recuento de direcciones IP de destino distintas en los últimos 7 días
SELECT COUNT(DISTINCT dst_endpoint.ip) AS "Total" FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Tráfico originado en 198.51.100.0/24 en los últimos 7 días
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND split_part(src_endpoint.ip,'.', 1)='198'AND split_part(src_endpoint.ip,'.', 2)='51' LIMIT 25
Todo HTTPS el tráfico de los últimos 7 días
SELECT dst_endpoint.ip as dst, src_endpoint.ip as src, traffic.packets FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY dst_endpoint.ip, traffic.packets, src_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Ordenado por número de paquetes para las conexiones destinadas al puerto 443 en los últimos 7 días
SELECT traffic.packets, dst_endpoint.ip FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY traffic.packets, dst_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Todo el tráfico entre las IP 192.0.2.1 y 192.0.2.2 en los últimos 7 días
SELECT start_time_dt, end_time_dt, src_endpoint.interface_uid, connection_info.direction, src_endpoint.ip, dst_endpoint.ip, src_endpoint.port, dst_endpoint.port, traffic.packets, traffic.bytes FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND( src_endpoint.ip = '192.0.2.1' AND dst_endpoint.ip = '192.0.2.2') OR ( src_endpoint.ip = '192.0.2.2' AND dst_endpoint.ip = '192.0.2.1') ORDER BY start_time_dt ASC LIMIT 25
Todo el tráfico entrante de los últimos 7 días
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Inbound' LIMIT 25
Todo el tráfico saliente de los últimos 7 días
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Outbound' LIMIT 25
Todo el tráfico rechazado de los últimos 7 días
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND action = 'Denied' LIMIT 25
Consultas para los registros EKS de auditoría de Amazon
Amazon EKS logs rastrea la actividad del plano de control y proporciona registros de auditoría y diagnóstico directamente desde el plano de EKS control de Amazon a CloudWatch los registros de tu cuenta. Estos registros hacen que le resulte más fácil asegura y ejecutar los clústeres. Los suscriptores pueden consultar EKS los registros para obtener los siguientes tipos de información.
Estos son algunos ejemplos de consultas para los registros de EKS auditoría de Amazon:
Solicitudes a un usuario específico URL en los últimos 7 días
SELECT time_dt, actor.user.name, http_request.url.path, activity_name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'get' and http_request.url.path = '/apis/coordination.k8s.io/v1/' LIMIT 25
Actualice las solicitudes de «10.0.97.167» durante los últimos 7 días
SELECT activity_name, time_dt, api.request, http_request.url.path, src_endpoint.ip, resources FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '10.0.97.167' AND activity_name = 'Update' LIMIT 25
Solicitudes y respuestas asociadas al recurso 'kube-controller-manager' durante los últimos 7 días
SELECT activity_name, time_dt, api.request, api.response, resource.name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0", UNNEST(resources) AS t(resource) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND resource.name = 'kube-controller-manager' LIMIT 25
Consultas para AWS WAF registros de la versión 2
AWS WAF es un firewall de aplicaciones web que puede utilizar para supervisar las solicitudes web que los usuarios finales envían a sus aplicaciones y para controlar el acceso a su contenido.
Estos son algunos ejemplos de consultas para AWS WAF Registros de la versión 2:
Publica solicitudes desde una IP de origen específica durante los últimos 7 días
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, http_request.http_headers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '100.123.123.123' AND activity_name = 'Post' LIMIT 25
Solicitudes que coincidieron con un tipo de firewall MANAGED RULE _ _ GROUP durante los últimos 7 días
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.type = 'MANAGED_RULE_GROUP' LIMIT 25
Solicitudes que coincidieron con una regla de firewall REGEX en los últimos 7 días
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.condition = 'REGEX' LIMIT 25
Solicitudes de recepción denegadas para AWS credenciales que se activaron AWS WAF regla durante los últimos 7 días
SELECT time_dt, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND http_request.url.path = '/.aws/credentials' AND action = 'Denied' LIMIT 25
Recibe solicitudes de AWS Credenciales agrupadas por país durante los últimos 7 días
SELECT count(*) as Total, src_endpoint.location.country AS Country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'Get' AND http_request.url.path = '/.aws/credentials' GROUP BY src_endpoint.location.country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method
