Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Requêtes Security Lake pour AWS version source 2 (OCSF1.1.0)
Vous pouvez interroger les données que Security Lake stocke AWS Lake Formation bases de données et tables. Vous pouvez également créer des abonnés tiers dans la console Security LakeAPI, ou AWS CLI. Les abonnés tiers peuvent également interroger les données de Lake Formation à partir des sources que vous spécifiez.
L'administrateur du lac de données de Lake Formation doit accorder SELECT des autorisations sur les bases de données et les tables pertinentes à l'IAMidentité qui interroge les données. Un abonné doit également être créé dans Security Lake pour que celui-ci puisse interroger des données. Pour plus d'informations sur la création d'un abonné avec accès aux requêtes, consultezGestion de l'accès aux requêtes pour les abonnés de Security Lake.
La section suivante fournit des conseils sur l'interrogation de données à partir de Security Lake et inclut des exemples de requêtes prises en charge en mode natif AWS sources. Ces requêtes sont conçues pour récupérer des données dans un Région AWS. Ces exemples utilisent us-east-1 (USA East (Virginie du Nord)). En outre, les exemples de requêtes utilisent un LIMIT 25 paramètre qui renvoie jusqu'à 25 enregistrements. Vous pouvez omettre ce paramètre ou le modifier en fonction de vos préférences. Pour plus d'exemples, consultez le GitHub répertoire Amazon Security Lake OCSF Queries
Table des sources du journal
Lorsque vous interrogez les données de Security Lake, vous devez inclure le nom de la table Lake Formation dans laquelle se trouvent les données.
SELECT * FROM "amazon_security_lake_glue_db_DB_Region"."amazon_security_lake_table_DB_Region_SECURITY_LAKE_TABLE" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Les valeurs courantes de la table des sources du journal sont les suivantes :
cloud_trail_mgmt_2_0– AWS CloudTrail événements de gestionlambda_execution_2_0— événements CloudTrail de données pour Lambdas3_data_2_0— événements CloudTrail de données pour S3route53_2_0— Journaux de requêtes du résolveur Amazon Route 53sh_findings_2_0– AWS Security Hub findingsvpc_flow_2_0— Journaux de flux Amazon Virtual Private Cloud (AmazonVPC)eks_audit_2_0— Journaux d'audit Amazon Elastic Kubernetes Service (Amazon) EKSwaf_2_0– AWS WAF Journaux v2
Exemple : tous les résultats du Security Hub présentés dans le tableau sh_findings_2_0 de la région us-east-1
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Région de base de données
Lorsque vous interrogez les données de Security Lake, vous devez inclure le nom de la région de base de données à partir de laquelle vous interrogez les données. Pour obtenir la liste complète des régions de base de données dans lesquelles Security Lake est actuellement disponible, consultez Amazon Security Lake endpoints.
Exemple : répertorier l'activité Amazon Virtual Private Cloud à partir de l'adresse IP source
L'exemple suivant répertorie toutes les VPC activités Amazon depuis l'adresse IP source 192.0.2.1 qui ont été enregistrés après 20230301 (01 mars 2023), dans le tableau vpc_flow_2_0 à partir du us-west-2
DB_Region.
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time_dt desc LIMIT 25
Date de partition
En partitionnant vos données, vous pouvez limiter la quantité de données numérisées par chaque requête, améliorant ainsi les performances et réduisant les coûts. Les partitions fonctionnent légèrement différemment dans Security Lake 2.0 par rapport à Security Lake 1.0. Security Lake implémente désormais le partitionnement via time_dtregion, etaccountid. Alors que Security Lake 1.0 a implémenté le partitionnement via eventDayregion, et accountid les paramètres.
L'interrogation time_dt produira automatiquement les partitions de date de S3 et peut être interrogée comme n'importe quel champ basé sur l'heure dans Athena.
Voici un exemple de requête utilisant la time_dt partition pour interroger les journaux après le 1er mars 2023 :
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT 25
Les valeurs communes pour time_dt sont les suivantes :
- Événements survenus au cours de la dernière année
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' YEAR - Événements survenus au cours du dernier mois
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' MONTH - Événements survenus au cours des 30 derniers jours
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '30' DAY - Événements survenus au cours des 12 dernières heures
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '12' HOUR - Événements survenus au cours des 5 dernières minutes
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '5' MINUTE - Événements survenus il y a 7 à 14 jours
-
WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '14' DAY AND CURRENT_TIMESTAMP - INTERVAL '7' DAY - Événements survenant à une date précise ou après
-
WHERE time_dt >= TIMESTAMP '2023-03-01'
Exemple : liste de toutes les CloudTrail activités depuis l'adresse IP source 192.0.2.1 le 1er mars 2023 ou après cette date dans le tableau cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay >= '20230301' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Exemple : liste de toutes les CloudTrail activités depuis l'adresse IP source 192.0.2.1 au cours des 30 derniers jours dans le tableau cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar) AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Interrogation des observables de Security Lake
Observables est une nouvelle fonctionnalité désormais disponible dans Security Lake 2.0. L'objet observable est un élément pivot qui contient des informations connexes trouvées à de nombreux endroits de l'événement. L'interrogation des observables permet aux utilisateurs d'obtenir des informations de sécurité de haut niveau à partir de leurs ensembles de données.
En interrogeant des éléments spécifiques dans les observables, vous pouvez limiter les ensembles de données à des éléments tels que des noms d'utilisateur spécifiques, des ressources UIDsIPs, des hachages et d'autres informations de type IOC
Voici un exemple de requête utilisant le tableau observables pour interroger les journaux des tables VPC Flow et Route53 contenant la valeur IP « 172.01.02.03 »
WITH a AS (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip'), b as (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip') SELECT * FROM a LEFT JOIN b ON a.value=b.value and a.name=b.name LIMIT 25
Requêtes de CloudTrail données
AWS CloudTrail suit l'activité et l'APIutilisation des utilisateurs dans Services AWS. Les abonnés peuvent interroger CloudTrail des données pour connaître les types d'informations suivants :
Voici quelques exemples de requêtes portant sur des CloudTrail données :
Tentatives non autorisées contre Services AWS au cours des 7 derniers jours
SELECT time_dt, api.service.name, api.operation, api.response.error, api.response.message, api.response.data, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.response.error in ( 'Client.UnauthorizedOperation', 'Client.InvalidPermission.NotFound', 'Client.OperationNotPermitted', 'AccessDenied') ORDER BY time desc LIMIT 25
Liste de toutes les CloudTrail activités depuis l'adresse IP source 192.0.2.1 au cours des 7 derniers jours
SELECT api.request.uid, time_dt, api.service.name, api.operation, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1.' ORDER BY time desc LIMIT 25
Liste de toutes les IAM activités des 7 derniers jours
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.service.name = 'iam.amazonaws.com' ORDER BY time desc LIMIT 25
Instances où l'identifiant a AIDACKCEVSQ6C2EXAMPLE été utilisé au cours des 7 derniers jours
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND actor.user.credential_uid = 'AIDACKCEVSQ6C2EXAMPLE' LIMIT 25
Liste des CloudTrail enregistrements ayant échoué au cours des 7 derniers jours
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE status='failed' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Requêtes pour les journaux de requêtes du résolveur Route 53
Les journaux de requêtes du résolveur Amazon Route 53 suivent les DNS requêtes effectuées par les ressources de votre AmazonVPC. Les abonnés peuvent consulter les journaux de requêtes du résolveur Route 53 pour connaître les types d'informations suivants :
Voici quelques exemples de requêtes pour les journaux de requêtes du résolveur Route 53 :
Liste des DNS requêtes CloudTrail des 7 derniers jours
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Liste des DNS requêtes qui correspondent s3.amazonaws.com au cours des 7 derniers jours
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE query.hostname LIKE 's3.amazonaws.com.' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Liste des DNS requêtes qui n'ont pas été résolues au cours des 7 derniers jours
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE cardinality(answers) = 0 and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Liste des DNS requêtes résolues 192.0.2.1 au cours des 7 derniers jours
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answer.rdata FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(answers) as st(answer) WHERE answer.rdata='192.0.2.1' AND time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Requêtes concernant les résultats du Security Hub
Security Hub vous fournit une vue complète de votre état de sécurité dans AWS et vous aide à vérifier que votre environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques. Security Hub produit des résultats pour les contrôles de sécurité et reçoit les résultats de services tiers.
Voici quelques exemples de requêtes concernant les résultats du Security Hub :
Nouveaux résultats présentant une gravité supérieure ou égale à celle observée MEDIUM au cours des 7 derniers jours
SELECT time_dt, finding_info, severity_id, status FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND severity_id >= 3 AND status = 'New' ORDER BY time DESC LIMIT 25
Résultats dupliqués au cours des 7 derniers jours
SELECT finding_info.uid, MAX(time_dt) AS time, ARBITRARY(region) AS region, ARBITRARY(accountid) AS accountid, ARBITRARY(finding_info) AS finding, ARBITRARY(vulnerabilities) AS vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY finding_info.uid LIMIT 25
Tous les résultats non informatifs des 7 derniers jours
SELECT time_dt, finding_info.title, finding_info, severity FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE severity != 'Informational' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Résultats indiquant que la ressource est un compartiment Amazon S3 (aucune restriction de temps)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(resources, element -> element.type = 'amzn-s3-demo-bucket') LIMIT 25
Les résultats obtenus avec un système de notation des vulnérabilités commun (CVSS) obtiennent un score supérieur à 1 (aucune restriction de temps)
SELECT DISTINCT finding_info.uid time_dt, metadata, finding_info, vulnerabilities, resource FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0", UNNEST(vulnerabilities) AS t(vulnerability), UNNEST(vulnerability.cve.cvss) AS t(cvs) WHERE cvs.base_score > 1.0 AND vulnerabilities is NOT NULL LIMIT 25
Résultats correspondant aux vulnérabilités et aux expositions courantes (CVE) CVE-0000-0000 (aucune restriction de temps)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(vulnerabilities, element -> element.cve.uid = 'CVE-0000-0000') LIMIT 25
Nombre de produits ayant envoyé des résultats depuis Security Hub au cours des 7 derniers jours
SELECT metadata.product.name, count(*) FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY metadata.product.name ORDER BY metadata.product.name DESC LIMIT 25
Nombre de types de ressources dans les résultats des 7 derniers jours
SELECT count(*) AS "Total", resource.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY resource.type ORDER BY count(*) DESC LIMIT 25
Packages vulnérables suite à des découvertes au cours des 7 derniers jours
SELECT vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND vulnerabilities is NOT NULL LIMIT 25
Résultats qui ont changé au cours des 7 derniers jours
SELECT status, finding_info.title, finding_info.created_time_dt, finding_info, finding_info.uid, finding_info.first_seen_time_dt, finding_info.last_seen_time_dt, finding_info.modified_time_dt FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Requêtes pour Amazon VPC Flow Logs
Amazon Virtual Private Cloud (AmazonVPC) fournit des informations sur le trafic IP à destination et en provenance des interfaces réseau de votreVPC.
Voici quelques exemples de requêtes pour Amazon VPC Flow Logs :
Trafic en particulier Régions AWS au cours des 7 derniers jours
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND region in ('us-east-1','us-east-2','us-west-2') LIMIT 25
Liste des activités depuis l'adresse IP 192.0.2.1 et le port source 22 au cours des 7 derniers jours
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1' AND src_endpoint.port = 22 LIMIT 25
Nombre d'adresses IP de destination distinctes au cours des 7 derniers jours
SELECT COUNT(DISTINCT dst_endpoint.ip) AS "Total" FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Trafic provenant de 198.51.100.0/24 au cours des 7 derniers jours
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND split_part(src_endpoint.ip,'.', 1)='198'AND split_part(src_endpoint.ip,'.', 2)='51' LIMIT 25
Tout HTTPS le trafic des 7 derniers jours
SELECT dst_endpoint.ip as dst, src_endpoint.ip as src, traffic.packets FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY dst_endpoint.ip, traffic.packets, src_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Classer par nombre de paquets pour les connexions destinées au port 443 au cours des 7 derniers jours
SELECT traffic.packets, dst_endpoint.ip FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY traffic.packets, dst_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Tout le trafic entre IP 192.0.2.1 et 192.0.2.2 au cours des 7 derniers jours
SELECT start_time_dt, end_time_dt, src_endpoint.interface_uid, connection_info.direction, src_endpoint.ip, dst_endpoint.ip, src_endpoint.port, dst_endpoint.port, traffic.packets, traffic.bytes FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND( src_endpoint.ip = '192.0.2.1' AND dst_endpoint.ip = '192.0.2.2') OR ( src_endpoint.ip = '192.0.2.2' AND dst_endpoint.ip = '192.0.2.1') ORDER BY start_time_dt ASC LIMIT 25
Tout le trafic entrant au cours des 7 derniers jours
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Inbound' LIMIT 25
Tout le trafic sortant au cours des 7 derniers jours
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Outbound' LIMIT 25
Tout le trafic refusé au cours des 7 derniers jours
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND action = 'Denied' LIMIT 25
Requêtes pour les journaux EKS d'audit Amazon
Amazon EKS Logs suit l'activité du plan de contrôle et fournit des journaux d'audit et de diagnostic directement depuis le plan de EKS contrôle Amazon vers CloudWatch les journaux de votre compte. Ces journaux vous permettent de sécuriser et d'exécuter facilement vos clusters. Les abonnés peuvent consulter EKS les journaux pour connaître les types d'informations suivants.
Voici quelques exemples de requêtes pour les journaux EKS d'audit Amazon :
Demandes adressées à un particulier URL au cours des 7 derniers jours
SELECT time_dt, actor.user.name, http_request.url.path, activity_name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'get' and http_request.url.path = '/apis/coordination.k8s.io/v1/' LIMIT 25
Demandes de mise à jour de '10.0.97.167' au cours des 7 derniers jours
SELECT activity_name, time_dt, api.request, http_request.url.path, src_endpoint.ip, resources FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '10.0.97.167' AND activity_name = 'Update' LIMIT 25
Demandes et réponses associées à la ressource « kube-controller-manager » au cours des 7 derniers jours
SELECT activity_name, time_dt, api.request, api.response, resource.name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0", UNNEST(resources) AS t(resource) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND resource.name = 'kube-controller-manager' LIMIT 25
Requêtes pour AWS WAF journaux de la version 2
AWS WAF est un pare-feu d'applications Web que vous pouvez utiliser pour surveiller les requêtes Web que vos utilisateurs finaux envoient à vos applications et pour contrôler l'accès à votre contenu.
Voici quelques exemples de requêtes pour AWS WAF journaux de la version 2 :
Publier des requêtes depuis une adresse IP source spécifique au cours des 7 derniers jours
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, http_request.http_headers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '100.123.123.123' AND activity_name = 'Post' LIMIT 25
Demandes correspondant à un type de pare-feu MANAGED _ RULE _ GROUP au cours des 7 derniers jours
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.type = 'MANAGED_RULE_GROUP' LIMIT 25
Demandes correspondant REGEX à une règle de pare-feu au cours des 7 derniers jours
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.condition = 'REGEX' LIMIT 25
Demandes d'obtention refusées pour AWS informations d'identification qui ont déclenché AWS WAF règle des 7 derniers jours
SELECT time_dt, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND http_request.url.path = '/.aws/credentials' AND action = 'Denied' LIMIT 25
Recevez des demandes pour AWS Informations d'identification, regroupées par pays au cours des 7 derniers jours
SELECT count(*) as Total, src_endpoint.location.country AS Country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'Get' AND http_request.url.path = '/.aws/credentials' GROUP BY src_endpoint.location.country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method
