Jejak audit - AWS Bimbingan Preskriptif
ContohTambahanCloudTraildanCloudWatchFitur log

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jejak audit

Jejak audit (atau log audit) menyediakan catatan kronologis peristiwa yang relevan dengan keamanan di akun AWS Anda. Ini mencakup peristiwa untuk Amazon RDS, yang memberikan bukti dokumenter tentang urutan aktivitas yang telah memengaruhi database Anda atau lingkungan cloud Anda. Di Amazon RDS untuk MySQL atau MariaDB, menggunakan jejak audit melibatkan:

  • Memantau log audit instans DB

  • Memantau panggilan API Amazon RDS diAWS CloudTrail

Untuk instans DB Amazon RDS, tujuan audit biasanya mencakup:

  • Mengaktifkan akuntabilitas untuk hal-hal berikut:

    • Modifikasi dilakukan pada parameter atau konfigurasi keamanan

    • Tindakan yang dilakukan dalam skema database, tabel, atau baris, atau tindakan yang memengaruhi konten tertentu

  • Deteksi dan investigasi intrusi

  • Deteksi dan investigasi aktivitas mencurigakan

  • Deteksi masalah otorisasi; misalnya, untuk mengidentifikasi pelanggaran hak akses oleh pengguna reguler atau hak istimewa

Jejak audit database mencoba menjawab pertanyaan-pertanyaan khas ini:Siapa yang melihat atau memodifikasi data sensitif di dalam database Anda? Kapan ini terjadi? Dari mana pengguna tertentu mengakses data? Apakah pengguna istimewa menyalahgunakan hak akses tak terbatas mereka?

Baik MySQL dan MariaDB menerapkan fitur jejak audit instans DB dengan menggunakan Plugin Audit MariaDB. Plugin ini mencatat aktivitas database seperti pengguna yang masuk ke database dan kueri yang berjalan melawan database. Catatan aktivitas basis data disimpan dalam berkas log. Untuk mengakses log audit, DB instance harus menggunakan grup opsi kustom dengan opsi MARIADB_AUDIT_PLUGIN . Untuk informasi lebih lanjut, lihatDukungan Plugin Audit MariaDB untuk MySQLdalam dokumentasi Amazon RDS. Catatan dalam log audit disimpan dalam format tertentu, seperti yang didefinisikan oleh plugin. Anda dapat menemukan rincian lebih lanjut tentang format log audit diDokumentasi Server MariaDB.

YangAWS Cloudjejak audit untukAWSakun disediakan olehAWS CloudTraillayanan. CloudTrail menangkap panggilan API untuk Amazon RDS sebagai acara. Semua tindakan Amazon RDS dicatat. CloudTrailmenyediakan catatan tindakan di Amazon RDS yang dilakukan oleh pengguna, peran, atau lainnyaAWSlayanan. Acara termasuk tindakan yang diambil diAWSKonsol Manajemen,AWS CLI, danAWSSDK dan API.

Contoh

Dalam skenario audit umum, Anda mungkin perlu menggabungkannyaAWS CloudTrailjejak dengan log audit database dan pemantauan peristiwa Amazon RDS. Misalnya, Anda mungkin memiliki skenario di mana parameter database instans DB Amazon RDS Anda (misalnya,database-1) telah dimodifikasi dan tugas Anda adalah mengidentifikasi siapa yang melakukan modifikasi, apa yang diubah, dan kapan perubahan terjadi.

Untuk menyelesaikan tugas, ikuti langkah-langkah ini:

  1. Buat daftar peristiwa Amazon RDS yang terjadi pada instance databasedatabase-1dan menentukan apakah ada acara dalam kategoriconfiguration changeyang memiliki pesanFinished updating DB parameter group.

    $ aws rds describe-events --source-identifier database-1 --source-type db-instance
{
    "Events": [
        {
            "SourceIdentifier": "database-1",
            "SourceType": "db-instance",
            "Message": "Finished updating DB parameter group",
            "EventCategories": [
                "configuration change"
            ],
            "Date": "2022-12-01T09:22:40.413000+00:00",
            "SourceArn": "arn:aws:rds:eu-west-3:111122223333:db:database-1"
        }
    ]
}

  2. Identifikasi grup parameter DB mana yang digunakan instance DB:

    $ aws rds describe-db-instances --db-instance-identifier database-1 --query 'DBInstances[*].[DBInstanceIdentifier,Engine,DBParameterGroups]'
[
    [
        "database-1",
        "mariadb",
        [
            {
                "DBParameterGroupName": "mariadb10-6-test",
                "ParameterApplyStatus": "pending-reboot"
            }
        ]
    ]
]

  3. GunakanAWS CLIuntuk mencariCloudTrailacaradi Wilayah dimanadatabase-1diterapkan, dalam periode waktu sekitar acara Amazon RDS yang ditemukan pada langkah 1, dan di manaEventName=ModifyDBParameterGroup.

    $ aws cloudtrail --region eu-west-3 lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=ModifyDBParameterGroup --start-time "2022-12-01, 09:00 AM" --end-time "2022-12-01, 09:30 AM"    

{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AIDACKCEVSQ6C2EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Role1",
                "accountId": "111122223333",
                "userName": "User1"
            }
        }
    },
    "eventTime": "2022-12-01T09:18:19Z",
    "eventSource": "rds.amazonaws.com",
    "eventName": "ModifyDBParameterGroup",
    "awsRegion": "eu-west-3",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "parameters": [
            {
                "isModifiable": false,
                "applyMethod": "pending-reboot",
                "parameterName": "innodb_log_buffer_size",
                "parameterValue": "8388612"
            },
            {
                "isModifiable": false,
                "applyMethod": "pending-reboot",
                "parameterName": "innodb_write_io_threads",
                "parameterValue": "8"
            }
        ],
        "dBParameterGroupName": "mariadb10-6-test"
    },
    "responseElements": {
        "dBParameterGroupName": "mariadb10-6-test"
    },
    "requestID": "fdf19353-de72-4d3d-bf29-751f375b6378",
    "eventID": "0bba7484-0e46-4e71-93a8-bd01ca8386fe",
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}

YangCloudTrailacara mengungkapkan bahwaUser1dengan peranRole1dariAWSakun 111122223333 memodifikasi grup parameter DBmariadb10-6-test, yang digunakan oleh instans DBdatabase-1di atas2022-12-01 at 09:18:19 h. Dua parameter yang dimodifikasi dan diatur ke nilai-nilai berikut:

  • innodb_log_buffer_size = 8388612

  • innodb_write_io_threads = 8

TambahanCloudTraildanCloudWatchFitur log

Anda dapat memecahkan masalah insiden operasional dan keamanan selama 90 hari terakhir dengan melihatRiwayat acarapadaCloudTrailkonsol. Untuk memperpanjang periode retensi dan memanfaatkan kemampuan kueri tambahan, Anda dapat menggunakanAWS CloudTrailDanau. DenganAWS CloudTrailSelain itu, Anda dapat menyimpan data acara di toko data acara hingga tujuh tahun. Selain itu, layanan ini mendukung kueri SQL kompleks yang menawarkan tampilan peristiwa yang lebih dalam dan lebih dapat disesuaikan daripada tampilan yang disediakan oleh pencarian kunci-nilai sederhana diRiwayat acara.

Untuk memantau jejak audit, menyetel alarm, dan mendapatkan notifikasi saat aktivitas tertentu terjadi, Anda perlumengkonfigurasiCloudTrailuntuk mengirim catatan jejaknya keCloudWatchLog. Setelah catatan jejak disimpan sebagaiCloudWatchLog, Anda dapat menentukan filter metrik untuk mengevaluasi peristiwa log agar sesuai dengan istilah, frasa, atau nilai, dan menetapkan metrik ke filter metrik. Selanjutnya, Anda dapat membuatCloudWatchalarm yang dihasilkan sesuai dengan ambang batas dan periode waktu yang Anda tentukan. Misalnya, Anda dapat mengonfigurasi alarm yang mengirim pemberitahuan ke tim yang bertanggung jawab, sehingga mereka dapat mengambil tindakan yang sesuai. Anda juga dapat mengkonfigurasiCloudWatchuntuk secara otomatis melakukan tindakan dalam menanggapi alarm.