Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Domande su Security Lake per AWS versione sorgente 2 (OCSF1.1.0)
Puoi interrogare i dati archiviati da Security Lake AWS Lake Formation database e tabelle. È inoltre possibile creare abbonati di terze parti nella console di Security LakeAPI, oppure AWS CLI. Gli abbonati di terze parti possono anche interrogare i dati di Lake Formation dalle fonti specificate.
L'amministratore del data lake Lake Formation deve concedere SELECT le autorizzazioni sui database e sulle tabelle pertinenti all'IAMidentità che interroga i dati. È inoltre necessario creare un sottoscrittore in Security Lake prima di poter interrogare i dati. Per ulteriori informazioni su come creare un sottoscrittore con accesso alle query, vedere. Gestione dell'accesso alle query per gli abbonati a Security Lake
La sezione seguente fornisce indicazioni sull'interrogazione dei dati da Security Lake e include alcuni esempi di query per il supporto nativo AWS fonti. Queste interrogazioni sono progettate per recuperare dati in uno specifico Regione AWS. Questi esempi utilizzano us-east-1 (Stati Uniti orientali (Virginia settentrionale)). Inoltre, le query di esempio utilizzano un LIMIT 25 parametro che restituisce fino a 25 record. È possibile omettere questo parametro o modificarlo in base alle proprie preferenze. Per altri esempi, consulta la GitHub directory Amazon Security Lake OCSF Queries
Tabella dei sorgenti dei log
Quando si interrogano i dati di Security Lake, è necessario includere il nome della tabella Lake Formation in cui risiedono i dati.
SELECT * FROM "amazon_security_lake_glue_db_DB_Region"."amazon_security_lake_table_DB_Region_SECURITY_LAKE_TABLE" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
I valori comuni per la tabella delle sorgenti dei log includono quanto segue:
cloud_trail_mgmt_2_0– AWS CloudTrail eventi di gestionelambda_execution_2_0— eventi CloudTrail relativi ai dati per Lambdas3_data_2_0— eventi CloudTrail relativi ai dati per S3route53_2_0— Registri delle query del resolver Amazon Route 53sh_findings_2_0– AWS Security Hub risultativpc_flow_2_0— Registri di flusso di Amazon Virtual Private Cloud (AmazonVPC)eks_audit_2_0— Registri di controllo di Amazon Elastic Kubernetes Service (Amazon) EKSwaf_2_0– AWS WAF Registri v2
Esempio: tutti i risultati del Security Hub nella tabella sh_findings_2_0 della regione us-east-1
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Regione del database
Quando si interrogano i dati di Security Lake, è necessario includere il nome della regione del database da cui si eseguono le query sui dati. Per un elenco completo delle regioni di database in cui Security Lake è attualmente disponibile, consulta Amazon Security Lake endpoints.
Esempio: elenca l'attività di Amazon Virtual Private Cloud dall'IP di origine
L'esempio seguente elenca tutte le VPC attività di Amazon dall'IP di origine 192.0.2.1 che sono stati registrati dopo 20230301 (01 marzo 2023), nella tabella vpc_flow_2_0 dal us-west-2
DB_Region.
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time_dt desc LIMIT 25
Data della partizione
Partizionando i dati, è possibile limitare la quantità di dati analizzati da ciascuna query, migliorando così le prestazioni e riducendo i costi. Le partizioni funzionano in modo leggermente diverso in Security Lake 2.0 rispetto a Security Lake 1.0. Security Lake ora implementa il partizionamento tramitetime_dt, e. region accountid Security Lake 1.0 ha invece implementato il partizionamento tramiteeventDay, e parametri. region accountid
L'interrogazione time_dt produrrà automaticamente le partizioni di data da S3 e può essere interrogata proprio come qualsiasi campo basato sull'ora in Athena.
Questo è un esempio di query che utilizza la time_dt partizione per interrogare i log dopo il 1° marzo 2023:
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT 25
I valori comuni time_dt includono quanto segue:
- Eventi verificatisi nell'ultimo anno
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' YEAR - Eventi verificatisi nell'ultimo mese
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' MONTH - Eventi verificatisi negli ultimi 30 giorni
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '30' DAY - Eventi verificatisi nelle ultime 12 ore
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '12' HOUR - Eventi che si sono verificati negli ultimi 5 minuti
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '5' MINUTE - Eventi avvenuti tra 7 e 14 giorni fa
-
WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '14' DAY AND CURRENT_TIMESTAMP - INTERVAL '7' DAY - Eventi che si verificano a partire da una data specifica
-
WHERE time_dt >= TIMESTAMP '2023-03-01'
Esempio: elenco di tutte le CloudTrail attività dall'IP 192.0.2.1 di origine a partire dal 1° marzo 2023 o dopo tale data nella tabella cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay >= '20230301' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Esempio: elenco di tutte le CloudTrail attività dall'IP di origine 192.0.2.1 negli ultimi 30 giorni nella tabella cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar) AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Interrogazione degli osservabili di Security Lake
Observables è una nuova funzionalità ora disponibile in Security Lake 2.0. L'oggetto osservabile è un elemento pivot che contiene informazioni correlate che si trovano in molti punti dell'evento. L'interrogazione degli osservabili consente agli utenti di ricavare informazioni di sicurezza di alto livello da tutti i loro set di dati.
Interrogando elementi specifici all'interno degli osservabili, puoi limitare i set di dati a cose come nomi utente specifici, risorse UIDsIPs, hash e altri tipi di informazioni IOC
Questa è una query di esempio che utilizza l'array observables per interrogare i log delle tabelle VPC Flow e Route53 contenenti il valore IP '172.01.02.03'
WITH a AS (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip'), b as (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip') SELECT * FROM a LEFT JOIN b ON a.value=b.value and a.name=b.name LIMIT 25
CloudTrail Interrogazioni di dati
AWS CloudTrail tiene traccia dell'attività e dell'APIutilizzo degli utenti in Servizi AWS. Gli abbonati possono interrogare CloudTrail i dati per conoscere i seguenti tipi di informazioni:
Ecco alcuni esempi di interrogazioni relative CloudTrail ai dati:
Tentativi non autorizzati contro Servizi AWS negli ultimi 7 giorni
SELECT time_dt, api.service.name, api.operation, api.response.error, api.response.message, api.response.data, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.response.error in ( 'Client.UnauthorizedOperation', 'Client.InvalidPermission.NotFound', 'Client.OperationNotPermitted', 'AccessDenied') ORDER BY time desc LIMIT 25
Elenco di tutte le CloudTrail attività effettuate dall'IP di origine 192.0.2.1 negli ultimi 7 giorni
SELECT api.request.uid, time_dt, api.service.name, api.operation, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1.' ORDER BY time desc LIMIT 25
Elenco di tutte le IAM attività degli ultimi 7 giorni
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.service.name = 'iam.amazonaws.com' ORDER BY time desc LIMIT 25
Istanze in cui la credenziale AIDACKCEVSQ6C2EXAMPLE è stata utilizzata negli ultimi 7 giorni
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND actor.user.credential_uid = 'AIDACKCEVSQ6C2EXAMPLE' LIMIT 25
Elenco dei CloudTrail record non riusciti negli ultimi 7 giorni
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE status='failed' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Interrogazioni per i log delle query del resolver Route 53
I log delle query resolver di Amazon Route 53 tengono traccia DNS delle query effettuate dalle risorse all'interno del tuo Amazon. VPC Gli abbonati possono interrogare i log delle query del resolver Route 53 per conoscere i seguenti tipi di informazioni:
Ecco alcuni esempi di query per i log delle query reesolver di Route 53:
Elenco delle DNS domande degli ultimi 7 giorni CloudTrail
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Elenco delle DNS domande corrispondenti s3.amazonaws.com negli ultimi 7 giorni
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE query.hostname LIKE 's3.amazonaws.com.' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Elenco di DNS domande che non sono state risolte negli ultimi 7 giorni
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE cardinality(answers) = 0 and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Elenco delle DNS domande risolte 192.0.2.1 negli ultimi 7 giorni
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answer.rdata FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(answers) as st(answer) WHERE answer.rdata='192.0.2.1' AND time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Interrogazioni relative ai risultati del Security Hub
Security Hub offre una visione completa dello stato di sicurezza in AWS e ti aiuta a controllare il tuo ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza. Security Hub produce risultati per i controlli di sicurezza e riceve risultati da servizi di terze parti.
Ecco alcuni esempi di query relative ai risultati del Security Hub:
Nuovi risultati con gravità maggiore o uguale MEDIUM a quella degli ultimi 7 giorni
SELECT time_dt, finding_info, severity_id, status FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND severity_id >= 3 AND status = 'New' ORDER BY time DESC LIMIT 25
Risultati duplicati negli ultimi 7 giorni
SELECT finding_info.uid, MAX(time_dt) AS time, ARBITRARY(region) AS region, ARBITRARY(accountid) AS accountid, ARBITRARY(finding_info) AS finding, ARBITRARY(vulnerabilities) AS vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY finding_info.uid LIMIT 25
Tutti i risultati non informativi degli ultimi 7 giorni
SELECT time_dt, finding_info.title, finding_info, severity FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE severity != 'Informational' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Risultati in cui la risorsa è un bucket Amazon S3 (nessuna limitazione di tempo)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(resources, element -> element.type = 'amzn-s3-demo-bucket') LIMIT 25
I risultati ottenuti con un Common Vulnerability Scoring System (CVSS) hanno ottenuto un punteggio superiore 1 a (nessuna limitazione di tempo)
SELECT DISTINCT finding_info.uid time_dt, metadata, finding_info, vulnerabilities, resource FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0", UNNEST(vulnerabilities) AS t(vulnerability), UNNEST(vulnerability.cve.cvss) AS t(cvs) WHERE cvs.base_score > 1.0 AND vulnerabilities is NOT NULL LIMIT 25
Risultati che corrispondono a vulnerabilità ed esposizioni comuni () (CVEnessuna limitazione temporale) CVE-0000-0000
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(vulnerabilities, element -> element.cve.uid = 'CVE-0000-0000') LIMIT 25
Numero di prodotti che hanno inviato risultati da Security Hub negli ultimi 7 giorni
SELECT metadata.product.name, count(*) FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY metadata.product.name ORDER BY metadata.product.name DESC LIMIT 25
Numero di tipi di risorse nei risultati degli ultimi 7 giorni
SELECT count(*) AS "Total", resource.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY resource.type ORDER BY count(*) DESC LIMIT 25
Pacchetti vulnerabili in base ai risultati degli ultimi 7 giorni
SELECT vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND vulnerabilities is NOT NULL LIMIT 25
Risultati che sono cambiati negli ultimi 7 giorni
SELECT status, finding_info.title, finding_info.created_time_dt, finding_info, finding_info.uid, finding_info.first_seen_time_dt, finding_info.last_seen_time_dt, finding_info.modified_time_dt FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Interrogazioni per Amazon VPC Flow Logs
Amazon Virtual Private Cloud (AmazonVPC) fornisce dettagli sul traffico IP in entrata e in uscita dalle interfacce di rete del tuoVPC.
Ecco alcuni esempi di query per Amazon VPC Flow Logs:
Traffico in particolare Regioni AWS negli ultimi 7 giorni
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND region in ('us-east-1','us-east-2','us-west-2') LIMIT 25
Elenco delle attività dall'IP di origine 192.0.2.1 e dalla porta di origine 22 negli ultimi 7 giorni
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1' AND src_endpoint.port = 22 LIMIT 25
Numero di indirizzi IP di destinazione distinti negli ultimi 7 giorni
SELECT COUNT(DISTINCT dst_endpoint.ip) AS "Total" FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Traffico proveniente da 198.51.100.0/24 negli ultimi 7 giorni
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND split_part(src_endpoint.ip,'.', 1)='198'AND split_part(src_endpoint.ip,'.', 2)='51' LIMIT 25
HTTPSTutto il traffico negli ultimi 7 giorni
SELECT dst_endpoint.ip as dst, src_endpoint.ip as src, traffic.packets FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY dst_endpoint.ip, traffic.packets, src_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Ordina per numero di pacchetti per le connessioni destinate alla porta 443 negli ultimi 7 giorni
SELECT traffic.packets, dst_endpoint.ip FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY traffic.packets, dst_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
Tutto il traffico tra IP 192.0.2.1 e 192.0.2.2 negli ultimi 7 giorni
SELECT start_time_dt, end_time_dt, src_endpoint.interface_uid, connection_info.direction, src_endpoint.ip, dst_endpoint.ip, src_endpoint.port, dst_endpoint.port, traffic.packets, traffic.bytes FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND( src_endpoint.ip = '192.0.2.1' AND dst_endpoint.ip = '192.0.2.2') OR ( src_endpoint.ip = '192.0.2.2' AND dst_endpoint.ip = '192.0.2.1') ORDER BY start_time_dt ASC LIMIT 25
Tutto il traffico in entrata negli ultimi 7 giorni
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Inbound' LIMIT 25
Tutto il traffico in uscita negli ultimi 7 giorni
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Outbound' LIMIT 25
Tutto il traffico rifiutato negli ultimi 7 giorni
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND action = 'Denied' LIMIT 25
Interrogazioni per i log di EKS controllo di Amazon
Amazon EKS Logs Track Control Plane Activity fornisce log di audit e diagnostica direttamente dal piano di EKS controllo Amazon ai CloudWatch log del tuo account. Questi log consentono di semplificare la protezione e l'esecuzione dei cluster. Gli abbonati possono interrogare i EKS log per conoscere i seguenti tipi di informazioni.
Ecco alcuni esempi di query per i log di EKS controllo di Amazon:
Richieste a una persona specifica URL negli ultimi 7 giorni
SELECT time_dt, actor.user.name, http_request.url.path, activity_name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'get' and http_request.url.path = '/apis/coordination.k8s.io/v1/' LIMIT 25
Richieste di aggiornamento provenienti da '10.0.97.167' negli ultimi 7 giorni
SELECT activity_name, time_dt, api.request, http_request.url.path, src_endpoint.ip, resources FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '10.0.97.167' AND activity_name = 'Update' LIMIT 25
Richieste e risposte associate alla risorsa 'kube-controller-manager' negli ultimi 7 giorni
SELECT activity_name, time_dt, api.request, api.response, resource.name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0", UNNEST(resources) AS t(resource) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND resource.name = 'kube-controller-manager' LIMIT 25
Domande per AWS WAF registri v2
AWS WAF è un firewall per applicazioni Web che puoi utilizzare per monitorare le richieste Web inviate dagli utenti finali alle tue applicazioni e per controllare l'accesso ai tuoi contenuti.
Ecco alcuni esempi di domande per AWS WAF registri v2:
Pubblica richieste da un IP di origine specifico negli ultimi 7 giorni
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, http_request.http_headers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '100.123.123.123' AND activity_name = 'Post' LIMIT 25
Richieste corrispondenti a un tipo di firewall MANAGED _ RULE _ negli GROUP ultimi 7 giorni
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.type = 'MANAGED_RULE_GROUP' LIMIT 25
Richieste che corrispondevano REGEX a una regola del firewall negli ultimi 7 giorni
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.condition = 'REGEX' LIMIT 25
Richieste di ricezione negate per AWS credenziali attivate AWS WAF regola negli ultimi 7 giorni
SELECT time_dt, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND http_request.url.path = '/.aws/credentials' AND action = 'Denied' LIMIT 25
Ricevi richieste per AWS Credenziali, raggruppate per Paese negli ultimi 7 giorni
SELECT count(*) as Total, src_endpoint.location.country AS Country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'Get' AND http_request.url.path = '/.aws/credentials' GROUP BY src_endpoint.location.country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method
