翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Lake クエリ AWS ソースバージョン 2 (OCSF 1.1.0)
Security Lake が保存するデータをクエリできます。 AWS Lake Formation データベースとテーブル。Security Lake コンソール、、APIまたは でサードパーティーのサブスクライバーを作成することもできます。 AWS CLI。 サードパーティーのサブスクライバーは、指定したソースから Lake Formation データをクエリすることもできます。
Lake Formation データレイク管理者は、データをクエリするIAMアイデンティティに、関連するデータベースとテーブルに対するSELECT
アクセス許可を付与する必要があります。また、データをクエリする前に Security Lake にサブスクライバーを作成する必要があります。クエリ アクセスを持つサブスクライバを作成する方法の詳細については、「Security Lake サブスクライバーのクエリアクセスの管理」を参照してください。
次のセクションでは、Security Lake からのデータのクエリに関するガイダンスと、ネイティブにサポートされる のクエリ例を示します。 AWS ソース。これらのクエリは、特定の のデータを取得するように設計されています。 AWS リージョン。 これらの例では、us-east-1 (米国東部 (バージニア北部)) を使用しています。さらに、サンプルクエリでは最大 25件のレコードを返すLIMIT 25
パラメータを使用しています。このパラメーターは省略することも、好みに応じて調整することもできます。その他の例については、「Amazon Security Lake OCSF クエリ GitHub ディレクトリ
ログソーステーブル
Security Lake データをクエリするときは、データが存在する Lake Formation テーブルの名前を含める必要があります。
SELECT * FROM "amazon_security_lake_glue_db_DB_Region"."amazon_security_lake_table_DB_Region_SECURITY_LAKE_TABLE" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
ログソーステーブルの一般的な値には次のようなものがあります。
cloud_trail_mgmt_2_0
– AWS CloudTrail 管理イベントlambda_execution_2_0
– Lambda CloudTrail のデータイベントs3_data_2_0
- S3 CloudTrail のデータイベントroute53_2_0
- Amazon Route 53 Resolver クエリログsh_findings_2_0
– AWS Security Hub findingsvpc_flow_2_0
– Amazon Virtual Private Cloud (Amazon VPC) フローログeks_audit_2_0
– Amazon Elastic Kubernetes Service (Amazon EKS) 監査ログwaf_2_0
– AWS WAF v2 ログ
例:us-east-1 リージョンのテーブルsh_findings_2_0
内のすべてのSecurity Hub 結果
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
データベースリージョン
Security Lake データをクエリするときは、データのクエリ元のデータベースリージョンの名前を含める必要があります。Security Lakeが現在利用可能なデータベースリージョンの全リストについては、「Amazon Security Lake エンドポイント」を参照してください。
例: ソース IP から Amazon Virtual Private Cloud アクティビティを一覧表示する
次の例では、ソース IP からのすべての Amazon VPCアクティビティを一覧表示します。192.0.2.1
後に記録された 20230301
(2023 年 3 月 1 日)、 テーブル内 vpc_flow_2_0
からの us-west-2
DB_Region
.
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time_dt desc LIMIT 25
パーティション日付
データをパーティションすることで、各クエリによってスキャンされるデータの量を制限できるようになるため、パフォーマンスが向上し、コストが削減されます。Security Lake 2.0 では、Security Lake 1.0 とパーティションの動作が若干異なります。Security Lake は、time_dt
、、region
および によるパーティショニングを実装するようになりましたaccountid
。一方、Security Lake 1.0 では、eventDay
、、region
および accountid
パラメータによるパーティショニングを実装しました。
クエリを実行すると time_dt
S3 から自動的に日付パーティションが生成され、Athena の任意の時間ベースのフィールドと同様にクエリを実行できます。
これは、2023 年 time_dt
3 月 1 日以降に パーティションを使用してログをクエリするクエリの例です。
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt > TIMESTAMP '2023-03-01' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT 25
time_dt
の一般的な値は次の通りです。
- 過去 1 年間に発生したイベント
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' YEAR
- 過去 1 か月に発生したイベント
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '1' MONTH
- 過去 30 日間に発生したイベント
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '30' DAY
- 過去 12 時間に発生したイベント
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '12' HOUR
- 過去 5 分間に発生したイベント
-
WHERE time_dt > CURRENT_TIMESTAMP - INTERVAL '5' MINUTE
- 7 ~ 14 日前に発生したイベント
-
WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '14' DAY AND CURRENT_TIMESTAMP - INTERVAL '7' DAY
- 特定の日付以降に発生するイベント
-
WHERE time_dt >= TIMESTAMP '2023-03-01'
例: テーブルの 2023 年 3 月 1 192.0.2.1
日以降のソース IP からのすべての CloudTrail アクティビティのリスト cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay >= '
20230301
' AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
例: テーブル内の192.0.2.1
過去 30 日間のソース IP からのすべての CloudTrail アクティビティのリスト cloud_trail_mgmt_1_0
SELECT * FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0 WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '
30
' day, '%Y%m%d%H') as varchar) AND src_endpoint.ip = '192.0.2.1' ORDER BY time desc LIMIT25
Security Lake オブザーバブルのクエリ
オブザーバビリティは、Security Lake 2.0 で利用可能になった新機能です。オブザーバブルオブジェクトは、イベントの多くの場所で見つかった関連情報を含むピボット要素です。オブザーバビリティをクエリすると、ユーザーはデータセット全体から高レベルのセキュリティインサイトを取得できます。
オブザーバブル内の特定の要素をクエリすることで、データセットを特定のユーザー名、リソース、UIDs、ハッシュIPs、その他のIOCタイプ情報などのモノに制限できます。
これは、オブザーバブル配列を使用して、IP 値 '172.01.02.03' を含む VPC Flow テーブルと Route53 テーブル全体のログをクエリするクエリの例です。
WITH a AS (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip'), b as (SELECT time_dt, observable.name, observable.value FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(observables) AS t(observable) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND observable.value='172.01.02.03' AND observable.name='src_endpoint.ip') SELECT * FROM a LEFT JOIN b ON a.value=b.value and a.name=b.name LIMIT 25
CloudTrail データのクエリ
AWS CloudTrail は、 でユーザーのアクティビティとAPI使用状況を追跡します。 AWS のサービス。 サブスクライバーは CloudTrail データをクエリして、次のタイプの情報を学習できます。
データに対するクエリの例を次に示します CloudTrail 。
に対する不正な試行 AWS のサービス 過去 7 日間の
SELECT time_dt, api.service.name, api.operation, api.response.error, api.response.message, api.response.data, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.response.error in ( 'Client.UnauthorizedOperation', 'Client.InvalidPermission.NotFound', 'Client.OperationNotPermitted', 'AccessDenied') ORDER BY time desc LIMIT 25
192.0.2.1
過去 7 日間のソース IP からのすべての CloudTrail アクティビティのリスト
SELECT api.request.uid, time_dt, api.service.name, api.operation, cloud.region, actor.user.uid, src_endpoint.ip, http_request.user_agent FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1.' ORDER BY time desc LIMIT 25
過去 7 日間のすべてのIAMアクティビティのリスト
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND api.service.name = 'iam.amazonaws.com' ORDER BY time desc LIMIT 25
過去 7 AIDACKCEVSQ6C2EXAMPLE
日間に認証情報が使用されたインスタンス
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND actor.user.credential_uid = 'AIDACKCEVSQ6C2EXAMPLE' LIMIT 25
過去 7 日間の失敗した CloudTrail レコードのリスト
SELECT actor.user.uid, actor.user.uid_alt, actor.user.account.uid, cloud.region FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_cloud_trail_mgmt_2_0" WHERE status='failed' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
Route 53 リゾルバークエリログのクエリ
Amazon Route 53 リゾルバークエリログは、Amazon 内のリソースによって行われたDNSクエリを追跡しますVPC。利用者は Route 53 リゾルバーのクエリログをクエリして、次の種類の情報を確認できます。
Route 53 Reesolver クエリログのクエリ例を次に示します。
CloudTrail 過去 7 日間の からのDNSクエリのリスト
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
過去 7 日間s3.amazonaws.com
に一致するDNSクエリのリスト
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE query.hostname LIKE 's3.amazonaws.com.' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP ORDER BY time DESC LIMIT 25
過去 7 日間に解決されなかったDNSクエリのリスト
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0" WHERE cardinality(answers) = 0 and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
過去 7 日間に に解決されたDNSクエリのリスト 192.0.2.1
SELECT time_dt, src_endpoint.instance_uid, src_endpoint.ip, src_endpoint.port, query.hostname, rcode, answer.rdata FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_route53_2_0", UNNEST(answers) as st(answer) WHERE answer.rdata='192.0.2.1' AND time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Security Hub の検出結果のクエリ
Security Hub では、 のセキュリティ状態を包括的に確認できます。 AWS と は、セキュリティ業界標準とベストプラクティスに照らして環境をチェックするのに役立ちます。Security Hub はセキュリティチェック用の結果を生成し、サードパーティのサービスから結果を受け取ります。
Security Hub の検出結果に対するクエリの例を次に示します。
過去 7 日間のMEDIUM
と同等かそれ以上の新しい検出結果
SELECT time_dt, finding_info, severity_id, status FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND severity_id >= 3 AND status = 'New' ORDER BY time DESC LIMIT 25
過去 7 日間の重複する検出結果
SELECT finding_info.uid, MAX(time_dt) AS time, ARBITRARY(region) AS region, ARBITRARY(accountid) AS accountid, ARBITRARY(finding_info) AS finding, ARBITRARY(vulnerabilities) AS vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY finding_info.uid LIMIT 25
過去 7 日間の情報提供以外のすべての調査結果
SELECT time_dt, finding_info.title, finding_info, severity FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE severity != 'Informational' and time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
リソースが Amazon S3 バケットである場合の結果 (時間制限なし)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(resources, element -> element.type = 'amzn-s3-demo-bucket') LIMIT 25
Common Vulnerability Scoring System (CVSS) スコアが 1
(時間制限なし) より大きい結果
SELECT DISTINCT finding_info.uid time_dt, metadata, finding_info, vulnerabilities, resource FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0", UNNEST(vulnerabilities) AS t(vulnerability), UNNEST(vulnerability.cve.cvss) AS t(cvs) WHERE cvs.base_score > 1.0 AND vulnerabilities is NOT NULL LIMIT 25
一般的な脆弱性と露出に一致する検出結果 (CVE) CVE-0000-0000
(時間制限なし)
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE any_match(vulnerabilities, element -> element.cve.uid = 'CVE-0000-0000') LIMIT 25
過去 7 日間にSecurity Hub から結果を送信した製品の数
SELECT metadata.product.name, count(*) FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY metadata.product.name ORDER BY metadata.product.name DESC LIMIT 25
過去 7 日間の結果に含まれるリソースタイプの数
SELECT count(*) AS "Total", resource.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP GROUP BY resource.type ORDER BY count(*) DESC LIMIT 25
過去 7 日間の検出結果から得られた脆弱なパッケージ
SELECT vulnerabilities FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND vulnerabilities is NOT NULL LIMIT 25
過去 7 日間に変更された調査結果
SELECT status, finding_info.title, finding_info.created_time_dt, finding_info, finding_info.uid, finding_info.first_seen_time_dt, finding_info.last_seen_time_dt, finding_info.modified_time_dt FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_sh_findings_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
Amazon VPC Flow Logs のクエリ
Amazon Virtual Private Cloud (Amazon VPC) は、 のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細を提供しますVPC。
Amazon VPC Flow Logs のクエリの例を次に示します。
特定の のトラフィック AWS リージョン 過去 7 日間の
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND region in ('us-east-1','us-east-2','us-west-2') LIMIT 25
過去 7 日間の送信元 IP 192.0.2.1
と送信元ポート22
のアクティビティのリスト。
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '192.0.2.1' AND src_endpoint.port = 22 LIMIT 25
過去 7 日間の個別の宛先 IP アドレスの数
SELECT COUNT(DISTINCT dst_endpoint.ip) AS "Total" FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP LIMIT 25
過去 7 日間に 198.51.100.0/24 から発生したトラフィック
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND split_part(src_endpoint.ip,'.', 1)='198'AND split_part(src_endpoint.ip,'.', 2)='51' LIMIT 25
過去 7 日間のすべてのHTTPSトラフィック
SELECT dst_endpoint.ip as dst, src_endpoint.ip as src, traffic.packets FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY dst_endpoint.ip, traffic.packets, src_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
過去 7 日間のポート443
宛ての接続のパケット数順
SELECT traffic.packets, dst_endpoint.ip FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND dst_endpoint.port = 443 GROUP BY traffic.packets, dst_endpoint.ip ORDER BY traffic.packets DESC LIMIT 25
過去 7 日間の IP 192.0.2.1
と 192.0.2.2
間のすべてのトラフィック
SELECT start_time_dt, end_time_dt, src_endpoint.interface_uid, connection_info.direction, src_endpoint.ip, dst_endpoint.ip, src_endpoint.port, dst_endpoint.port, traffic.packets, traffic.bytes FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND( src_endpoint.ip = '192.0.2.1' AND dst_endpoint.ip = '192.0.2.2') OR ( src_endpoint.ip = '192.0.2.2' AND dst_endpoint.ip = '192.0.2.1') ORDER BY start_time_dt ASC LIMIT 25
過去 7 日間のすべてのインバウンドトラフィック
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Inbound' LIMIT 25
過去 7 日間のすべてのアウトバウンドトラフィック
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND connection_info.direction = 'Outbound' LIMIT 25
過去 7 日間に拒否されたすべてのトラフィック
SELECT * FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_vpc_flow_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND action = 'Denied' LIMIT 25
Amazon EKS 監査ログのクエリ
Amazon EKS Logs は、コントロールプレーンのアクティビティを追跡し、Amazon EKSコントロールプレーンからアカウントの CloudWatch ログに直接監査ログと診断ログを提供します。これらのログを使用すると、クラスターの保護と実行が容易になります。サブスクライバーはEKSログをクエリして、次のタイプの情報を学習できます。
Amazon EKS 監査ログのクエリの例を次に示します。
URL 過去 7 日間の特定の へのリクエスト
SELECT time_dt, actor.user.name, http_request.url.path, activity_name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'get' and http_request.url.path = '/apis/coordination.k8s.io/v1/' LIMIT 25
過去 7 日間の「10.0.97.167」からリクエストを更新する
SELECT activity_name, time_dt, api.request, http_request.url.path, src_endpoint.ip, resources FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '10.0.97.167' AND activity_name = 'Update' LIMIT 25
過去 7 日間のリソース 'kube-controller-manager' に関連付けられたリクエストとレスポンス
SELECT activity_name, time_dt, api.request, api.response, resource.name FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_eks_audit_2_0", UNNEST(resources) AS t(resource) WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND resource.name = 'kube-controller-manager' LIMIT 25
のクエリ AWS WAF v2 ログ
AWS WAF は、エンドユーザーがアプリケーションに送信するウェブリクエストをモニタリングし、コンテンツへのアクセスを制御するために使用できるウェブアプリケーションファイアウォールです。
のクエリの例を次に示します。 AWS WAF v2 ログ:
過去 7 日間の特定のソース IP からのリクエストを投稿する
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, http_request.http_headers FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND src_endpoint.ip = '100.123.123.123' AND activity_name = 'Post' LIMIT 25
過去 7 日間にファイアウォールタイプ MANAGED_RULE_GROUP に一致したリクエスト
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.type = 'MANAGED_RULE_GROUP' LIMIT 25
過去 7 日間にファイアウォールルールREGEXで に一致したリクエスト
SELECT time_dt, activity_name, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type, firewall_rule.condition, firewall_rule.match_location, firewall_rule.match_details, firewall_rule.rate_limit FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND firewall_rule.condition = 'REGEX' LIMIT 25
のリクエストの取得を拒否しました AWS トリガーされた 認証情報 AWS WAF 過去 7 日間の ルール
SELECT time_dt, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method, firewall_rule.uid, firewall_rule.type FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND http_request.url.path = '/.aws/credentials' AND action = 'Denied' LIMIT 25
のリクエストを取得する AWS 過去 7 日間に国ごとにグループ化された認証情報
SELECT count(*) as Total, src_endpoint.location.country AS Country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method FROM "amazon_security_lake_glue_db_us_east_1"."amazon_security_lake_table_us_east_1_waf_2_0" WHERE time_dt BETWEEN CURRENT_TIMESTAMP - INTERVAL '7' DAY AND CURRENT_TIMESTAMP AND activity_name = 'Get' AND http_request.url.path = '/.aws/credentials' GROUP BY src_endpoint.location.country, activity_name, action, src_endpoint.ip, http_request.url.path, http_request.url.hostname, http_request.http_method