이벤트에 대한 경보 생성 추가 예 - AWS CloudTrail

이벤트에 대한 경보 생성 추가 예

AWS Identity and Access Management(IAM) 모범 사례 에 따라 AWS 액세스에 루트 사용자 계정 자격 증명을 사용하지 않는 것이 좋습니다. 대신 각 사용자에게 고유한 보안 자격 증명 세트를 부여할 수 있도록 개별 IAM 사용자를 생성해야 합니다. 또한 IAM 모범 사례에서는 중요한 리소스 또는 API에 대해 액세스 권한이 부여된 IAM 사용자를 위해 멀티 팩터 인증(MFA)을 활성화 할 것을 권장합니다.

액세스에 루트 계정 자격 증명이 사용되거나 MFA 없이 API 활동 또는 콘솔 로그인이 이루어진 경우 이에 대해 알리는 CloudWatch 경보를 생성하면 계정의 활동이 이러한 모범 사례를 준수하는지 여부를 모니터링할 수 있습니다. 본 문서에서 이 경보에 대해 설명합니다.

경보 구성은 두 가지 기본 단계로 이루어집니다.

  • 지표 필터 생성

  • 필터를 기반으로 경보 생성

예: 루트 사용 모니터링

이 시나리오에서는 AWS Management Console을 사용하여 루트 (계정) 자격 증명이 사용될 때 트리거되는 Amazon CloudWatch 경보를 생성하는 방법을 안내합니다.

지표 필터 생성

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 [Logs]를 선택합니다.

  3. 로그 그룹 목록에서 CloudTrail 로그 이벤트에 대해 생성한 로그 그룹 옆의 확인란을 선택합니다.

  4. [Create Metric Filter]를 선택합니다.

  5. [Define Logs Metric Filter] 화면에서 [Filter Pattern]을 선택하고 다음을 입력합니다.

    { $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
    참고

    CloudTrail 로그 이벤트의 지표 필터 및 패턴 구문에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서에서 필터 및 패턴 구문의 JSON 관련 섹션을 참조하십시오.

  6. [Assign Metric]을 선택한 다음 [Create Metric Filter and Assign a Metric] 화면의 [Filter Name] 상자에 RootAccountUsage를 입력합니다.

  7. [Metric Details] 아래 [Metric Namespace] 상자에 CloudTrailMetrics를 입력합니다.

  8. [Metric Name] 필드에 RootAccountUsageCount를 입력합니다.

  9. [Metric Value]를 선택한 다음 1을 입력합니다.

    참고

    [Metric Value]가 나타나지 않는 경우 먼저 [Show advanced metric settings]를 선택합니다.

  10. 모두 마쳤으면 [Create Filter]를 선택합니다.

경보 만들기

다음은 지표 필터 생성을 위한 이전 단계에서 이어지는 단계입니다.

  1. [Filters for Log_Group_Name] 페이지에서 필터 이름 옆의 [Create Alarm]을 선택합니다.

  2. [Create Alarm] 페이지에서 다음 값을 입력합니다.

    
								CloudWatch Logs Create Alarm 마법사
    설정 Value

    루트 계정 사용

    >=1

    1

    5분

    Sum

    [Select a notification list] 상자 근처의 [New list]를 선택한 다음 목록에 대해 고유한 주제 이름을 입력합니다.

    [Email list]를 선택한 다음 알림을 보낼 이메일 주소를 입력합니다. (이 경보를 생성했는지 확인하기 위해 이 주소로 이메일을 받게 됩니다.)

  3. 모두 마쳤으면 [Create Alarm]을 선택합니다.

예: 멀티 팩터 인증(MFA)을 사용하지 않은 API 활동 모니터링

이 시나리오에서는 AWS Management Console을 사용하여 멀티 팩터 인증(MFA)을 사용하지 않고 API가 호출될 때 트리거되는 Amazon CloudWatch 경보를 생성하는 방법을 안내합니다.

지표 필터 생성

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 [Logs]를 선택합니다.

  3. 로그 그룹 목록에서 CloudTrail 로그 이벤트에 대해 생성한 로그 그룹 옆의 확인란을 선택합니다.

  4. [Create Metric Filter]를 선택합니다.

  5. [Define Logs Metric Filter] 화면에서 [Filter Pattern]을 선택하고 다음을 입력합니다.

    { $.userIdentity.sessionContext.attributes.mfaAuthenticated != "true" }
    참고

    CloudTrail 로그 이벤트의 지표 필터 및 패턴 구문에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서에서 필터 및 패턴 구문의 JSON 관련 섹션을 참조하십시오.

  6. [Assign Metric]을 선택한 다음 [Create Metric Filter and Assign a Metric] 화면의 [Filter Name] 상자에 ApiActivityWithoutMFA를 입력합니다.

  7. [Metric Details] 아래 [Metric Namespace] 상자에 CloudTrailMetrics를 입력합니다.

  8. [Metric Name] 상자에 ApiActivityWithoutMFACount를 입력합니다.

  9. [Metric Value]를 선택한 다음 1을 입력합니다.

    참고

    [Metric Value]가 나타나지 않는 경우 먼저 [Show advanced metric settings]를 선택합니다.

  10. 모두 마쳤으면 [Create Filter]를 선택합니다.

경보 만들기

다음은 지표 필터 생성을 위한 이전 단계에서 이어지는 단계입니다.

  1. [Filters for Log_Group_Name] 페이지에서 필터 이름 옆의 [Create Alarm]을 선택합니다.

  2. [Create Alarm] 페이지에서 다음 값을 입력합니다.

    
								CloudWatch Logs Create Alarm 마법사
    설정 Value

    MFA를 사용하지 않은 API 활동

    >=1

    1

    5분

    Sum

    [Select a notification list] 상자 근처의 [New list]를 선택한 다음 목록에 대해 고유한 주제 이름을 입력합니다.

    [Email list]를 선택한 다음 알림을 보낼 이메일 주소를 입력합니다. (이 경보를 생성했는지 확인하기 위해 이 주소로 이메일을 받게 됩니다.)

  3. 모두 마쳤으면 [Create Alarm]을 선택합니다.

예: 멀티 팩터 인증(MFA)을 사용하지 않은 콘솔 로그인 모니터링

이 시나리오에서는 AWS Management Console을 사용하여 멀티 팩터 인증(MFA)을 사용하지 않고 콘솔 로그인이 이루어질 때 트리거되는 Amazon CloudWatch 경보를 생성하는 방법을 안내합니다.

지표 필터 생성

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 [Logs]를 선택합니다.

  3. 로그 그룹 목록에서 CloudTrail 로그 이벤트에 대해 생성한 로그 그룹 옆의 확인란을 선택합니다.

  4. [Create Metric Filter]를 선택합니다.

  5. [Define Logs Metric Filter] 화면에서 [Filter Pattern]을 선택하고 다음을 입력합니다.

    { $.eventName = "ConsoleLogin" && $.additionalEventData.MFAUsed = "No" }
    참고

    CloudTrail 로그 이벤트의 지표 필터 및 패턴 구문에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서에서 필터 및 패턴 구문의 JSON 관련 섹션을 참조하십시오.

  6. [Assign Metric]을 선택한 다음 [Create Metric Filter and Assign a Metric] 화면의 [Filter Name] 상자에 ConsoleSignInWithoutMfa를 입력합니다.

  7. [Metric Details] 아래 [Metric Namespace] 상자에 CloudTrailMetrics를 입력합니다.

  8. [Metric Name] 필드에 ConsoleSignInWithoutMfaCount를 입력합니다.

  9. [Metric Value]를 선택한 다음 1을 입력합니다.

    참고

    [Metric Value]가 나타나지 않는 경우 먼저 [Show advanced metric settings]를 선택합니다.

  10. 모두 마쳤으면 [Create Filter]를 선택합니다.

예: 경보 생성

다음은 지표 필터 생성을 위한 이전 단계에서 이어지는 단계입니다.

  1. [Filters for Log_Group_Name] 페이지에서 필터 이름 옆의 [Create Alarm]을 선택합니다.

  2. [Create Alarm] 페이지에서 다음 값을 입력합니다.

    
					   			CloudWatch Logs Create Alarm 마법사
    설정 Value

    MFA를 사용하지 않은 콘솔 로그인

    1

    1

    5분

    Sum

    [Select a notification list] 상자 근처의 [New list]를 선택한 다음 목록에 대해 고유한 주제 이름을 입력합니다.

    [Email list]를 선택한 다음 알림을 보낼 이메일 주소를 입력합니다. (이 경보를 생성했는지 확인하기 위해 이 주소로 이메일을 받게 됩니다.)

  3. 모두 마쳤으면 [Create Alarm]을 선택합니다.