试着使用亚马逊Elasticsearch服务的警报功能来监控AWS控制台登录

3 年 ago
清, 扬
1 minute

首先

由于在4月8日Amazon Elasticsearch Service已经实施了警报通知功能,
我尝试使用AWS CloudTrail日志来创建一个通知机制,
以便在有人登录到管理控制台时进行通知。

【参考】
・开始在Amazon Elasticsearch服务中支持事件监控和警报

利用周遭的環境

・亚马逊 Elasticsearch 服务(Elasticsearch 6.5)
※可在6.2或更高版本中使用。
※本次验证使用的是发布时的最新版本。

image.png

【参考】
尝试将AWS CloudTrail的日志转发到Amazon Elasticsearch Service并进行可视化。

设定的内容欢迎私信我提供更多的背景信息。

    1. 目的地设置

 

    1. 监视器设置

 

    触发器设置

1. 目的地的设置

image.png

【参考】
获取Slack的Webhook URL的步骤如下。

image.png

2. 监视器的设置

image.png
image.png
image.png

对于不熟悉编写Elasticsearch查询的人来说,这是一个难题。
所以,您可以在Kibana的Discover中指定所需条件,然后复制请求查询。

image.png

3. 触发器的设置

image.png

一旦检测到

image.png

总结

你觉得怎么样呢?^^ 看起来设置服务器无环境的安全监控意外简单啊!在AWS上能够进行各种设置!

本次我们通过CloudWatchLogs将CloudTrail日志导入到Amazon Elasticsearch Service中。
作为时间信息,有两个字段:@timestamp和eventTime。
– @timestamp:被索引到Amazon Elasticsearch Service的时间。
– eventTime:实际发生CloudTrail事件的时间。

有大约10分钟的时间差。这是事件发生到获取之间的延迟时间。
在像这次一样每隔5分钟监视的情况下,如果指定了事件发生时间eventTime,并在触发时激活触发器,那么可能在事件还没有被获取时就无法检测到,所以我们使用了@timestamp。

我认为未来,通过Open Distro for Elasticsearch实现的功能将逐步引入到Amazon Elasticsearch Service中,这也非常令人期待。

bannerAds