使用CloudTrail日志进行取证分析

保护您的云基础架构免受每次攻击几乎是不可能的。如果您的云环境受到攻击,您需要立即采取行动以发现攻击者留下的线索。之后,您需要执行取证分析以将线索串联起来并找出攻击的原因。

在云环境中,日志将为您提供所需的所有线索。例如,CloudTrail记录您的Amazon Web Services(AWS)平台中发生的每个事件。但是,当涉及到日志分析时,您无法单独完成 - 从CloudTrail日志中提取最大量的信息,您需要一个云日志管理工具。

适用于AWS日志管理的Cloud Security Plus

我们自己的云管理工具Cloud Security Plus可帮助您在整个云环境中保持紧张。在检索AWS CloudTrail日志和S3服务器访问日志后,Cloud Security Plus会对其进行分析,以便您对AWS环境有深入的了解。

Cloud Security Plus还使您免于任何日志管理工具开始检索CloudTrail日志所需的繁琐配置过程。它具有自动配置功能,可为您执行所有AWS配置步骤。

Cloud Security Plus在取证分析中的作用

手动执行取证分析是开创性的。但是,凭借灵活的日志存储和高效的搜索机制,Cloud Security Plus可以改变游戏规则。

  • 根据需要存储收集的日志。存档日志是识别威胁的绝佳参考。
  • 深入了解日志数据,以使用Cloud Security Plus的快速搜索功能检索您正在查找的信息。(谢谢Elasticsearch!)
  • 确定谁领导了攻击,并查看用户在AWS中执行的所有活动。

要了解CloudTrail日志的重要性,让我们看一个例子:一家跨国云计算公司在AWS中托管其关键应用程序。他们在初始配置后无法删除的root用户凭据以某种方式落入了流氓员工的手中。该员工决定通过终止公司应用程序运行的所有服务器来破坏。

在这种情况下,Cloud Security Plus的报表可以帮助该公司找到攻击的原因。最近的EC2实例状态更改报表将提供有关终止EC2实例的所有必要详细信息。他们还可以从与终止活动相对应的日志中检索流氓员工的用户名,并使用Cloud Security Plus的搜索选项卡获取用户在AWS中执行的所有活动的详细列表。