CloudTrail Insightsとは
CloudTrail が異常な書き込み管理 API アクティビティを検出すると、CloudTrail により Insights events が生成され、AWS マネジメントコンソールの [ダッシュボード] ページと [インサイト] ページに表示してくれます。
対象は書き込み管理APIとなりますので、S3オブジェクトレベルのログなどは対象外となります。
CloudTrailの設定
新規に証跡を作成
今回は既に作成済みの証跡からInsightsを有効にします。
証跡をまだ作成していない時は下記を参照ください。
新規で作成するときは、”Insight イベント”項目を”はい”にすれば設定完了です。
既存の証跡にInsightsの設定
CloudTrailサービスの証跡で既存の証跡を選択して、”Insight イベント”の「編集」をクリックします。
”Insight イベント”にチェックを付けます
確認
Insightイベントを有効にしたときは、最初のイベントを取得するまでに最大36時間かかります。
また、異常なアクティビティーがあった時のみInsightイベントが配信されます。
数週間たってCloudTrailサービスのダッシュボードを確認すると、Insightイベントが取得できておりました。
それでは異常APIアクテビティーイベントを確認してみます。
今回はModifyNetworkInterfaceAttributeイベントがありましたのでリンクをクリックして詳細を確認します。
確かにModifyNetworkInterfaceAttributeのAPIコール数が急増しております。
ModifyNetworkInterfaceAttributeはネットワークインターフェースの変更で、今回はセキュリティーグループを変更することでAPIが呼び出されました。
詳細は下記を参照ください。
CloudTrail Insights の発表: 異常な API アクティビティの特定とそれへの対応
https://aws.amazon.com/jp/blogs/news/announcing-cloudtrail-insights-identify-and-respond-to-unusual-api-activity/