CloudTrail 네트워크 활동 이벤트
VPC 엔드포인트에 대한 네트워크 활동 이벤트를 통해 네트워크 내에서 리소스에 접근하는 사람의 세부 정보를 확인할 수 있어 데이터 경계 내의 악의적이거나 무단의 작업을 식별하고 대응하는 능력이 향상됩니다. 예를 들어, VPC 엔드포인트 소유자로서 VPC 엔드포인트 정책으로 인해 거부된 작업의 로그를 확인하거나 데이터 경계 외부의 행위자가 S3 버킷의 데이터에 접근하려고 하는지 여부를 확인할 수 있습니다.
네트워크 활동 이벤트를 위한 Advanced Event Selectors
네트워크 활동 이벤트를 사용할 때, advanced event selectors는 이벤트 데이터 스토어에 수집되는 CloudTrail 이벤트에 대한 더 큰 제어를 제공합니다. Advanced event selectors를 사용하면 errorCode, eventName 및 vpcEndpointId와 같은 필드에서 값을 포함하거나 제외할 수 있습니다. Advanced event selectors는 부분 문자열에 대한 패턴 매칭으로 값을 포함하거나 제외하는 것도 지원합니다. 이를 통해 비용을 절감하면서 보안, 컴플라이언스 및 운영 조사의 효율성과 정밀도를 높입니다. 예를 들어, vpcEndpointId 속성을 기반으로 CloudTrail 이벤트를 필터링하여 특정 VPC 엔드포인트 ID의 이벤트만 포함할 수 있습니다. 이를 통해 CloudTrail Lake에 수집되는 CloudTrail 이벤트의 볼륨을 크게 줄여 관련 사용자 및 시스템 활동에 대한 가시성을 유지하면서 비용을 절감할 수 있습니다.
데모: CloudTrail Lake에서의 네트워크 활동 이벤트
다음 대화형 데모에서 CloudTrail Lake에서 VPC 엔드포인트에 대한 네트워크 활동 이벤트를 사용하는 방법을 살펴보겠습니다.
CloudTrail Lake용 샘플 SQL 쿼리:
VPC 접근 거부 오류 건수
SELECT count(*) as VPCAccessDenied, userIdentity.arn,
userIdentity.accountid,
eventName,
errorMessage,
vpcEndpointId,
vpcEndpointAccountId,
sourceIPAddress
FROM $EDS_ID
WHERE eventCategory = 'NetworkActivity'
AND eventSource = 's3.amazonaws.com'
AND errorCode = 'VpceAccessDenied'
AND eventtime >= '2025-02-18 17:00:00'
AND eventtime <= '2025-02-21 17:00:00'
GROUP BY
userIdentity.arn,
userIdentity.accountid,
eventName,
errorMessage,
vpcEndpointId,
vpcEndpointAccountId,
sourceIPAddress
ORDER BY eventName DESC;
VPC 접근 거부 오류
SELECT userIdentity.arn,
userIdentity.accountid,
eventType,
eventCategory,
eventName,
errorCode,
errorMessage,
vpcEndpointId,
vpcEndpointAccountId,
sourceIPAddress
FROM $EDS_ID
WHERE eventCategory = 'NetworkActivity'
AND eventSource = 's3.amazonaws.com'
AND errorCode = 'VpceAccessDenied'
AND eventtime >= '2025-02-18 17:00:00'
AND eventtime <= '2025-02-20 17:00:00'
ORDER BY eventTime DESC;