gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-07 10:50:33 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-basic-information/REA

Browse Source
This commit is contained in:
Translator
2025-02-10 23:51:46 +00:00
parent 1b8a44edc3
commit 5f7ce4c76e
33 changed files with 609 additions and 899 deletions
Download Patch File Download Diff File Expand all files Collapse all files

50
src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-cloudtrail-enum.md
View File

@@ -4,7 +4,7 @@
## **CloudTrail**
AWS CloudTrail **registreer en monitor aktiwiteit binne jou AWS omgewing**. Dit vang gedetailleerde **gebeurtenis logs**, insluitend wie wat gedoen het, wanneer, en van waar, vir alle interaksies met AWS hulpbronne. Dit bied 'n oudit spoor van veranderinge en aksies, wat help met sekuriteitsanalise, nakoming ouditering, en hulpbron verandering opsporing. CloudTrail is noodsaaklik om gebruikers- en hulpbron gedrag te verstaan, sekuriteitsposisies te verbeter, en regulatoriese nakoming te verseker.
AWS CloudTrail **registreer en monitor aktiwiteit binne jou AWS omgewing**. Dit vang gedetailleerde **gebeurtenislogs**, insluitend wie wat gedoen het, wanneer, en van waar, vir alle interaksies met AWS hulpbronne. Dit bied 'n ouditspoor van veranderinge en aksies, wat help met sekuriteitsanalise, nakoming ouditering, en hulpbron verandering opvolging. CloudTrail is noodsaaklik om gebruikers- en hulpbron gedrag te verstaan, sekuriteitsposisies te verbeter, en regulatoriese nakoming te verseker.
Elke gelogde gebeurtenis bevat:
@@ -16,15 +16,15 @@ Elke gelogde gebeurtenis bevat:
- Signing.amazonaws.com - Van AWS Bestuurskonsol
- console.amazonaws.com - Wortel gebruiker van die rekening
- lambda.amazonaws.com - AWS Lambda
- Die versoek parameters: `requestParameters`
- Die versoekparameters: `requestParameters`
- Die respons elemente: `responseElements`
Gebeurtenisse word na 'n nuwe loglêer **ongeveer elke 5 minute in 'n JSON-lêer** geskryf, hulle word deur CloudTrail gehou en uiteindelik, loglêers word **aan S3 afgelewer ongeveer 15min na**.\
CloudTrail se logs kan **geaggregeer word oor rekeninge en oor streke.**\
CloudTrail laat toe om **loglêer integriteit te gebruik om te kan verifieer dat jou loglêers onveranderd gebly het** sedert CloudTrail dit aan jou afgelewer het. Dit skep 'n SHA-256 hash van die logs binne 'n digest-lêer. 'n sha-256 hash van die nuwe logs word elke uur geskep.\
Wanneer 'n Trail geskep word, sal die gebeurtenis keuses jou toelaat om die trail aan te dui om te log: Bestuur, data of insig gebeurtenisse.
Wanneer 'n Trail geskep word, sal die gebeurteniskeuses jou toelaat om die trail aan te dui om te log: Bestuur, data of insig gebeurtenisse.
Logs word in 'n S3-bucket gestoor. Standaard word Server Side Encryption (SSE-S3) gebruik, so AWS sal die inhoud ontsleutel vir die mense wat toegang het, maar vir bykomende sekuriteit kan jy SSE met KMS en jou eie sleutels gebruik.
Logs word in 'n S3-bucket gestoor. Standaard word Server Side Encryption (SSE-S3) gebruik, so AWS sal die inhoud ontsleutel vir die mense wat toegang daartoe het, maar vir addisionele sekuriteit kan jy SSE met KMS en jou eie sleutels gebruik.
Die logs word in 'n **S3-bucket met hierdie naamformaat** gestoor:
@@ -38,7 +38,7 @@ Log Lêer Naam Konvensie
![](<../../../../images/image (122).png>)
Boonop, **digest-lêers (om lêer integriteit te kontroleer)** sal binne die **dieselfde bucket** wees in:
Boonop sal **digest-lêers (om lêer integriteit te kontroleer)** binne die **dieselfde bucket** wees in:
![](<../../../../images/image (195).png>)
@@ -61,7 +61,7 @@ Wanneer 'n CloudTrail geskep word, is dit moontlik om aan te dui om cloudtrail t
Op hierdie manier kan jy CloudTrail maklik in al die streke van al die rekeninge konfigureer en die logs in 1 rekening sentraliseer (wat jy moet beskerm).
### Log Lêers Kontrole
### Loglêers Kontrole
Jy kan kontroleer dat die logs nie verander is nie deur te loop
```javascript
@@ -83,14 +83,14 @@ CloudTrail Event History laat jou toe om in 'n tabel die logs wat opgeneem is, t
### Insights
**CloudTrail Insights** analiseer outomaties **skrywe bestuur gebeurtenisse** van CloudTrail spore en **waarsku** jou oor **ongewone aktiwiteit**. Byvoorbeeld, as daar 'n toename in `TerminateInstance` gebeurtenisse is wat verskil van gevestigde baselines, sal jy dit as 'n Insight gebeurtenis sien. Hierdie gebeurtenisse maak **die vind en reaksie op ongewone API aktiwiteit makliker** as ooit.
**CloudTrail Insights** analiseer outomaties **skryfbestuur** gebeurtenisse van CloudTrail spore en **waarsku** jou oor **ongewone aktiwiteit**. Byvoorbeeld, as daar 'n toename in `TerminateInstance` gebeurtenisse is wat verskil van gevestigde baselines, sal jy dit as 'n Insight gebeurtenis sien. Hierdie gebeurtenisse maak **dit makliker om ongewone API aktiwiteit te vind en daarop te reageer** as ooit tevore.
Die insigte word in dieselfde emmer as die CloudTrail logs gestoor in: `BucketName/AWSLogs/AccountID/CloudTrail-Insight`
### Security
| CloudTrail Log File Integrity | <ul><li>Verifieer of logs gemanipuleer is (gewysig of verwyder)</li><li><p>Gebruik digest lêers (skep hash vir elke lêer)</p><ul><li>SHA-256 hashing</li><li>SHA-256 met RSA vir digitale ondertekening</li><li>privaat sleutel besit deur Amazon</li></ul></li><li>Neem 1 uur om 'n digest lêer te skep (gedoen op die uur elke uur)</li></ul> |
| Control Name | Implementation Details |
| ------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| CloudTrail Log File Integrity | <ul><li>Verifieer of logs gemanipuleer is (gewysig of verwyder)</li><li><p>Gebruik digest lêers (skep hash vir elke lêer)</p><ul><li>SHA-256 hashing</li><li>SHA-256 met RSA vir digitale ondertekening</li><li>privaat sleutel besit deur Amazon</li></ul></li><li>Neem 1 uur om 'n digest lêer te skep (gedoen op die uur elke uur)</li></ul> |
| Stop unauthorized access | <ul><li><p>Gebruik IAM beleid en S3 emmer beleid</p><ul><li>sekuriteitspan —> admin toegang</li><li>ouditeurs —> lees slegs toegang</li></ul></li><li>Gebruik SSE-S3/SSE-KMS om die logs te enkripteer</li></ul> |
| Prevent log files from being deleted | <ul><li>Beperk verwyder toegang met IAM en emmer beleid</li><li>Konfigureer S3 MFA verwydering</li><li>Verifieer met Log File Validation</li></ul> |
@@ -122,10 +122,10 @@ aws cloudtrail list-event-data-stores
aws cloudtrail list-queries --event-data-store <data-source>
aws cloudtrail get-query-results --event-data-store <data-source> --query-id <id>
```
### **CSV Injection**
### **CSV Inspuiting**
Dit is moontlik om 'n CVS-inspuiting binne CloudTrail uit te voer wat arbitrêre kode sal uitvoer as die logs in CSV uitgevoer word en met Excel oopgemaak word.\
Die volgende kode sal 'n loginskrywing genereer met 'n slegte Trail-naam wat die payload bevat:
Dit is moontlik om 'n CVS inspuiting binne CloudTrail uit te voer wat arbitrêre kode sal uitvoer as die logs in CSV uitgevoer word en met Excel oopgemaak word.\
Die volgende kode sal 'n loginskrywing genereer met 'n slegte Trail naam wat die payload bevat:
```python
import boto3
payload = "=cmd|'/C calc'|''"
@@ -148,7 +148,7 @@ Vir meer inligting oor hierdie spesifieke tegniek, kyk [https://rhinosecuritylab
### HoneyTokens **omseil**
Honeytokens word geskep om **uitvloeing van sensitiewe inligting te detecteer**. In die geval van AWS, is dit **AWS sleutels waarvan die gebruik gemonitor word**, as iets 'n aksie met daardie sleutel aktiveer, dan moet iemand daardie sleutel gesteel het.
Honeytokens word geskep om **die uitvloeiing van sensitiewe inligting te detecteer**. In die geval van AWS, is dit **AWS sleutels waarvan die gebruik gemonitor word**, as iets 'n aksie met daardie sleutel aktiveer, dan moet iemand daardie sleutel gesteel het.
E however, Honeytokens soos die wat geskep is deur [**Canarytokens**](https://canarytokens.org/generate)**,** [**SpaceCrab**](https://bitbucket.org/asecurityteam/spacecrab/issues?status=new&status=open)**,** [**SpaceSiren**](https://github.com/spacesiren/spacesiren) gebruik óf 'n herkenbare rekeningnaam óf gebruik dieselfde AWS rekening ID vir al hul kliënte. Daarom, as jy die rekeningnaam en/of rekening ID kan kry sonder om Cloudtrail enige log te laat genereer, **kan jy weet of die sleutel 'n honeytoken is of nie**.
@@ -158,7 +158,7 @@ E however, Honeytokens soos die wat geskep is deur [**Canarytokens**](https://ca
- Deur hulle meer onlangs te toets, gebruik hulle die rekening **`717712589309`** en het steeds die **`canarytokens.com`** string in die naam.
- As **`SpaceCrab`** in die rolnaam in die foutboodskap verskyn.
- **SpaceSiren** gebruik **uuids** om gebruikersname te genereer: `[a-f0-9]{8}-[a-f0-9]{4}-4[a-f0-9]{3}-[89aAbB][a-f0-9]{3}-[a-f0-9]{12}`
- As die **naam soos lukraak gegenereer lyk**, is daar 'n hoë waarskynlikheid dat dit 'n HoneyToken is.
- As die **naam lyk soos dit lukraak gegenereer is**, is daar 'n hoë waarskynlikheid dat dit 'n HoneyToken is.
#### Kry die rekening ID van die Sleutel ID
@@ -191,9 +191,9 @@ Die ding is dat die uitvoer 'n fout sal toon wat die rekening-ID en die rekening
#### AWS-dienste sonder logs
In die verlede was daar 'n paar **AWS-dienste wat nie logs na CloudTrail stuur nie** (vind 'n [lys hier](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html)). Sommige van daardie dienste sal **reageer** met 'n **fout** wat die **ARN van die sleutelrol** bevat as iemand ongeoorloof (die honeytoken-sleutel) probeer om toegang te verkry.
In die verlede was daar 'n paar **AWS-dienste wat nie logs na CloudTrail gestuur het nie** (vind 'n [lys hier](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html)). Sommige van daardie dienste sal **antwoordgee** met 'n **fout** wat die **ARN van die sleutelrol** bevat as iemand ongeoorloof (die honeytoken-sleutel) probeer om toegang te verkry.
Op hierdie manier kan 'n **aanvaller die ARN van die sleutel verkry sonder om enige log te aktiveer**. In die ARN kan die aanvaller die **AWS-rekening-ID en die naam** sien, dit is maklik om die HoneyToken se maatskappy se rekening-ID en name te ken, so op hierdie manier kan 'n aanvaller identifiseer of die token 'n HoneyToken is.
Op hierdie manier kan 'n **aanvaller die ARN van die sleutel verkry sonder om enige log te aktiveer**. In die ARN kan die aanvaller die **AWS-rekening-ID en die naam** sien, dit is maklik om die HoneyToken se maatskappy-rekeninge se ID's en name te ken, so op hierdie manier kan 'n aanvaller identifiseer of die token 'n HoneyToken is.
![](<../../../../images/image (93).png>)
@@ -204,7 +204,7 @@ Op hierdie manier kan 'n **aanvaller die ARN van die sleutel verkry sonder om en
### Toegang tot Derde Infrastruktuur
Sekere AWS-dienste sal **'n bietjie infrastruktuur** genereer soos **Databasisse** of **Kubernetes** klusters (EKS). 'n Gebruiker wat **direk met daardie dienste praat** (soos die Kubernetes API) **sal nie die AWS API gebruik nie**, so CloudTrail sal nie in staat wees om hierdie kommunikasie te sien nie.
Sekere AWS-dienste sal **sekere infrastruktuur** genereer soos **Databasisse** of **Kubernetes** klusters (EKS). 'n Gebruiker wat **direk met daardie dienste praat** (soos die Kubernetes API) **sal nie die AWS API gebruik nie**, so CloudTrail sal nie in staat wees om hierdie kommunikasie te sien nie.
Daarom kan 'n gebruiker met toegang tot EKS wat die URL van die EKS API ontdek het, 'n token plaaslik genereer en **direk met die API-diens praat sonder om deur Cloudtrail opgespoor te word**.
@@ -236,20 +236,20 @@ aws cloudtrail put-event-selectors --trail-name <trail_name> --event-selectors '
# Remove all selectors (stop Insights)
aws cloudtrail put-event-selectors --trail-name <trail_name> --event-selectors '[]' --region <region>
```
In die eerste voorbeeld word 'n enkele gebeurtenis selektor as 'n JSON-array met 'n enkele objek verskaf. Die `"ReadWriteType": "ReadOnly"` dui aan dat die **gebeurtenis selektor slegs lees-slegs gebeurtenisse moet vasvang** (so CloudTrail insigte **sal nie skryf** gebeurtenisse nagaan nie).
In die eerste voorbeeld word 'n enkele gebeurteniskeuse as 'n JSON-array met 'n enkele objek voorsien. Die `"ReadWriteType": "ReadOnly"` dui aan dat die **gebeurteniskeuse slegs lees-slegs gebeurtenisse moet vasvang** (so CloudTrail insigte **sal nie skryf** gebeurtenisse nagaan nie).
Jy kan die gebeurtenis selektor aanpas op grond van jou spesifieke vereistes.
Jy kan die gebeurteniskeuse aanpas op grond van jou spesifieke vereistes.
#### Logs verwydering via S3 lewensiklusbeleid
```bash
aws s3api put-bucket-lifecycle --bucket <bucket_name> --lifecycle-configuration '{"Rules": [{"Status": "Enabled", "Prefix": "", "Expiration": {"Days": 7}}]}' --region <region>
```
### Modifisering van Emmer Konfigurasie
### Modifying Bucket Configuration
- Verwyder die S3-emmer
- Verander emmerbeleid om enige skrywe van die CloudTrail-diens te weier
- Voeg lewensiklusbeleid by S3-emmer om voorwerpe te verwyder
- Deaktiveer die kms-sleutel wat gebruik word om die CloudTrail-logs te enkripteer
- Verwyder die S3-bucket
- Verander die bucket-beleid om enige skrywe van die CloudTrail-diens te weier
- Voeg 'n lewensiklusbeleid by die S3-bucket om voorwerpe te verwyder
- Deaktiveer die kms-sleutel wat gebruik word om die CloudTrail-logboek te enkripteer
### Cloudtrail ransomware
@@ -270,7 +270,7 @@ Dit is 'n maklike manier om die vorige aanval met verskillende toestemmingsverei
../../aws-post-exploitation/aws-kms-post-exploitation.md
{{#endref}}
## **Verwysings**
## **References**
- [https://cloudsecdocs.com/aws/services/logging/cloudtrail/#inventory](https://cloudsecdocs.com/aws/services/logging/cloudtrail/#inventory)

72
src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-cloudwatch-enum.md
View File

@@ -8,7 +8,7 @@
CloudWatch Log Gebeurtenis het 'n **grootte beperking van 256KB op elke loglyn**.\
Dit kan **hoë resolusie alarms** stel, **logs** en **metrieke** langs mekaar visualiseer, outomatiese aksies neem, probleme oplos, en insigte ontdek om toepassings te optimaliseer.
Jy kan byvoorbeeld logs van CloudTrail monitor. Gebeurtenisse wat gemonitor word:
U kan byvoorbeeld logs van CloudTrail monitor. Gebeurtenisse wat gemonitor word:
- Veranderinge aan Sekuriteitsgroepe en NACLs
- Begin, Stop, herbegin en beëindig EC2 instansies
@@ -27,7 +27,7 @@ Jy kan byvoorbeeld logs van CloudTrail monitor. Gebeurtenisse wat gemonitor word
### Metrieke
Metrieke is datapunte wat oor tyd versamel word en die prestasie of benutting van AWS hulpbronne verteenwoordig. Metrieke kan van AWS dienste, pasgemaakte toepassings, of derdeparty integrasies versamel word.
Metrieke is datapunten wat oor tyd versamel word en die prestasie of benutting van AWS hulpbronne verteenwoordig. Metrieke kan van AWS dienste, pasgemaakte toepassings, of derdeparty integrasies versamel word.
- **Voorbeeld**: CPUUtilization, NetworkIn, DiskReadOps.
@@ -35,7 +35,7 @@ Metrieke is datapunte wat oor tyd versamel word en die prestasie of benutting va
Dimensies is sleutel-waarde pare wat deel van metrieke is. Dit help om 'n metriek uniek te identifiseer en bied addisionele konteks, met 30 die maksimum aantal dimensies wat aan 'n metriek gekoppel kan word. Dimensies laat ook toe om metrieke te filter en te aggregeer op grond van spesifieke eienskappe.
- **Voorbeeld**: Vir EC2 instansies kan dimensies InstanceId, InstanceType, en AvailabilityZone insluit.
- **Voorbeeld**: Vir EC2 instansies, dimensies kan InstanceId, InstanceType, en AvailabilityZone insluit.
### Statistieke
@@ -64,11 +64,11 @@ Eenhede is die meting tipe wat aan 'n metriek gekoppel is. Eenhede help om konte
- 'n Enkele dashboard wat sleutelmetrieke vir jou hele AWS omgewing toon, insluitend EC2 instansies, RDS databasisse, en S3 emmers.
### Metriek Stroom en Metriek Data
### Metriekstroom en Metriekdata
**Metriek Strome** in AWS CloudWatch stel jou in staat om CloudWatch metrieke voortdurend na 'n bestemming van jou keuse in byna regte tyd te stroom. Dit is veral nuttig vir gevorderde monitering, analise, en pasgemaakte dashboards wat gereedskap buite AWS gebruik.
**Metriekstrome** in AWS CloudWatch stel jou in staat om CloudWatch metrieke voortdurend na 'n bestemming van jou keuse in byna regte tyd te stroom. Dit is veral nuttig vir gevorderde monitering, analise, en pasgemaakte dashboards wat gereedskap buite AWS gebruik.
**Metriek Data** binne Metriek Strome verwys na die werklike metings of datapunte wat gestroom word. Hierdie datapunte verteenwoordig verskillende metrieke soos CPU benutting, geheue gebruik, ens., vir AWS hulpbronne.
**Metriekdata** binne Metriekstrome verwys na die werklike metings of datapunten wat gestroom word. Hierdie datapunten verteenwoordig verskillende metrieke soos CPU benutting, geheue gebruik, ens., vir AWS hulpbronne.
**Voorbeeld Gebruik Geval**:
@@ -83,7 +83,7 @@ Eenhede is die meting tipe wat aan 'n metriek gekoppel is. Eenhede help om konte
- **Drempel**: Die waarde waarop die alarm geaktiveer word.
- **Evaluasieperiodes**: Die aantal periodes waaroor data geëvalueer word.
- **Datapunte om Alarm**: Die aantal periodes met 'n bereik drempel wat nodig is om die alarm te aktiveer.
- **Datapunten om Alarm**: Die aantal periodes met 'n bereik drempel wat nodig is om die alarm te aktiveer.
- **Aksies**: Wat gebeur wanneer 'n alarmtoestand geaktiveer word (bv. kennisgewing via SNS).
**Voorbeeld Gebruik Geval**:
@@ -92,37 +92,37 @@ Eenhede is die meting tipe wat aan 'n metriek gekoppel is. Eenhede help om konte
### Anomalie Detektors
**Anomalie Detektors** gebruik masjienleer om outomaties anomalieë in jou metrieke te detecteer. Jy kan anomalie detectie op enige CloudWatch metriek toepas om afwykings van normale patrone te identifiseer wat probleme kan aandui.
**Anomalie Detektors** gebruik masjienleer om outomaties anomalieë in jou metrieke te detecteer. U kan anomaliedetektering op enige CloudWatch metriek toepas om afwykings van normale patrone te identifiseer wat probleme kan aandui.
**Sleutel Komponente**:
- **Model Opleiding**: CloudWatch gebruik historiese data om 'n model op te lei en te bepaal wat normale gedrag lyk.
- **Anomalie Detectie Band**: 'n Visuele voorstelling van die verwagte reeks waardes vir 'n metriek.
- **Modelopleiding**: CloudWatch gebruik historiese data om 'n model op te lei en te bepaal hoe normale gedrag lyk.
- **Anomalie Deteksieband**: 'n Visuele voorstelling van die verwagte reeks waardes vir 'n metriek.
**Voorbeeld Gebruik Geval**:
- Die opsporing van ongewone CPU benutting patrone in 'n EC2 instansie wat 'n sekuriteitsbreuk of toepassingsprobleem kan aandui.
### Inligting Reëls en Gemanagte Inligting Reëls
### Inligtingsreëls en Gemanageerde Inligtingsreëls
**Inligting Reëls** stel jou in staat om tendense te identifiseer, pieke te detecteer, of ander patrone van belang in jou metriekdata te identifiseer deur **kragtige wiskundige uitdrukkings** te gebruik om die toestande te definieer waaronder aksies geneem moet word. Hierdie reëls kan jou help om anomalieë of ongewone gedrag in jou hulpbronprestasie en benutting te identifiseer.
**Inligtingsreëls** stel jou in staat om tendense te identifiseer, pieke of ander patrone van belang in jou metriekdata te detecteer deur **kragtige wiskundige uitdrukkings** te gebruik om die toestande te definieer waaronder aksies geneem moet word. Hierdie reëls kan jou help om anomalieë of ongewone gedrag in jou hulpbronprestasie en benutting te identifiseer.
**Gemanagte Inligting Reëls** is vooraf-gekonfigureerde **inligting reëls wat deur AWS verskaf word**. Hulle is ontwerp om spesifieke AWS dienste of algemene gebruiksgevalle te monitor en kan geaktiveer word sonder om gedetailleerde konfigurasie te benodig.
**Gemanageerde Inligtingsreëls** is vooraf-gekonfigureerde **inligtingsreëls wat deur AWS verskaf word**. Hulle is ontwerp om spesifieke AWS dienste of algemene gebruiksgevalle te monitor en kan geaktiveer word sonder om gedetailleerde konfigurasie te benodig.
**Voorbeeld Gebruik Geval**:
- Monitor RDS Prestasie: Aktiveer 'n gemanagte inligting reël vir Amazon RDS wat sleutelprestasie-aanwysers soos CPU benutting, geheue gebruik, en skyf I/O monitor. As enige van hierdie metrieke veilige operasionele drempels oorskry, kan die reël 'n waarskuwing of outomatiese mitigasie aksie aktiveer.
- Monitor RDS Prestasie: Aktiveer 'n gemanageerde inligtingsreël vir Amazon RDS wat sleutelprestasie-indikators soos CPU benutting, geheue gebruik, en skyf I/O monitor. As enige van hierdie metrieke veilige operasionele drempels oorskry, kan die reël 'n waarskuwing of outomatiese mitigering aksie aktiveer.
### CloudWatch Logs <a href="#cloudwatch-logs" id="cloudwatch-logs"></a>
Laat toe om **logs van toepassings** en stelsels van **AWS dienste** (insluitend CloudTrail) en **van toepassings/stelsels** (**CloudWatch Agent** kan op 'n gasheer geïnstalleer word) te **aggregeer en te monitor**. Logs kan **onbeperk gestoor** word (afhangende van die Log Groep instellings) en kan uitgevoer word.
**Elemente**:
| **Log Groep** | 'n **versameling van log strome** wat dieselfde retensie, monitering, en toegangbeheer instellings deel |
| Term | Definisie |
| ------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Log Groep** | 'n **versameling van log strome** wat dieselfde retensie, monitering, en toegangbeheer instellings deel |
| **Log Stroom** | 'n reeks van **log gebeurtenisse** wat die **dieselfde bron** deel |
| **Subskripsie Filters** | Definieer 'n **filterpatroon wat gebeurtenisse** in 'n spesifieke log groep pas, stuur dit na Kinesis Data Firehose stroom, Kinesis stroom, of 'n Lambda funksie |
| **Subskripsiefilters** | Definieer 'n **filterpatroon wat gebeurtenisse** in 'n spesifieke loggroep pas, stuur dit na Kinesis Data Firehose stroom, Kinesis stroom, of 'n Lambda funksie |
### CloudWatch Monitering & Gebeurtenisse
@@ -131,15 +131,15 @@ In daardie geval kan CloudWatch voorberei wees om 'n gebeurtenis te stuur en som
### Agent Installasie
Jy kan agente binne jou masjiene/tenks installeer om outomaties die logs terug na CloudWatch te stuur.
U kan agente binne u masjiene/tenks installeer om outomaties die logs terug na CloudWatch te stuur.
- **Skep** 'n **rol** en **heg** dit aan die **instansie** met toestemmings wat CloudWatch toelaat om data van die instansies te versamel benewens om met AWS stelsels bestuurder SSM te kommunikeer (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)
- **Laai** en **installeer** die **agent** op die EC2 instansie ([https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip](https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip)). Jy kan dit van binne die EC2 aflaai of dit outomaties installeer met AWS Stelsels Bestuurder deur die pakket AWS-ConfigureAWSPackage te kies.
- **Laai** en **installeer** die **agent** op die EC2 instansie ([https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip](https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip)). U kan dit van binne die EC2 aflaai of dit outomaties installeer met behulp van AWS Stelselsbestuurder deur die pakket AWS-ConfigureAWSPackage te kies.
- **Konfigureer** en **begin** die CloudWatch Agent
'n log groep het baie strome. 'n stroom het baie gebeurtenisse. En binne elke stroom is die gebeurtenisse gewaarborg om in volgorde te wees.
'n Log groep het baie strome. 'n Stroom het baie gebeurtenisse. En binne elke stroom is die gebeurtenisse gewaarborg om in volgorde te wees.
## Enumerasie
## Enumeration
```bash
# Dashboards #
@@ -227,7 +227,7 @@ aws cloudwatch put-composite-alarm --alarm-name <value> --alarm-rule <value> [--
Die volgende voorbeeld toon hoe om 'n metriek alarm ondoeltreffend te maak:
- Hierdie metriek alarm monitor die gemiddelde CPU benutting van 'n spesifieke EC2 instansie, evalueer die metriek elke 300 sekondes en vereis 6 evaluasieperiodes (30 minute in totaal). As die gemiddelde CPU benutting 60% oorskry vir ten minste 4 van hierdie periodes, sal die alarm geaktiveer word en 'n kennisgewing na die gespesifiseerde SNS onderwerp stuur.
- Deur die Drempel aan te pas om meer as 99% te wees, die Periode op 10 sekondes te stel, die Evaluasieperiodes op 8640 (aangesien 8640 periodes van 10 sekondes gelyk is aan 1 dag), en die Datapunte na Alarm ook op 8640 te stel, sal dit nodig wees dat die CPU benutting elke 10 sekondes oor 99% moet wees gedurende die hele 24-uur periode om 'n alarm te aktiveer.
- Deur die Drempel aan te pas om meer as 99% te wees, die Periode op 10 sekondes te stel, die Evaluasieperiodes op 8640 (aangesien 8640 periodes van 10 sekondes gelyk is aan 1 dag), en die Datapunte na Alarm ook op 8640, sal dit nodig wees dat die CPU benutting elke 10 sekondes oor 99% moet wees deur die hele 24-uur periode om 'n alarm te aktiveer.
{{#tabs }}
{{#tab name="Original Metric Alarm" }}
@@ -279,13 +279,13 @@ Die volgende voorbeeld toon hoe om 'n metriek alarm ondoeltreffend te maak:
{{#endtab }}
{{#endtabs }}
**Potensiële Impak**: Gebrek aan kennisgewings vir kritieke gebeurtenisse, potensiële onopgemerkte probleme, vals waarskuwings, onderdruk werklike waarskuwings en potensieel gemiste opsporings van werklike voorvalle.
**Potensiële Impak**: Gebrek aan kennisgewings vir kritieke gebeurtenisse, potensiële onopgemerkte probleme, vals waarskuwings, onderdruk werklike waarskuwings en moontlik gemiste opsporings van werklike voorvalle.
### **`cloudwatch:DeleteAlarmActions`, `cloudwatch:EnableAlarmActions` , `cloudwatch:SetAlarmState`**
Deur alarm aksies te verwyder, kan die aanvaller kritieke waarskuwings en geoutomatiseerde reaksies voorkom wanneer 'n alarmtoestand bereik word, soos om administrateurs te kennisgewing of om outo-skaalaktiwiteite te aktiveer. Onbehoorlike aktivering of heraktivering van alarm aksies kan ook lei tot onverwagte gedrag, hetsy deur voorheen gedeaktiveerde aksies te heraktiveer of deur te verander watter aksies geaktiveer word, wat potensieel verwarring en misleiding in voorvalreaksie kan veroorsaak.
Deur alarm aksies te verwyder, kan die aanvaller kritieke waarskuwings en outomatiese reaksies voorkom wanneer 'n alarmtoestand bereik word, soos om administrateurs te kennisgewing of outo-skaalaktiwiteite te aktiveer. Onbehoorlike aktivering of heraktivering van alarm aksies kan ook lei tot onverwagte gedrag, hetsy deur voorheen gedeaktiveerde aksies te heraktiveer of deur te verander watter aksies geaktiveer word, wat moontlik verwarring en verkeerde rigting in voorvalreaksie kan veroorsaak.
Boonop kan 'n aanvaller met die toestemming alarmtoestande manipuleer, in staat om vals alarms te skep om administrateurs te aflei en te verwarr, of om werklike alarms te stil om aanhoudende kwaadwillige aktiwiteite of kritieke stelselfoute te verberg.
Boonop kan 'n aanvaller met die toestemming alarmtoestande manipuleer, in staat om vals alarms te skep om administrateurs te aflei en te verwarr, of werklike alarms te stil om aanhoudende kwaadwillige aktiwiteite of kritieke stelselfoute te verberg.
- As jy **`SetAlarmState`** op 'n saamgestelde alarm gebruik, is dit nie gewaarborg dat die saamgestelde alarm na sy werklike toestand terugkeer nie. Dit keer terug na sy werklike toestand slegs wanneer enige van sy kinderalarms toestand verander. Dit word ook herbeoordeel as jy sy konfigurasie opdateer.
```bash
@@ -297,7 +297,7 @@ aws cloudwatch set-alarm-state --alarm-name <value> --state-value <OK | ALARM |
### **`cloudwatch:DeleteAnomalyDetector`, `cloudwatch:PutAnomalyDetector`**
'n Aanvaller sou in staat wees om die vermoë om ongebruikelijke patrone of anomalieë in metrieke data op te spoor en daarop te reageer, te kompromitteer. Deur bestaande anomaliedetektore te verwyder, kan 'n aanvaller kritieke waarskuwingmeganismes deaktiveer; en deur hulle te skep of te wysig, sou dit in staat wees om ofwel verkeerd te konfigureer of vals positiewe te skep om die monitering te aflei of te oorweldig.
'n Aanvaller sou in staat wees om die vermoë om ongewoon patrone of anomalieë in metrieke data op te spoor en daarop te reageer, te kompromitteer. Deur bestaande anomaliedetektore te verwyder, kan 'n aanvaller kritieke waarskuwingmeganismes deaktiveer; en deur hulle te skep of te wysig, sou dit in staat wees om ofwel verkeerd te konfigureer of vals positiewe te skep om die monitering te verwar of te oorweldig.
```bash
aws cloudwatch delete-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value>]
aws cloudwatch put-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value> --configuration <value> --metric-characteristics <value>]
@@ -355,7 +355,7 @@ Die volgende voorbeeld toon hoe om 'n metrieke anomalie-detektor ondoeltreffend
### **`cloudwatch:DeleteDashboards`, `cloudwatch:PutDashboard`**
'n Aanvaller sou in staat wees om die monitering en visualisering vermoëns van 'n organisasie te kompromitteer deur sy dashboards te skep, te wysig of te verwyder. Hierdie toestemmings kan benut word om kritieke sigbaarheid in die prestasie en gesondheid van stelsels te verwyder, dashboards te verander om verkeerde data te vertoon of kwaadwillige aktiwiteite te verberg.
'n Aanvaller sou in staat wees om die monitering en visualisering vermoëns van 'n organisasie te benadeel deur sy dashboards te skep, te wysig of te verwyder. Hierdie toestemmings kan benut word om kritieke sigbaarheid in die prestasie en gesondheid van stelsels te verwyder, dashboards te verander om verkeerde data te vertoon of kwaadwillige aktiwiteite te verberg.
```bash
aws cloudwatch delete-dashboards --dashboard-names <value>
aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>
@@ -364,17 +364,17 @@ aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>
### **`cloudwatch:DeleteInsightRules`, `cloudwatch:PutInsightRule` ,`cloudwatch:PutManagedInsightRule`**
Insight-reëls word gebruik om anomalieë te detecteer, prestasie te optimaliseer en hulpbronne effektief te bestuur. Deur bestaande insight-reëls te verwyder, kan 'n aanvaller kritieke moniteringsvermoëns verwyder, wat die stelsel blind laat vir prestasieprobleme en sekuriteitsbedreigings. Boonop kan 'n aanvaller insight-reëls skep of wysig om misleidende data te genereer of kwaadwillige aktiwiteite te verberg, wat lei tot onakkurate diagnosering en onvanpaste reaksies van die operasiespan.
Inligtingsreëls word gebruik om anomalieë te detecteer, prestasie te optimaliseer en hulpbronne effektief te bestuur. Deur bestaande inligtingsreëls te verwyder, kan 'n aanvaller kritieke moniteringsvermoëns verwyder, wat die stelsel blind laat vir prestasieprobleme en sekuriteitsbedreigings. Boonop kan 'n aanvaller inligtingsreëls skep of wysig om misleidende data te genereer of kwaadwillige aktiwiteite te verberg, wat lei tot onakkurate diagnosering en onvanpaste reaksies van die operasiespan.
```bash
aws cloudwatch delete-insight-rules --rule-names <value>
aws cloudwatch put-insight-rule --rule-name <value> --rule-definition <value> [--rule-state <value>]
aws cloudwatch put-managed-insight-rules --managed-rules <value>
```
**Potensiële Impak**: Moeilikheid om prestasieprobleme en anomalië op te spoor en daarop te reageer, verkeerd ingeligte besluitneming en moontlik die verborge van kwaadwillige aktiwiteite of stelselfoute.
**Potensiële Impak**: Moeilikheid om prestasieprobleme en anomalieë te detecteer en daarop te reageer, verkeerd ingeligte besluitneming en moontlik die verborge van kwaadwillige aktiwiteite of stelselfoute.
### **`cloudwatch:DisableInsightRules`, `cloudwatch:EnableInsightRules`**
Deur kritieke insigreëls te deaktiveer, kan 'n aanvaller die organisasie effektief blind maak vir sleutelprestasie- en sekuriteitsmetrieks. Omgekeerd, deur misleidende reëls in te skakel of te konfigureer, kan dit moontlik wees om vals data te genereer, geraas te skep, of kwaadwillige aktiwiteit te verberg.
Deur kritieke insigreëls te deaktiveer, kan 'n aanvaller die organisasie effektief blind maak vir sleutelprestasie- en sekuriteitsmetrieke. Omgekeerd, deur misleidende reëls in te skakel of te konfigureer, kan dit moontlik wees om vals data te genereer, geraas te skep, of kwaadwillige aktiwiteit te verberg.
```bash
aws cloudwatch disable-insight-rules --rule-names <value>
aws cloudwatch enable-insight-rules --rule-names <value>
@@ -383,13 +383,13 @@ aws cloudwatch enable-insight-rules --rule-names <value>
### **`cloudwatch:DeleteMetricStream` , `cloudwatch:PutMetricStream` , `cloudwatch:PutMetricData`**
'n Aanvaller met die **`cloudwatch:DeleteMetricStream`** , **`cloudwatch:PutMetricStream`** toestemmings sou in staat wees om metriekdata-strome te skep en te verwyder, wat die sekuriteit, monitering en data-integriteit in gevaar stel:
'n Aanvaller met die **`cloudwatch:DeleteMetricStream`** , **`cloudwatch:PutMetricStream`** regte sou in staat wees om metrieke data strome te skep en te verwyder, wat die sekuriteit, monitering en data integriteit in gevaar stel:
- **Skep kwaadwillige strome**: Skep metriekstrome om sensitiewe data na ongeoorloofde bestemmings te stuur.
- **Hulpbron manipulasie**: Die skep van nuwe metriekstrome met oormatige data kan baie geraas veroorsaak, wat onakkurate waarskuwings veroorsaak en werklike probleme verdoesel.
- **Monitering onderbreking**: Deur metriekstrome te verwyder, sou aanvallers die deurlopende vloei van moniteringsdata onderbreek. Op hierdie manier sou hul kwaadwillige aktiwiteite effektief verborge wees.
- **Skep kwaadwillige strome**: Skep metrieke strome om sensitiewe data na nie-geautoriseerde bestemmings te stuur.
- **Hulpbron manipulasie**: Die skepping van nuwe metrieke strome met oormatige data kan baie geraas veroorsaak, wat onakkurate waarskuwings veroorsaak en werklike probleme verdoesel.
- **Monitering onderbreking**: Deur metrieke strome te verwyder, sou aanvallers die deurlopende vloei van moniteringsdata onderbreek. Op hierdie manier sou hul kwaadwillige aktiwiteite effektief verborge wees.
Op soortgelyke wyse, met die **`cloudwatch:PutMetricData`** toestemming, sou dit moontlik wees om data aan 'n metriekstroom toe te voeg. Dit kan lei tot 'n DoS as gevolg van die hoeveelheid onvanpaste data wat bygevoeg word, wat dit heeltemal nutteloos maak.
Op soortgelyke wyse, met die **`cloudwatch:PutMetricData`** toestemming, sou dit moontlik wees om data aan 'n metrieke stroom toe te voeg. Dit kan lei tot 'n DoS as gevolg van die hoeveelheid onvanpaste data wat bygevoeg word, wat dit heeltemal nutteloos maak.
```bash
aws cloudwatch delete-metric-stream --name <value>
aws cloudwatch put-metric-stream --name <value> [--include-filters <value>] [--exclude-filters <value>] --firehose-arn <value> --role-arn <value> --output-format <value>
@@ -412,7 +412,7 @@ aws cloudwatch start-metric-streams --names <value>
### **`cloudwatch:TagResource`, `cloudwatch:UntagResource`**
'n Aanvaller sou in staat wees om etikette by te voeg, te wysig of te verwyder van CloudWatch hulpbronne (huidiglik slegs alarms en Contributor Insights reëls). Dit kan jou organisasie se toegangbeheerbeleide op grond van etikette ontwrig.
'n Aanvaller sal in staat wees om etikette by te voeg, te wysig of te verwyder van CloudWatch hulpbronne (huidiglik slegs alarms en Contributor Insights reëls). Dit kan jou organisasie se toegangbeheerbeleide op grond van etikette ontwrig.
```bash
aws cloudwatch tag-resource --resource-arn <value> --tags <value>
aws cloudwatch untag-resource --resource-arn <value> --tag-keys <value>