概要
AWS Configで異常を検出した場合、AWS ConfigとCloud Trailの双方を調べることで誰が何をどのように変更して異常が発生したのか、わかります。
AWS Configとは
AWS Config は、AWS アカウントにある AWS リソースの設定詳細ビューを提供します。これには、リソース間の関係と設定の履歴が含まれるため、時間の経過と共に設定と関係がどのように変わるかを確認できます。
Cloud Trailとは
AWS CloudTrail は、AWS アカウントの運用とリスクの監査、ガバナンス、コンプライアンスを行えるように支援する AWS のサービスです。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。
AWS アカウントアクティビティの可視性は、セキュリティと運用のベストプラクティスにおける重要な側面です。CloudTrail を使用することで、AWS インフラストラクチャ全体のアカウントアクティビティを表示、検索、ダウンロード、アーカイブ、分析し、それに対応できます。アクションを実行したユーザーやアプリケーション、対象のリソース、イベントの発生日時、およびその他の詳細情報を識別して、AWS アカウントのアクティビティの分析と対応に役立てることができます。必要に応じて、証跡上で AWS CloudTrail Insights を有効にして、異常なアクティビティを特定して対応することができます。
AWS Configの操作
AWS Configで異常が発生したルールをクリックします。
ルールの詳細が表示されます。
次にリソースをクリックします
リソースの詳細が表示されます。
次にリソースのタイムラインをクリックします。
タイムラインが表示されます。
設定変更をクリックします。
設定変更の内容が表示されます。
その直下のCloudTrailイベントをクリックします。
誰が、いつ、操作を行ったのかわかります。
CloudTrailをクリックします。
Cloud Trailの操作
CloudTrailのイベントが表示されます。
ここでイベントをクリックします。
操作した内容が表示されます。
誰が、いつ、何に対して、どんな設定を行ったのかわかります。
