更改S3 Bucket Policy 告警通知

通过将 CloudTrail 日志定向到 CloudWatch 日志并建立相应的指标筛选条件和警报，您可以对 更改S3 Bucket Policy 进行实时监控。

CIS 建议您创建一个告警，对 S3 存储桶策略的更改发出警报。监控 S3 存储桶策略的更改可以缩短检测和纠正攻击S3存储桶的时间。

#1 创建Amazon SNS主题

确保 CloudTrail 在所有区域均已启用。并且确保 CloudTrail 跟踪与Amazon CloudWatch 日志集成。

1. 通过以下网址打开 Amazon SNS 控制台：https://console.aws.amazon.com/sns/v3/home。

2. 创建 Amazon SNS 主题。

#2 创建指标筛选条件

1. 通过 https://console.aws.amazon.com/cloudwatch/ 打开 CloudWatch 控制台。

2. 在导航窗格中，选择 Log groups（日志组）。

3. 选中与您创建的 CloudTrail 跟踪关联的 CloudWatch 日志日志组对应的复选框。

4. 在操作中，选择创建指标筛选条件。

5. 在定义模式下，执行以下操作：

   • 复制以下模式，然后将其粘贴到 Filter Pattern (筛选条件模式) 字段中。

   {($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}

   • 选择 Next（下一步）。

6. 在分配指标下，执行以下操作：

   1. 在Filter name(筛选条件名称)中，输入指标筛选条件的名称。

   2. 对于Metric namespace(指标命名空间)，输入LogMetrics。

      如果您对所有 CIS 日志指标筛选器使用相同的命名空间，则所有 CIS Benchmark 指标将组合在一起。

   3. 对于 Metric name（指标名称），为其输入指标名称。记住指标的名称。您需要在创建警报时选择指标。

   4. 对于 Metric value（指标值），输入 1。

   5. 选择 Next（下一步）。

7. 在 “查看并创建” 下，验证您为新指标筛选条件提供的信息。然后选择创建指标筛选条件。

#3 创建告警

1. 选择 Metrics (指标筛选器) 选项卡，然后选择刚创建的指标筛选器。

   要选择指标筛选条件，请选中右上方的复选框。

2. 选择 Create Alarm（创建告警）。

3. 在 Specify metric and conditions (指定指标和条件) 下，执行以下操作：

   1. 在 “指标” 下，在 “统计数据” 中，使用默认值，有关可用统计数据的更多信息，请参阅 Amazon CloudWatch 用户指南中的统计数据。

   2. 在 “条件” 下，为 “阈值” 选择静态。

   3. 对于 “定义警报条件”，选择 “大于/等于”。

   4. 在定义阈值中，输入1。

   5. 选择 Next（下一步）。

4. 在配置操作下，执行以下操作：

   1. 在 “警报状态触发器” 下，选择 “警报中”。

   2. 在 Select an SNS topic (选择 SNS 主题) 下，选择 Select an existing SNS topic (选择现有的 SNS 主题)。

   3. 对于 Send a notification to…（向发送通知），输入您在上一流程中创建的 SNS 主题名称。

   4. 选择 Next（下一步）。

5. 在添加名称和描述下，输入警报的名称和描述。例如，CIS-3.8-S3BucketPolicyChanges。然后选择下一步。

6. 在 “预览并创建” 下，查看警报配置。然后选择 Create alarm (创建警报)。