Bucket - CloudSecurity | walkthrough

    ,   No comments 


 Merhaba dostlar, bugün "BUCKET" adlı bulut güvenliği laboratuvarını birlikte inceleyeceğiz! Bu labda, AWS S3 ve olay günlükleri üzerinden analiz yaparak bazı önemli soruları yanıtlayacağız. Haydi başlayalım!

1. Kimlik Bilgilerini Yapılandırma Komutu

Soru: What is the full AWS CLI command used to configure credentials?

Bu soru, AWS kimlik bilgilerini yapılandırmak için hangi komutun kullanıldığını soruyor. AWS CLI kullanımına aşina olanlar için oldukça basit bir soru.

Cevap:

aws configure

Bu komut, kimlik bilgilerinizi (Access Key ve Secret Key) AWS CLI üzerinden ayarlamanıza olanak tanır.

2. 'flaws2-logs' Dizininin Son Değiştirilme Tarihi

Soru: What is the 'last-modified' date of the directory 'flaws2-logs' present in the s3 bucket?

AWS S3'te bulunan 'flaws2-logs' dizininin son değişiklik tarihini bulmamız isteniyor. Bunun için aşağıdaki komutu kullanabiliriz:

aws s3 ls s3://flaws2-logs

Bu komutu çalıştırdığınızda, dizinin son değişiklik tarihini doğrudan görebilirsiniz.

3. Zamana Göre Oluşturulan İlk Olay

Soru: What is the name of the first generated event - according to time?

Olayları zamana göre inceleyerek ilk oluşturulan olayı bulmamız gerekiyor.

Adımlar:

  1. Gerekli günlükleri AWS S3'ten indirin:

    aws s3 sync s3://flaws2-logs .

  2. Gzip ile sıkıştırılmış JSON dosyalarını açın:

    gzip -d filename.json.gz

  3. İlk oluşan olayı bulmak için zaman damgasına göre araştırma yapın:

    grep "eventTime" *.json | sort

Bulduğumuza göre, ilk olay:

"eventTime":"2018-11-28 / 22:31:59", "eventName":"AssumeRole"

Cevap:

AssumeRole

4. 2018-11-28 23:03:20 UTC Tarihindeki Olayı Hangi IP Oluşturdu?

Soru: What source IP address generated the event dated 2018-11-28 at 23:03:20 UTC?

Adımlar:

  1. Olay günlüklerinde belirtilen tarihi arayın:

    grep "2018-11-28T23:03:20" *.json

  2. İlgili olayın kaynağı olan IP adresini bulun.

Cevap:

34.234.236.212

5. AWS Altyapısına Ait Olmayan IP Adresi

Soru: Which IP address does not belong to Amazon AWS infrastructure?

Tüm olayları analiz edip AWS'ye ait olmayan IP adresini tespit etmeliyiz. Daha önce bulunan IP adresleri ile AWS'ye ait olmayanı karşılaştırırsaı:

Cevap:

104.102.221.250

Bu IP adresi AWS altyapısına ait değil.

6. 'ListBuckets' İsteğini Hangi Kullanıcı Yaptı?

Soru: Which user issued the 'ListBuckets' request?

Adımlar:

  1. JSON günlüklerinde 'ListBuckets' olayını araştırın:

    grep "ListBuckets" *.json

  2. Bulunan olaylarda "userName" değerini belirleyin.

Cevap:

level3

7. 'level1' Kullanıcısının Yaptığı İlk İstek

Soru: What was the first request issued by the user 'level1'?

Adımlar:

  1. 'level1' kullanıcısının olay günlüklerinde geçtiği satırları bulalım:

    grep "level1" *.json

  2. Zamana göre ilk isteği belirleyelim.

Cevap:

CreateLogStream
Share This:    Facebook Twitter Google+ Stumble Digg
Kaydol: Kayıtlar (Atom)