私の戦闘力は53万です

awsとgcpについて書きます

AWS cloudtrailの「ログファイルの検証を有効化」の機能を試してみる

cloudtrailの「ログファイルの検証を有効化」の有効化にはするのですが、
機能詳細を確認することがありませんでした。
先日触ってみたので備忘で残したいと思います。

cloudtrailの赤枠部分のファイルを書き換えてみました。

f:id:remmemento:20191130165719p:plain
偽造

Validate-logsを試してみる

上記ファイルを修正し、validateすると書換が発生したログファイル分かります。

aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:ap-northeast-1:xxxxxxxxxx:trail/aws217-test --start-time 20190113T19:00:00Z

Validating log files for trail arn:aws:cloudtrail:ap-northeast-1:xxxxxxxxxx:trail/awsxxx-test between 2019-01-13T19:00:00Z and 2019-01-15T03:45:33Z
Log file s3://awsxxx-test-cloudfront-in-test6/test-prefix/AWSLogs/xxxxxxxxxx/CloudTrail/ap-northeast-1/2019/01/15/xxxxxxxxxxx_CloudTrail_ap-northeast-1_20190115T0110Z_eKpIcz4LwCJIlM6d.json.gz INVALID: invalid format
Results requested for 2019-01-13T19:00:00Z to 2019-01-15T03:45:33Z
Results found for 2019-01-13T19:56:11Z to 2019-01-15T01:56:11Z:
31/31 digest files valid
192/193 log files valid, 1/193 log files INVALID

検出可能な項目は下記ドキュメントに一覧化されています。
docs.aws.amazon.com

変更内容までは追えないようなので、
このあたりを追うのであれば下記との組合せが必要そうです。