Em geral, os logs do CloudTrail são ótimos para auditar e investigar incidentes passados, porém são muito detalhados e para dar sentido ao que realmente está acontecendo, você geralmente precisa unir vários eventos CloudTrail para obter a imagem completa.
Para responder especificamente ao seu uso, ou seja, impedir que os usuários efetuem login de destinos desconhecidos , é melhor configurar a política do usuário do IAM de forma adequada e verificar a condição IpAddress :
PolicyName: RestrictedAccess
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- "*"
Resource:
- "*"
Condition:
IpAddress:
aws:SourceIp:
- 192.0.2.0/24
- 12.34.56.78/32
- ...
Para outros usos relacionados à segurança, digamos ser notificado quando alguém cria um Grupo de segurança aberto para o mundo , você pode realmente tentar descobrir isso CloudTrail, mas isso pode ser um grande empreendimento. Você pode ser mais bem servido com AWS Config e seu extenso conjunto de regras relacionadas à segurança que, na verdade, integre-se com o Cloud Trail e forneça os alertas e insights de que você precisa. O AWS Trusted Advisor também pode fornecer algum aviso de segurança. Ou, como Tim apontou, confira AWS Guard Duty .
Como alternativa, experimente um dos serviços de terceiros para segurança na nuvem: Conformidade com a nuvem , CloudCheckr , Cloud Health , etc. Todos eles podem fazer o alerta e a verificação de segurança que você procura.
A implementação de suas próprias soluções de segurança é raramente uma boa ideia . O desenvolvimento inicial, mantendo-se atualizado, lidando com falsos positivos / negativos, ... melhor usar as ferramentas já disponíveis na AWS ou no mercado por empresas especializadas.
Espero que ajude:)