CloudWatch Logs Insights para segurança: consultas úteis em investigações AWS
Logs coletados só ajudam se você consegue consultá-los rápido. Veja consultas defensivas para investigação na AWS.
Coletar logs é metade do trabalho; a outra metade é conseguir fazer perguntas a eles sob pressão. O CloudWatch Logs Insights permite consultar logs com uma linguagem própria, o que é especialmente útil quando o CloudTrail está sendo enviado para o CloudWatch Logs. Em uma investigação, a capacidade de filtrar rapidamente por evento, identidade e origem faz a diferença entre entender o incidente e ficar no escuro.
Este guia mostra, de forma defensiva, como usar o Logs Insights para investigação na AWS: que campos do CloudTrail importam, exemplos de consultas e como interpretar os resultados. O foco é análise autorizada do seu próprio ambiente, para detecção e resposta.
Campos do CloudTrail que importam
Eventos do CloudTrail trazem campos que respondem às perguntas centrais de uma investigação. O eventName diz qual ação ocorreu, o sourceIPAddress de onde veio, o userIdentity quem agiu, o awsRegion onde, e o errorCode indica tentativas negadas. Cruzar esses campos revela padrões, como uma identidade agindo de um IP incomum ou uma sequência de ações negadas que sugere enumeração.
fields @timestamp, eventName, userIdentity.arn, sourceIPAddress
| filter eventSource = "iam.amazonaws.com"
| sort @timestamp desc
| limit 50Consultas de investigação
Algumas consultas se repetem em investigações. Listar tentativas negadas ajuda a detectar enumeração e abuso de permissão. Agrupar ações por IP de origem mostra de onde a atividade veio. Filtrar eventos sensíveis, como criação de usuários, chaves e mudanças de política, revela tentativas de persistência.
fields @timestamp, eventName, userIdentity.arn, errorCode
| filter ispresent(errorCode)
| stats count(*) as tentativas by userIdentity.arn, errorCode
| sort tentativas desc- Filtrar eventos de IAM sensíveis (criar usuário, chave, política)
- Agrupar atividade por sourceIPAddress para ver origens
- Listar errorCode para detectar enumeração e abuso
- Buscar uso da conta root e desabilitação de serviços
- Restringir a janela de tempo para focar o incidente
Limitações e boas práticas
O Logs Insights consulta o que está no grupo de logs, então sua utilidade depende de o CloudTrail estar realmente sendo enviado ao CloudWatch e da retenção configurada. Para volumes muito grandes ou janelas longas, um data lake com consultas pode ser mais econômico. Use o Logs Insights para investigação ágil e alertas, e padronize consultas reutilizáveis para não improvisar no meio de um incidente.
Checklist prático
- Enviar o CloudTrail para o CloudWatch Logs quando precisar de consulta ágil
- Definir retenção adequada do grupo de logs
- Padronizar consultas reutilizáveis de investigação
- Filtrar eventos de IAM sensíveis
- Agrupar atividade por IP de origem
- Listar tentativas negadas para detectar enumeração
- Buscar uso de root e desabilitação de serviços
- Restringir a janela de tempo ao incidente
- Criar alertas para padrões críticos
- Avaliar data lake para volumes e janelas grandes
Boas práticas
- Prepare consultas antes do incidente, não durante
- Cruze evento, identidade e origem para achar padrões
- Use tentativas negadas como sinal de enumeração
- Mantenha retenção compatível com o tempo de descoberta
- Combine consulta ágil com armazenamento econômico de longo prazo
- Transforme consultas frequentes em alertas
Erros comuns
CloudTrail não enviado ao CloudWatch quando se precisa consultar
A consulta ágil não encontra os eventos necessários na investigação.
Retenção curta do grupo de logs
Eventos relevantes já expiraram quando o incidente é descoberto.
Improvisar consultas durante o incidente
Tempo perdido e risco de não encontrar o que importa sob pressão.
Ignorar errorCode
Sinais de enumeração e abuso de permissão passam despercebidos.
Consultar janelas enormes sem foco
Custo e lentidão sem ganho de clareza na análise.
Quando procurar apoio especializado
Estruturar coleta, consultas e alertas para investigação é o foco do serviço de Monitoramento e Resposta da GUARDIASEC, que define casos de uso de detecção e fluxos de investigação prontos para usar quando o incidente acontece.
Perguntas frequentes
Preciso enviar o CloudTrail para o CloudWatch para usar o Logs Insights?
O Logs Insights consulta grupos de logs do CloudWatch, então sim, para consultar eventos do CloudTrail por lá é preciso enviá-los ao CloudWatch Logs. Uma alternativa para grandes volumes é consultar os logs do CloudTrail diretamente em um data lake. O importante é ter um caminho ágil de consulta definido antes de precisar dele.
Quais campos do CloudTrail são mais úteis em uma investigação?
Os principais são eventName, que diz qual ação ocorreu, sourceIPAddress, que mostra a origem, userIdentity, que identifica quem agiu, awsRegion e errorCode, que revela tentativas negadas. Cruzar esses campos permite reconstruir a linha do tempo e detectar padrões como atividade de um IP incomum ou sequências de ações negadas.
Logs Insights substitui um SIEM?
Não. O Logs Insights é ótimo para investigação ágil dentro do CloudWatch, mas um SIEM correlaciona fontes diversas, incluindo aplicações, rede e endpoints, com regras e alertas mais ricos. Eles se complementam: o Logs Insights resolve consultas rápidas no ambiente AWS, enquanto o SIEM dá visão correlacionada mais ampla.
Como uso o Logs Insights de forma responsável?
O uso é para análise do seu próprio ambiente, de forma autorizada, com foco defensivo: detecção, investigação e resposta. As consultas leem logs que você já coleta; não há exploração de terceiros envolvida. A boa prática é padronizar consultas, restringir janelas de tempo e transformar padrões frequentes em alertas.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.