AWS - CloudWatch Enum

CloudWatch

CloudWatch, AWS kaynakları, uygulamalar ve hizmetler için birleşik bir görünüm sağlayarak günlükler/ölçümler/olaylar biçiminde izleme ve operasyonel veri toplar. CloudWatch Log Olaylarının her günlük satırı için 256KB boyut sınırlaması vardır. Yüksek çözünürlüklü alarmlar ayarlayabilir, günlükleri ve ölçümleri yan yana görselleştirebilir, otomatik eylemler alabilir, sorunları giderebilir ve uygulamaları optimize etmek için içgörüler keşfedebilirsiniz.

Örneğin CloudTrail'den günlükleri izleyebilirsiniz. İzlenen olaylar:

• Güvenlik Grupları ve NACL'lerdeki değişiklikler

• EC2 örneklerini başlatma, durdurma, yeniden başlatma ve sonlandırma

• IAM ve S3 içindeki Güvenlik Politikalarındaki değişiklikler

• AWS Yönetim Konsolu'na yapılan başarısız girişim denemeleri

• Başarısız yetkilendirme ile sonuçlanan API çağrıları

• CloudWatch'ta arama yapmak için filtreler: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Anahtar kavramlar

Ad Alanları

Bir ad alanı, CloudWatch ölçümleri için bir konteynırdır. Ölçümleri kategorize etmeye ve izole etmeye yardımcı olur, böylece yönetim ve analiz daha kolay hale gelir.

• Örnekler: EC2 ile ilgili ölçümler için AWS/EC2, RDS ölçümleri için AWS/RDS.

Ölçümler

Ölçümler, AWS kaynaklarının performansını veya kullanımını temsil eden zaman içinde toplanan veri noktalarıdır. Ölçümler, AWS hizmetlerinden, özel uygulamalardan veya üçüncü taraf entegrasyonlardan toplanabilir.

• Örnek: CPUUtilization, NetworkIn, DiskReadOps.

Boyutlar

Boyutlar, ölçümlerin bir parçası olan anahtar-değer çiftleridir. Bir ölçümü benzersiz bir şekilde tanımlamaya yardımcı olur ve ek bağlam sağlar; bir ölçüme iliştirilebilecek en fazla boyut sayısı 30'dur. Boyutlar ayrıca belirli özelliklere dayalı olarak ölçümleri filtrelemeye ve birleştirmeye olanak tanır.

• Örnek: EC2 örnekleri için boyutlar InstanceId, InstanceType ve AvailabilityZone içerebilir.

İstatistikler

İstatistikler, zaman içinde ölçüm verileri üzerinde yapılan matematiksel hesaplamalardır. Yaygın istatistikler arasında Ortalama, Toplam, Minimum, Maksimum ve Örnek Sayısı bulunur.

• Örnek: Bir saatlik bir süre boyunca ortalama CPU kullanımını hesaplama.

Birimler

Birimler, bir ölçümle ilişkili ölçüm türüdür. Birimler, ölçüm verilerine bağlam ve anlam sağlamaya yardımcı olur. Yaygın birimler arasında Yüzde, Bayt, Saniye, Sayım bulunur.

• Örnek: CPUUtilization Yüzde olarak ölçülürken, NetworkIn Bayt olarak ölçülebilir.

CloudWatch Özellikleri

Gösterge Paneli

CloudWatch Gösterge Panelleri, AWS CloudWatch ölçümlerinizin özelleştirilebilir görünümlerini sağlar. Farklı AWS hizmetlerinden çeşitli ölçümleri bir araya getirerek verileri görselleştirmek ve kaynakları tek bir görünümde izlemek için paneller oluşturup yapılandırmak mümkündür.

Anahtar Özellikler:

• Widget'lar: Grafikler, metinler, alarmlar ve daha fazlasını içeren gösterge panellerinin yapı taşları.

• Özelleştirme: Düzen ve içerik, belirli izleme ihtiyaçlarına göre özelleştirilebilir.

Örnek Kullanım Durumu:

• EC2 örnekleri, RDS veritabanları ve S3 kovaları dahil olmak üzere tüm AWS ortamınız için anahtar ölçümleri gösteren tek bir gösterge paneli.

Ölçüm Akışı ve Ölçüm Verisi

AWS CloudWatch'taki Ölçüm Akışları, CloudWatch ölçümlerini seçtiğiniz bir hedefe sürekli olarak akıtmanıza olanak tanır. Bu, AWS dışındaki araçlar kullanarak gelişmiş izleme, analiz ve özel paneller için özellikle yararlıdır.

Ölçüm Verisi, Ölçüm Akışları içindeki gerçek ölçümler veya akıtılan veri noktalarını ifade eder. Bu veri noktaları, AWS kaynakları için CPU kullanımı, bellek kullanımı vb. gibi çeşitli ölçümleri temsil eder.

Örnek Kullanım Durumu:

• Gelişmiş analiz için gerçek zamanlı ölçümleri üçüncü taraf bir izleme hizmetine gönderme.

• Uzun vadeli depolama ve uyumluluk için bir Amazon S3 kovasında ölçümleri arşivleme.

Alarm

CloudWatch Alarmları, ölçümlerinizi izler ve önceden tanımlanmış eşiklere dayalı olarak eylemler gerçekleştirir. Bir ölçüm bir eşiği aşarsa, alarm bir veya daha fazla eylem gerçekleştirebilir, örneğin SNS aracılığıyla bildirim göndermek, otomatik ölçeklendirme politikasını tetiklemek veya bir AWS Lambda işlevi çalıştırmak.

Anahtar Bileşenler:

• Eşik: Alarmın tetiklendiği değer.

• Değerlendirme Dönemleri: Verilerin değerlendirildiği dönem sayısı.

• Alarm için Veri Noktaları: Alarmı tetiklemek için gereken ulaşılmış eşik sayısı.

• Eylemler: Bir alarm durumu tetiklendiğinde ne olacağı (örneğin, SNS aracılığıyla bildirim gönderme).

Örnek Kullanım Durumu:

• EC2 örneği CPU kullanımını izleme ve 5 ardışık dakika boyunca %80'i aşarsa SNS aracılığıyla bildirim gönderme.

Anomali Tespit Cihazları

Anomali Tespit Cihazları, ölçümlerinizde otomatik olarak anormallikleri tespit etmek için makine öğrenimini kullanır. Anomali tespiti, sorunları gösterebilecek normal desenlerden sapmaları tanımlamak için herhangi bir CloudWatch ölçümüne uygulanabilir.

Anahtar Bileşenler:

• Model Eğitimi: CloudWatch, normal davranışın neye benzediğini belirlemek için tarihsel verileri kullanarak bir model eğitir.

• Anomali Tespit Bandı: Bir ölçüm için beklenen değer aralığını görsel olarak temsil eder.

Örnek Kullanım Durumu:

• Bir EC2 örneğinde güvenlik ihlali veya uygulama sorunu gösterebilecek olağandışı CPU kullanım desenlerini tespit etme.

İçgörü Kuralları ve Yönetilen İçgörü Kuralları

İçgörü Kuralları, ölçüm verilerinizdeki eğilimleri tanımlamanıza, zirveleri veya ilgi çekici diğer desenleri tespit etmenize olanak tanır; bu, eylemlerin alınması gereken koşulları tanımlamak için güçlü matematiksel ifadeler kullanır. Bu kurallar, kaynak performansını ve kullanımını izlerken anormallikleri veya olağandışı davranışları tanımlamanıza yardımcı olabilir.

Yönetilen İçgörü Kuralları, AWS tarafından sağlanan önceden yapılandırılmış içgörü kurallarıdır. Belirli AWS hizmetlerini veya yaygın kullanım durumlarını izlemek için tasarlanmıştır ve ayrıntılı yapılandırma gerektirmeden etkinleştirilebilir.

Örnek Kullanım Durumu:

• RDS Performansını İzleme: CPU kullanımı, bellek kullanımı ve disk I/O gibi anahtar performans göstergelerini izleyen Amazon RDS için yönetilen bir içgörü kuralını etkinleştirme. Bu ölçümlerden herhangi biri güvenli operasyonel eşikleri aşarsa, kural bir uyarı veya otomatik hafifletme eylemi tetikleyebilir.

CloudWatch Günlükleri

Uygulamalardan ve sistemlerden (CloudTrail dahil) AWS hizmetlerinden günlükleri toplayıp izlemeye olanak tanır ve uygulamalar/sistemler (CloudWatch Agent bir hosta kurulabilir). Günlükler süresiz olarak saklanabilir (Günlük Grubu ayarlarına bağlı olarak) ve dışa aktarılabilir.

Öğeler:

CloudWatch İzleme & Olaylar

CloudWatch temel verileri her 5 dakikada toplar (detaylı olanı her 1 dakikada yapar). Toplamadan sonra, bir alarmı tetiklemek için eşikleri kontrol eder. Bu durumda, CloudWatch bir olayı göndermeye ve bazı otomatik eylemleri (AWS lambda işlevleri, SNS konuları, SQS kuyrukları, Kinesis Akışları) gerçekleştirmeye hazır olabilir.

Agent Kurulumu

Günlükleri otomatik olarak CloudWatch'a geri göndermek için makinelerinizde/konteynerlerinizde ajanlar kurabilirsiniz.

• Bir rol oluşturun ve örneği CloudWatch'un örneklerden veri toplamasına izin veren izinlerle bağlayın (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)

• Ajanı EC2 örneğine indirin ve kurun (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Bunu EC2 içinden indirebilir veya AWS Sistem Yöneticisi kullanarak otomatik olarak kurabilirsiniz, AWS-ConfigureAWSPackage paketini seçerek.

• CloudWatch Agent'ı yapılandırın ve başlatın.

Bir günlük grubunun birçok akışı vardır. Bir akışın birçok olayı vardır. Ve her akışın içinde, olayların sıralı olması garanti edilir.

Enumeration

# Dashboards #

## Returns a list of the dashboards of your account
aws cloudwatch list-dashboards

## Retrieves the details of the specified dashboard
aws cloudwatch get-dashboard --dashboard-name <value>

# Metrics #

## Returns a list of the specified metric
aws cloudwatch list-metrics [--namespace <value>] [--metric-name <value>] [--dimensions <value>] [--include-linked-accounts | --no-include-linked-accounts]

## Retrieves metric data (this operation can include a CloudWatch Metrics Insights query, and one or more metric math functions)
aws cloudwatch get-metric-data --metric-data-queries <value> --start-time <value> --end-time <value>

## Retrieves statistics for the specified metric and namespace over a range of time
aws cloudwatch get-metric-statistics --namespace <value> --metric-name <value> [--dimensions <value>] --start-time <value> --end-time <value> --period <value>

## Returns a list of the metric streams of your account
aws cloudwatch list-metric-streams

## Retrieves information about the specified metric stream
aws cloudwatch get-metric-stream --name <value>

## Retrieve snapshots of the specified metric widgets
aws cloudwatch get-metric-widget-image --metric-widget <value>

# Alarms #

## Retrieves the specified alarm
aws cloudwatch describe-alarms [--alarm-names <value>] [--alarm-name-prefix <value>] [--alarm-types <value>] [--state-value <value>]

## Retrieves the alarms history, even for deleted alarms
aws cloudwatch describe-alarm-history [--alarm-name <value>] [--alarm-types <value>] [--history-item-type <ConfigurationUpdate | StateUpdate | Action>] [--start-date <value>] [--end-date <value>]

## Retrieves standard alarms based on the specified metric
aws cloudwatch escribe-alarms-for-metric --metric-name <value> --namespace <value> [--dimensions <value>]

# Anomaly Detections #

## Lists the anomaly detection models that you have created in your account
aws cloudwatch describe-anomaly-detectors [--namespace <value>] [--metric-name <value>] [--dimensions <value>]

## Lists all the Contributor Insight rules in your account
aws cloudwatch describe-insight-rules

## Retrieves the data collected over a time range for a given Contributor Insight rule
aws cloudwatch get-insight-rule-report --rule-name <value> --start-time <value> --end-time <value> --period <value>

## Lists managed Contributor Insights rules in your account for a specified resource
aws cloudwatch list-managed-insight-rules --resource-arn <value>

# Tags #

## Lists the tags associated with the specified CloudWatch resources
aws cloudwatch list-tags-for-resource --resource-arn <value>

# CloudWatch Logs #
aws logs tail "<log_group_name>" --followaws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# CloudWatch Events #
aws events list-rules
aws events describe-rule --name <name>aws events list-targets-by-rule --rule <name>aws events list-archives
aws events describe-archive --archive-name <name>aws events list-connections
aws events describe-connection --name <name>aws events list-endpoints
aws events describe-endpoint --name <name>aws events list-event-sources
aws events describe-event-source --name <name>aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Post-Exploitation / Bypass

cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarm

Bu izinlere sahip bir saldırgan, bir organizasyonun izleme ve uyarı altyapısını önemli ölçüde zayıflatabilir. Mevcut alarmları silerek, bir saldırgan kritik performans sorunları, güvenlik ihlalleri veya operasyonel hatalar hakkında yöneticileri bilgilendiren önemli uyarıları devre dışı bırakabilir. Ayrıca, metrik alarmlarını oluşturarak veya değiştirerek, saldırgan yöneticileri yanlış uyarılarla yanıltabilir veya meşru alarmları susturabilir, böylece kötü niyetli faaliyetleri maskeleyebilir ve gerçek olaylara zamanında yanıt verilmesini engelleyebilir.

Ayrıca, cloudwatch:PutCompositeAlarm izni ile bir saldırgan, bileşik alarm A'nın bileşik alarm B'ye, bileşik alarm B'nin de bileşik alarm A'ya bağlı olduğu bir döngü veya döngü oluşturma yeteneğine sahip olacaktır. Bu senaryoda, döngünün bir parçası olan herhangi bir bileşik alarmı silmek mümkün değildir çünkü silmek istediğiniz alarmla bağlı olan her zaman başka bir bileşik alarm vardır.

aws cloudwatch put-metric-alarm --cli-input-json <value> | --alarm-name <value> --comparison-operator <value> --evaluation-periods <value> [--datapoints-to-alarm <value>] [--threshold <value>] [--alarm-description <value>] [--alarm-actions <value>] [--metric-name <value>] [--namespace <value>] [--statistic <value>] [--dimensions <value>] [--period <value>]
aws cloudwatch delete-alarms --alarm-names <value>
aws cloudwatch put-composite-alarm --alarm-name <value> --alarm-rule <value> [--no-actions-enabled | --actions-enabled [--alarm-actions <value>] [--insufficient-data-actions <value>] [--ok-actions <value>] ]

Aşağıdaki örnek, bir metrik alarmını etkisiz hale getirmenin nasıl yapılacağını göstermektedir:

• Bu metrik alarmı, belirli bir EC2 örneğinin ortalama CPU kullanımını izler, metriği her 300 saniyede bir değerlendirir ve 6 değerlendirme dönemi gerektirir (toplam 30 dakika). Eğer ortalama CPU kullanımı bu dönemlerin en az 4'ünde %60'ı aşarsa, alarm tetiklenecek ve belirtilen SNS konusuna bir bildirim gönderecektir.

• Eşiği %99'dan fazla olacak şekilde değiştirerek, Periyodu 10 saniye, Değerlendirme Dönemlerini 8640 (çünkü 8640 dönem 10 saniye, 1 güne eşittir) ve Alarm için Veri Noktalarını da 8640 olarak ayarlayarak, CPU kullanımının 24 saat boyunca her 10 saniyede bir %99'un üzerinde olması gerekecektir ki alarm tetiklenebilsin.

{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-01234567890123456"
}
],
"AlarmActions": [
"arn:aws:sns:us-east-1:123456789012:example_sns"
],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 4,
"EvaluationPeriods": 6,
"Period": 300,
"Statistic": "Average",
"Threshold": 60,
"AlarmDescription": "CPU Utilization of i-01234567890123456 over 60%",
"AlarmName": "EC2 instance i-01234567890123456 CPU Utilization"
}

{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0645d6d414dadf9f8"
}
],
"AlarmActions": [],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 8640,
"EvaluationPeriods": 8640,
"Period": 10,
"Statistic": "Average",
"Threshold": 99,
"AlarmDescription": "CPU Utilization of i-01234567890123456 with 60% as threshold",
"AlarmName": "Instance i-0645d6d414dadf9f8 CPU Utilization"
}

Potansiyel Etki: Kritik olaylar için bildirim eksikliği, potansiyel olarak tespit edilmemiş sorunlar, yanlış alarmlar, gerçek alarmları bastırma ve gerçek olayların tespit edilmesinin potansiyel olarak kaçırılması.

cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions , cloudwatch:SetAlarmState

Alarm eylemlerini silerek, saldırgan kritik uyarıların ve otomatik yanıtların tetiklenmesini engelleyebilir; bu, bir alarm durumu ulaşıldığında yöneticileri bilgilendirmek veya otomatik ölçeklendirme faaliyetlerini başlatmak gibi durumları içerir. Alarm eylemlerini uygunsuz bir şekilde etkinleştirmek veya yeniden etkinleştirmek, daha önce devre dışı bırakılmış eylemleri yeniden etkinleştirerek veya hangi eylemlerin tetiklendiğini değiştirerek beklenmedik davranışlara yol açabilir; bu da olay yanıtında kafa karışıklığı ve yanlış yönlendirmeye neden olabilir.

Ayrıca, bu izne sahip bir saldırgan alarm durumlarını manipüle edebilir, yöneticileri oyalamak ve kafa karıştırmak için sahte alarmlar oluşturabilir veya devam eden kötü niyetli faaliyetleri veya kritik sistem arızalarını gizlemek için gerçek alarmları susturabilir.

• Eğer bir bileşik alarmda SetAlarmState kullanırsanız, bileşik alarmın gerçek durumuna geri dönmesi garanti edilmez. Gerçek durumuna yalnızca çocuk alarmlarından herhangi biri durum değiştirirse geri döner. Ayrıca, yapılandırmasını güncellediğinizde yeniden değerlendirilir.

aws cloudwatch disable-alarm-actions --alarm-names <value>
aws cloudwatch enable-alarm-actions --alarm-names <value>
aws cloudwatch set-alarm-state --alarm-name <value> --state-value <OK | ALARM | INSUFFICIENT_DATA> --state-reason <value> [--state-reason-data <value>]

Potansiyel Etki: Kritik olaylar için bildirim eksikliği, potansiyel olarak tespit edilemeyen sorunlar, yanlış alarmlar, gerçek alarmları bastırma ve gerçek olayların potansiyel olarak kaçırılması.

cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetector

Bir saldırgan, metrik verilerdeki olağandışı desenleri veya anormallikleri tespit etme ve bunlara yanıt verme yeteneğini tehlikeye atabilir. Mevcut anomali dedektörlerini silerek, bir saldırgan kritik uyarı mekanizmalarını devre dışı bırakabilir; ve bunları oluşturarak veya değiştirerek, izlemeyi dikkatini dağıtmak veya aşırı yüklemek amacıyla yanlış yapılandırabilir veya yanlış pozitifler oluşturabilir.

aws cloudwatch delete-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value>]
aws cloudwatch put-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value> --configuration <value> --metric-characteristics <value>]

Aşağıdaki örnek, bir metrik anomali dedektörünü etkisiz hale getirmenin nasıl yapılacağını göstermektedir. Bu metrik anomali dedektörü, belirli bir EC2 örneğinin ortalama CPU kullanımını izler ve yalnızca istenen zaman aralığı ile “ExcludedTimeRanges” parametresini eklemek, anomali dedektörünün o süre zarfında ilgili verileri analiz etmemesini veya uyarı vermemesini sağlamak için yeterlidir.

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
}
}

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
},
"Configuration": {
"ExcludedTimeRanges": [
{
"StartTime": "2023-01-01T00:00:00Z",
"EndTime": "2053-01-01T23:59:59Z"
}
],
"Timezone": "Europe/Madrid"
}
}

Potansiyel Etki: Olağandışı desenlerin veya güvenlik tehditlerinin tespitinde doğrudan etki.

cloudwatch:DeleteDashboards, cloudwatch:PutDashboard

Bir saldırgan, panoları oluşturarak, değiştirerek veya silerek bir organizasyonun izleme ve görselleştirme yeteneklerini tehlikeye atabilir. Bu izinler, sistemlerin performansı ve sağlığı hakkında kritik görünürlüğü kaldırmak, panoları yanlış veriler gösterecek şekilde değiştirmek veya kötü niyetli faaliyetleri gizlemek için kullanılabilir.

aws cloudwatch delete-dashboards --dashboard-names <value>
aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>

Potansiyel Etki: İzleme görünürlüğünün kaybı ve yanıltıcı bilgiler.

cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule ,cloudwatch:PutManagedInsightRule

Insight kuralları anormallikleri tespit etmek, performansı optimize etmek ve kaynakları etkili bir şekilde yönetmek için kullanılır. Mevcut insight kurallarını silerek, bir saldırgan kritik izleme yeteneklerini ortadan kaldırabilir ve sistemi performans sorunları ve güvenlik tehditlerine karşı kör bırakabilir. Ayrıca, bir saldırgan yanıltıcı veriler oluşturmak veya kötü niyetli faaliyetleri gizlemek için insight kurallarını oluşturabilir veya değiştirebilir, bu da yanlış tanılara ve operasyon ekibinden uygunsuz tepkilere yol açabilir.

aws cloudwatch delete-insight-rules --rule-names <value>
aws cloudwatch put-insight-rule --rule-name <value> --rule-definition <value> [--rule-state <value>]
aws cloudwatch put-managed-insight-rules --managed-rules <value>

Potansiyel Etki: Performans sorunlarını ve anormallikleri tespit etme ve yanıt verme zorluğu, yanlış bilgilendirilmiş karar verme ve potansiyel olarak kötü niyetli faaliyetleri veya sistem arızalarını gizleme.

cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRules

Kritik içgörü kurallarını devre dışı bırakarak, bir saldırgan organizasyonu ana performans ve güvenlik metriklerine karşı etkili bir şekilde kör edebilir. Tersine, yanıltıcı kuralları etkinleştirerek veya yapılandırarak, yanlış veriler oluşturmak, gürültü yaratmak veya kötü niyetli faaliyetleri gizlemek mümkün olabilir.

aws cloudwatch disable-insight-rules --rule-names <value>
aws cloudwatch enable-insight-rules --rule-names <value>

Potansiyel Etki: Operasyon ekibi arasında kafa karışıklığına yol açarak, gerçek sorunlara gecikmiş yanıtlar ve yanlış uyarılara dayalı gereksiz eylemlere neden olabilir.

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricData

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream izinlerine sahip bir saldırgan, metrik veri akışlarını oluşturup silerek güvenlik, izleme ve veri bütünlüğünü tehlikeye atabilir:

• Kötü niyetli akışlar oluşturma: Hassas verileri yetkisiz hedeflere göndermek için metrik akışları oluşturma.

• Kaynak manipülasyonu: Aşırı veri ile yeni metrik akışlarının oluşturulması, çok fazla gürültü üretebilir ve yanlış uyarılara neden olarak gerçek sorunları gizleyebilir.

• İzleme kesintisi: Metrik akışlarını silerek, saldırganlar izleme verilerinin sürekli akışını kesintiye uğratır. Bu şekilde, kötü niyetli faaliyetleri etkili bir şekilde gizlenir.

Benzer şekilde, cloudwatch:PutMetricData izni ile bir metrik akışına veri eklemek mümkün olacaktır. Bu, eklenen uygunsuz veri miktarı nedeniyle bir DoS'a yol açabilir ve tamamen işe yaramaz hale getirebilir.

aws cloudwatch delete-metric-stream --name <value>
aws cloudwatch put-metric-stream --name <value> [--include-filters <value>] [--exclude-filters <value>] --firehose-arn <value> --role-arn <value> --output-format <value>
aws cloudwatch put-metric-data --namespace <value> [--metric-data <value>] [--metric-name <value>] [--timestamp <value>] [--unit <value>] [--value <value>] [--dimensions <value>]

Aşağıdaki EC2 örneği için %70 CPU kullanımına karşılık gelen verilerin eklenmesi örneği:

aws cloudwatch put-metric-data --namespace "AWS/EC2" --metric-name "CPUUtilization" --value 70 --unit "Percent" --dimensions "InstanceId=i-0123456789abcdefg"

Potansiyel Etki: İzleme verilerinin akışında kesinti, anormalliklerin ve olayların tespitini etkileyerek, kaynak manipülasyonu ve aşırı metrik akışlarının oluşturulması nedeniyle maliyetlerin artmasına neden olur.

cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreams

Bir saldırgan, etkilenen metrik veri akışlarının akışını kontrol edebilir (kaynak kısıtlaması yoksa her veri akışı). cloudwatch:StopMetricStreams izni ile, saldırganlar kritik metrik akışlarını durdurarak kötü niyetli faaliyetlerini gizleyebilir.

aws cloudwatch stop-metric-streams --names <value>
aws cloudwatch start-metric-streams --names <value>

Potansiyel Etki: İzleme verilerinin akışında kesinti, anormalliklerin ve olayların tespitini etkileyebilir.

cloudwatch:TagResource, cloudwatch:UntagResource

Bir saldırgan, CloudWatch kaynaklarından (şu anda yalnızca alarmlar ve Contributor Insights kuralları) etiket ekleyebilir, değiştirebilir veya kaldırabilir. Bu, etiketlere dayalı olarak organizasyonunuzun erişim kontrol politikalarını etkileyebilir.

aws cloudwatch tag-resource --resource-arn <value> --tags <value>
aws cloudwatch untag-resource --resource-arn <value> --tag-keys <value>

Potansiyel Etki: Etiket tabanlı erişim kontrol politikalarının kesintiye uğraması.

Referanslar

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html

• https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric