AWS - CloudWatch Enum

Reading time: 21 minutes

CloudWatch

CloudWatch निगरानी और संचालन डेटा को लॉग/मेट्रिक्स/इवेंट के रूप में एकत्र करता है, जो AWS संसाधनों, अनुप्रयोगों और सेवाओं का एकीकृत दृश्य प्रदान करता है।
CloudWatch लॉग इवेंट में प्रत्येक लॉग लाइन पर 256KB का आकार सीमा होती है।
यह उच्च संकल्प अलार्म सेट कर सकता है, लॉग और मेट्रिक्स को एक साथ दृश्य बना सकता है, स्वचालित क्रियाएँ कर सकता है, समस्याओं का समाधान कर सकता है, और अनुप्रयोगों को अनुकूलित करने के लिए अंतर्दृष्टि खोज सकता है।

आप उदाहरण के लिए CloudTrail से लॉग की निगरानी कर सकते हैं। जिन घटनाओं की निगरानी की जाती है:

• सुरक्षा समूहों और NACL में परिवर्तन
• EC2 इंस्टेंस को प्रारंभ करना, रोकना, पुनरारंभ करना और समाप्त करना
• IAM और S3 के भीतर सुरक्षा नीतियों में परिवर्तन
• AWS प्रबंधन कंसोल में असफल लॉगिन प्रयास
• API कॉल जो असफल प्राधिकरण में परिणत हुई
• CloudWatch में खोजने के लिए फ़िल्टर: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Key concepts

Namespaces

एक namespace CloudWatch मेट्रिक्स के लिए एक कंटेनर है। यह मेट्रिक्स को वर्गीकृत और अलग करने में मदद करता है, जिससे उन्हें प्रबंधित और विश्लेषण करना आसान हो जाता है।

• उदाहरण: EC2 से संबंधित मेट्रिक्स के लिए AWS/EC2, RDS मेट्रिक्स के लिए AWS/RDS।

Metrics

मेट्रिक्स समय के साथ एकत्रित डेटा बिंदु होते हैं जो AWS संसाधनों के प्रदर्शन या उपयोग को दर्शाते हैं। मेट्रिक्स को AWS सेवाओं, कस्टम अनुप्रयोगों, या तृतीय-पक्ष एकीकरण से एकत्र किया जा सकता है।

• उदाहरण: CPUUtilization, NetworkIn, DiskReadOps।

Dimensions

Dimensions मेट्रिक्स का हिस्सा होते हैं जो कुंजी-मूल्य जोड़े होते हैं। वे एक मेट्रिक की अद्वितीय पहचान करने में मदद करते हैं और अतिरिक्त संदर्भ प्रदान करते हैं, जिसमें 30 सबसे अधिक संख्या होती है जो एक मेट्रिक के साथ जुड़ी हो सकती है। Dimensions विशिष्ट विशेषताओं के आधार पर मेट्रिक्स को फ़िल्टर और समेकित करने की अनुमति भी देते हैं।

• उदाहरण: EC2 इंस्टेंस के लिए, dimensions में InstanceId, InstanceType, और AvailabilityZone शामिल हो सकते हैं।

Statistics

Statistics मेट्रिक डेटा पर किए गए गणितीय गणनाएँ हैं जो इसे समय के साथ संक्षिप्त करती हैं। सामान्य सांख्यिकी में औसत, योग, न्यूनतम, अधिकतम, और नमूना गणना शामिल हैं।

• उदाहरण: एक घंटे की अवधि में औसत CPU उपयोग की गणना करना।

Units

Units मेट्रिक से जुड़े मापने के प्रकार होते हैं। Units मेट्रिक डेटा को संदर्भ और अर्थ प्रदान करने में मदद करते हैं। सामान्य इकाइयों में प्रतिशत, बाइट्स, सेकंड, गणना शामिल हैं।

• उदाहरण: CPUUtilization प्रतिशत में मापा जा सकता है, जबकि NetworkIn बाइट्स में मापा जा सकता है।

CloudWatch Features

Dashboard

CloudWatch डैशबोर्ड आपके AWS CloudWatch मेट्रिक्स के अनुकूलन योग्य दृश्यों को प्रदान करते हैं। डेटा को दृश्य बनाने और संसाधनों की निगरानी के लिए डैशबोर्ड बनाने और कॉन्फ़िगर करना संभव है, विभिन्न AWS सेवाओं से विभिन्न मेट्रिक्स को संयोजित करते हुए।

मुख्य विशेषताएँ:

• विजेट्स: डैशबोर्ड के निर्माण खंड, जिसमें ग्राफ़, पाठ, अलार्म, और अधिक शामिल हैं।
• अनुकूलन: लेआउट और सामग्री को विशिष्ट निगरानी आवश्यकताओं के अनुसार अनुकूलित किया जा सकता है।

उदाहरण उपयोग मामला:

• आपके पूरे AWS वातावरण के लिए प्रमुख मेट्रिक्स दिखाने वाला एकल डैशबोर्ड, जिसमें EC2 इंस्टेंस, RDS डेटाबेस, और S3 बकेट शामिल हैं।

Metric Stream and Metric Data

AWS CloudWatch में Metric Streams आपको लगभग वास्तविक समय में अपने पसंद के गंतव्य पर CloudWatch मेट्रिक्स को निरंतर स्ट्रीम करने की अनुमति देते हैं। यह उन्नत निगरानी, विश्लेषण, और AWS के बाहर के उपकरणों का उपयोग करके कस्टम डैशबोर्ड के लिए विशेष रूप से उपयोगी है।

Metric Data Metric Streams के भीतर उन वास्तविक मापों या डेटा बिंदुओं को संदर्भित करता है जो स्ट्रीम किए जा रहे हैं। ये डेटा बिंदु CPU उपयोग, मेमोरी उपयोग, आदि जैसे विभिन्न मेट्रिक्स का प्रतिनिधित्व करते हैं।

उदाहरण उपयोग मामला:

• उन्नत विश्लेषण के लिए एक तृतीय-पक्ष निगरानी सेवा को वास्तविक समय के मेट्रिक्स भेजना।
• दीर्घकालिक भंडारण और अनुपालन के लिए एक Amazon S3 बकेट में मेट्रिक्स का संग्रहण।

Alarm

CloudWatch अलार्म आपके मेट्रिक्स की निगरानी करते हैं और पूर्वनिर्धारित थ्रेशोल्ड के आधार पर क्रियाएँ करते हैं। जब कोई मेट्रिक एक थ्रेशोल्ड को पार करता है, तो अलार्म एक या एक से अधिक क्रियाएँ कर सकता है जैसे कि SNS के माध्यम से सूचनाएँ भेजना, ऑटो-स्केलिंग नीति को सक्रिय करना, या AWS Lambda फ़ंक्शन चलाना।

मुख्य घटक:

• थ्रेशोल्ड: वह मान जिस पर अलार्म सक्रिय होता है।
• मूल्यांकन अवधि: वह अवधि जिसमें डेटा का मूल्यांकन किया जाता है।
• अलार्म के लिए डेटा बिंदु: अलार्म को सक्रिय करने के लिए आवश्यक पहुंची थ्रेशोल्ड के साथ अवधि की संख्या।
• क्रियाएँ: जब अलार्म स्थिति सक्रिय होती है तो क्या होता है (जैसे, SNS के माध्यम से सूचित करना)।

उदाहरण उपयोग मामला:

• EC2 इंस्टेंस CPU उपयोग की निगरानी करना और यदि यह 80% के लिए 5 लगातार मिनटों तक बढ़ता है तो SNS के माध्यम से एक सूचना भेजना।

Anomaly Detectors

Anomaly Detectors मशीन लर्निंग का उपयोग करके आपके मेट्रिक्स में स्वचालित रूप से विसंगतियों का पता लगाते हैं। आप किसी भी CloudWatch मेट्रिक पर विसंगति पहचान लागू कर सकते हैं ताकि सामान्य पैटर्न से विचलन की पहचान की जा सके जो समस्याओं का संकेत दे सकता है।

मुख्य घटक:

• मॉडल प्रशिक्षण: CloudWatch ऐतिहासिक डेटा का उपयोग करके एक मॉडल को प्रशिक्षित करता है और यह स्थापित करता है कि सामान्य व्यवहार कैसा दिखता है।
• विसंगति पहचान बैंड: एक मेट्रिक के लिए अपेक्षित मानों की सीमा का दृश्य प्रतिनिधित्व।

उदाहरण उपयोग मामला:

• EC2 इंस्टेंस में असामान्य CPU उपयोग पैटर्न का पता लगाना जो सुरक्षा उल्लंघन या अनुप्रयोग समस्या का संकेत दे सकता है।

Insight Rules and Managed Insight Rules

Insight Rules आपको अपने मेट्रिक डेटा में रुझानों की पहचान करने, स्पाइक्स का पता लगाने, या अन्य रुचि के पैटर्न को पहचानने की अनुमति देते हैं, शक्तिशाली गणितीय अभिव्यक्तियों का उपयोग करके उन स्थितियों को परिभाषित करते हैं जिनके तहत क्रियाएँ की जानी चाहिए। ये नियम आपको अपने संसाधन प्रदर्शन और उपयोग में विसंगतियों या असामान्य व्यवहार की पहचान करने में मदद कर सकते हैं।

Managed Insight Rules पूर्व-निर्धारित insight rules हैं जो AWS द्वारा प्रदान किए जाते हैं। इन्हें विशिष्ट AWS सेवाओं या सामान्य उपयोग मामलों की निगरानी के लिए डिज़ाइन किया गया है और बिना विस्तृत कॉन्फ़िगरेशन की आवश्यकता के सक्षम किया जा सकता है।

उदाहरण उपयोग मामला:

• RDS प्रदर्शन की निगरानी: Amazon RDS के लिए एक प्रबंधित अंतर्दृष्टि नियम सक्षम करें जो CPU उपयोग, मेमोरी उपयोग, और डिस्क I/O जैसे प्रमुख प्रदर्शन संकेतकों की निगरानी करता है। यदि इनमें से कोई भी मेट्रिक सुरक्षित संचालन थ्रेशोल्ड को पार करता है, तो नियम एक अलर्ट या स्वचालित शमन क्रिया को सक्रिय कर सकता है।

CloudWatch Logs

अनुप्रयोगों और सिस्टमों से लॉग को एकत्रित और निगरानी करने की अनुमति देता है AWS सेवाओं (जिसमें CloudTrail शामिल है) और ऐप्स/सिस्टम से (CloudWatch एजेंट को एक होस्ट पर स्थापित किया जा सकता है)। लॉग को अनिश्चितकालीन (लॉग समूह सेटिंग्स के आधार पर) संग्रहीत किया जा सकता है और निर्यात किया जा सकता है।

तत्व:

CloudWatch Monitoring & Events

CloudWatch बुनियादी हर 5 मिनट में डेटा को एकत्रित करता है ( विस्तृत एक हर 1 मिनट में ऐसा करता है)। एकत्रण के बाद, यह अलार्म के थ्रेशोल्ड की जांच करता है यदि इसे एक को सक्रिय करने की आवश्यकता है।
इस मामले में, CloudWatch एक इवेंट भेजने और कुछ स्वचालित क्रियाएँ करने के लिए तैयार हो सकता है (AWS Lambda फ़ंक्शन, SNS विषय, SQS कतारें, Kinesis स्ट्रीम)

Agent Installation

आप अपने मशीनों/कंटेनरों के अंदर एजेंट स्थापित कर सकते हैं ताकि स्वचालित रूप से लॉग को CloudWatch पर वापस भेजा जा सके।

• एक भूमिका बनाएं और इंस्टेंस से संलग्न करें जिसमें CloudWatch को इंस्टेंस से डेटा एकत्र करने की अनुमति देने वाले अनुमतियाँ हों, इसके अलावा AWS सिस्टम प्रबंधक SSM के साथ बातचीत करने की अनुमति हो (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)
• एजेंट को EC2 इंस्टेंस पर डाउनलोड और स्थापित करें (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). आप इसे EC2 के अंदर से डाउनलोड कर सकते हैं या AWS सिस्टम प्रबंधक का उपयोग करके स्वचालित रूप से स्थापित कर सकते हैं, पैकेज AWS-ConfigureAWSPackage का चयन करते हुए।
• CloudWatch एजेंट को कॉन्फ़िगर और शुरू करें।

एक लॉग समूह में कई स्ट्रीम होते हैं। एक स्ट्रीम में कई इवेंट होते हैं। और प्रत्येक स्ट्रीम के भीतर, इवेंट क्रम में होने की गारंटी होती है।

Enumeration

# Dashboards #

## Returns a list of the dashboards of your account
aws cloudwatch list-dashboards

## Retrieves the details of the specified dashboard
aws cloudwatch get-dashboard --dashboard-name <value>

# Metrics #

## Returns a list of the specified metric
aws cloudwatch list-metrics [--namespace <value>] [--metric-name <value>] [--dimensions <value>] [--include-linked-accounts | --no-include-linked-accounts]

## Retrieves metric data (this operation can include a CloudWatch Metrics Insights query, and one or more metric math functions)
aws cloudwatch get-metric-data --metric-data-queries <value> --start-time <value> --end-time <value>

## Retrieves statistics for the specified metric and namespace over a range of time
aws cloudwatch get-metric-statistics --namespace <value> --metric-name <value> [--dimensions <value>] --start-time <value> --end-time <value> --period <value>

## Returns a list of the metric streams of your account
aws cloudwatch list-metric-streams

## Retrieves information about the specified metric stream
aws cloudwatch get-metric-stream --name <value>

## Retrieve snapshots of the specified metric widgets
aws cloudwatch get-metric-widget-image --metric-widget <value>

# Alarms #

## Retrieves the specified alarm
aws cloudwatch describe-alarms [--alarm-names <value>] [--alarm-name-prefix <value>] [--alarm-types <value>] [--state-value <value>]

## Retrieves the alarms history, even for deleted alarms
aws cloudwatch describe-alarm-history [--alarm-name <value>] [--alarm-types <value>] [--history-item-type <ConfigurationUpdate | StateUpdate | Action>] [--start-date <value>] [--end-date <value>]

## Retrieves standard alarms based on the specified metric
aws cloudwatch escribe-alarms-for-metric --metric-name <value> --namespace <value> [--dimensions <value>]

# Anomaly Detections #

## Lists the anomaly detection models that you have created in your account
aws cloudwatch describe-anomaly-detectors [--namespace <value>] [--metric-name <value>] [--dimensions <value>]

## Lists all the Contributor Insight rules in your account
aws cloudwatch describe-insight-rules

## Retrieves the data collected over a time range for a given Contributor Insight rule
aws cloudwatch get-insight-rule-report --rule-name <value> --start-time <value> --end-time <value> --period <value>

## Lists managed Contributor Insights rules in your account for a specified resource
aws cloudwatch list-managed-insight-rules --resource-arn <value>

# Tags #

## Lists the tags associated with the specified CloudWatch resources
aws cloudwatch list-tags-for-resource --resource-arn <value>

# CloudWatch Logs #
aws logs tail "<log_group_name>" --followaws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# CloudWatch Events #
aws events list-rules
aws events describe-rule --name <name>aws events list-targets-by-rule --rule <name>aws events list-archives
aws events describe-archive --archive-name <name>aws events list-connections
aws events describe-connection --name <name>aws events list-endpoints
aws events describe-endpoint --name <name>aws events list-event-sources
aws events describe-event-source --name <name>aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Post-Exploitation / Bypass

cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarm

इस अनुमति के साथ एक हमलावर एक संगठन की निगरानी और अलर्टिंग अवसंरचना को महत्वपूर्ण रूप से कमजोर कर सकता है। मौजूदा अलार्मों को हटाकर, एक हमलावर महत्वपूर्ण प्रदर्शन मुद्दों, सुरक्षा उल्लंघनों, या संचालन विफलताओं के बारे में प्रशासकों को सूचित करने वाले महत्वपूर्ण अलर्ट को निष्क्रिय कर सकता है। इसके अलावा, मेट्रिक अलार्म बनाने या संशोधित करके, हमलावर झूठे अलर्ट के साथ प्रशासकों को भ्रामित कर सकता है या वैध अलार्मों को चुप करा सकता है, प्रभावी रूप से दुर्भावनापूर्ण गतिविधियों को छिपा सकता है और वास्तविक घटनाओं के लिए समय पर प्रतिक्रियाओं को रोक सकता है।

इसके अलावा, cloudwatch:PutCompositeAlarm अनुमति के साथ, एक हमलावर समग्र अलार्मों का एक लूप या चक्र बनाने में सक्षम होगा, जहां समग्र अलार्म A समग्र अलार्म B पर निर्भर करता है, और समग्र अलार्म B भी समग्र अलार्म A पर निर्भर करता है। इस परिदृश्य में, चक्र का हिस्सा होने वाले किसी भी समग्र अलार्म को हटाना संभव नहीं है क्योंकि हमेशा एक समग्र अलार्म होता है जो उस अलार्म पर निर्भर करता है जिसे आप हटाना चाहते हैं।

aws cloudwatch put-metric-alarm --cli-input-json <value> | --alarm-name <value> --comparison-operator <value> --evaluation-periods <value> [--datapoints-to-alarm <value>] [--threshold <value>] [--alarm-description <value>] [--alarm-actions <value>] [--metric-name <value>] [--namespace <value>] [--statistic <value>] [--dimensions <value>] [--period <value>]
aws cloudwatch delete-alarms --alarm-names <value>
aws cloudwatch put-composite-alarm --alarm-name <value> --alarm-rule <value> [--no-actions-enabled | --actions-enabled [--alarm-actions <value>] [--insufficient-data-actions <value>] [--ok-actions <value>] ]

उदाहरण दिखाता है कि एक मैट्रिक अलार्म को कैसे अप्रभावी बनाया जाए:

• यह मैट्रिक अलार्म एक विशिष्ट EC2 इंस्टेंस की औसत CPU उपयोगिता की निगरानी करता है, हर 300 सेकंड में मैट्रिक का मूल्यांकन करता है और 6 मूल्यांकन अवधियों की आवश्यकता होती है (कुल 30 मिनट)। यदि औसत CPU उपयोगिता इन अवधियों में से कम से कम 4 के लिए 60% से अधिक हो जाती है, तो अलार्म ट्रिगर होगा और निर्दिष्ट SNS विषय को एक सूचना भेजेगा।
• थ्रेशोल्ड को 99% से अधिक, पीरियड को 10 सेकंड, मूल्यांकन अवधियों को 8640 (क्योंकि 10 सेकंड के 8640 अवधियों का मतलब 1 दिन है), और डाटापॉइंट्स को अलार्म के लिए 8640 सेट करके, CPU उपयोगिता को पूरे 24 घंटे की अवधि में हर 10 सेकंड में 99% से अधिक होना आवश्यक होगा ताकि अलार्म ट्रिगर हो सके।

{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-01234567890123456"
}
],
"AlarmActions": ["arn:aws:sns:us-east-1:123456789012:example_sns"],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 4,
"EvaluationPeriods": 6,
"Period": 300,
"Statistic": "Average",
"Threshold": 60,
"AlarmDescription": "CPU Utilization of i-01234567890123456 over 60%",
"AlarmName": "EC2 instance i-01234567890123456 CPU Utilization"
}

{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0645d6d414dadf9f8"
}
],
"AlarmActions": [],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 8640,
"EvaluationPeriods": 8640,
"Period": 10,
"Statistic": "Average",
"Threshold": 99,
"AlarmDescription": "CPU Utilization of i-01234567890123456 with 60% as threshold",
"AlarmName": "Instance i-0645d6d414dadf9f8 CPU Utilization"
}

संभावित प्रभाव: महत्वपूर्ण घटनाओं के लिए सूचनाओं की कमी, संभावित अप्रयुक्त मुद्दे, गलत अलर्ट, वास्तविक अलर्ट को दबाना और वास्तविक घटनाओं की पहचान को संभावित रूप से चूकना।

cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions, cloudwatch:SetAlarmState

अलार्म क्रियाओं को हटाकर, हमलावर महत्वपूर्ण अलर्ट और स्वचालित प्रतिक्रियाओं को रोक सकता है जब अलार्म स्थिति प्राप्त होती है, जैसे कि प्रशासकों को सूचित करना या ऑटो-स्केलिंग गतिविधियों को सक्रिय करना। अनुचित रूप से अलार्म क्रियाओं को सक्षम या पुनः सक्षम करना भी अप्रत्याशित व्यवहार का कारण बन सकता है, या तो पहले से अक्षम की गई क्रियाओं को फिर से सक्रिय करके या यह संशोधित करके कि कौन सी क्रियाएँ सक्रिय होती हैं, संभावित रूप से घटना प्रतिक्रिया में भ्रम और गलत दिशा का कारण बनता है।

इसके अतिरिक्त, एक हमलावर जिसके पास अनुमति है, अलार्म स्थितियों में हेरफेर कर सकता है, झूठे अलार्म बनाने में सक्षम हो सकता है ताकि प्रशासकों को विचलित और भ्रमित किया जा सके, या चल रही दुर्भावनापूर्ण गतिविधियों या महत्वपूर्ण प्रणाली विफलताओं को छिपाने के लिए वास्तविक अलार्मों को चुप करा सके।

• यदि आप SetAlarmState का उपयोग एक समग्र अलार्म पर करते हैं, तो समग्र अलार्म को इसकी वास्तविक स्थिति पर लौटने की गारंटी नहीं है। यह केवल तब अपनी वास्तविक स्थिति पर लौटता है जब इसके किसी भी बच्चे अलार्म की स्थिति बदलती है। यदि आप इसकी कॉन्फ़िगरेशन को अपडेट करते हैं तो इसे फिर से मूल्यांकन भी किया जाता है।

aws cloudwatch disable-alarm-actions --alarm-names <value>
aws cloudwatch enable-alarm-actions --alarm-names <value>
aws cloudwatch set-alarm-state --alarm-name <value> --state-value <OK | ALARM | INSUFFICIENT_DATA> --state-reason <value> [--state-reason-data <value>]

संभावित प्रभाव: महत्वपूर्ण घटनाओं के लिए सूचनाओं की कमी, संभावित अप्रयुक्त मुद्दे, गलत अलर्ट, वास्तविक अलर्ट को दबाना और वास्तविक घटनाओं की पहचान को संभावित रूप से चूकना।

cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetector

एक हमलावर मेट्रिक डेटा में असामान्य पैटर्न या विसंगतियों का पता लगाने और प्रतिक्रिया देने की क्षमता को कमजोर कर सकेगा। मौजूदा विसंगति डिटेक्टर्स को हटाकर, एक हमलावर महत्वपूर्ण अलर्टिंग तंत्र को निष्क्रिय कर सकता है; और उन्हें बनाने या संशोधित करके, यह निगरानी को भटकाने या अभिभूत करने के लिए गलत कॉन्फ़िगर या गलत सकारात्मक बनाने में सक्षम होगा।

aws cloudwatch delete-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value>]
aws cloudwatch put-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value> --configuration <value> --metric-characteristics <value>]

निम्नलिखित उदाहरण दिखाता है कि एक मैट्रिक विसंगति डिटेक्टर को अप्रभावी कैसे बनाया जाए। यह मैट्रिक विसंगति डिटेक्टर एक विशिष्ट EC2 इंस्टेंस के औसत CPU उपयोग की निगरानी करता है, और बस “ExcludedTimeRanges” पैरामीटर को वांछित समय सीमा के साथ जोड़ने से यह सुनिश्चित करने के लिए पर्याप्त होगा कि विसंगति डिटेक्टर उस अवधि के दौरान किसी भी प्रासंगिक डेटा का विश्लेषण या अलर्ट नहीं करता है।

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
}
}

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
},
"Configuration": {
"ExcludedTimeRanges": [
{
"StartTime": "2023-01-01T00:00:00Z",
"EndTime": "2053-01-01T23:59:59Z"
}
],
"Timezone": "Europe/Madrid"
}
}

संभावित प्रभाव: असामान्य पैटर्न या सुरक्षा खतरों की पहचान पर प्रत्यक्ष प्रभाव।

cloudwatch:DeleteDashboards, cloudwatch:PutDashboard

एक हमलावर संगठन की निगरानी और दृश्यता क्षमताओं को उसके डैशबोर्ड बनाने, संशोधित करने या हटाने के द्वारा समझौता कर सकता है। ये अनुमतियाँ सिस्टम के प्रदर्शन और स्वास्थ्य में महत्वपूर्ण दृश्यता को हटाने, डैशबोर्ड को गलत डेटा प्रदर्शित करने के लिए बदलने या दुर्भावनापूर्ण गतिविधियों को छिपाने के लिए उपयोग की जा सकती हैं।

aws cloudwatch delete-dashboards --dashboard-names <value>
aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>

संभावित प्रभाव: निगरानी दृश्यता का नुकसान और भ्रामक जानकारी।

cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule ,cloudwatch:PutManagedInsightRule

Insight नियमों का उपयोग विसंगतियों का पता लगाने, प्रदर्शन को अनुकूलित करने और संसाधनों का प्रभावी ढंग से प्रबंधन करने के लिए किया जाता है। मौजूदा insight नियमों को हटाकर, एक हमलावर महत्वपूर्ण निगरानी क्षमताओं को हटा सकता है, जिससे प्रणाली प्रदर्शन मुद्दों और सुरक्षा खतरों के प्रति अंधी हो जाती है। इसके अतिरिक्त, एक हमलावर भ्रामक डेटा उत्पन्न करने या दुर्भावनापूर्ण गतिविधियों को छिपाने के लिए insight नियमों को बना या संशोधित कर सकता है, जिससे गलत निदान और संचालन टीम से अनुपयुक्त प्रतिक्रियाएँ हो सकती हैं।

aws cloudwatch delete-insight-rules --rule-names <value>
aws cloudwatch put-insight-rule --rule-name <value> --rule-definition <value> [--rule-state <value>]
aws cloudwatch put-managed-insight-rules --managed-rules <value>

संभावित प्रभाव: प्रदर्शन मुद्दों और विसंगतियों का पता लगाने और प्रतिक्रिया देने में कठिनाई, गलत जानकारी के आधार पर निर्णय लेना और संभावित रूप से दुर्भावनापूर्ण गतिविधियों या प्रणाली की विफलताओं को छिपाना।

cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRules

महत्वपूर्ण अंतर्दृष्टि नियमों को निष्क्रिय करके, एक हमलावर संगठन को प्रमुख प्रदर्शन और सुरक्षा मैट्रिक्स के प्रति अंधा कर सकता है। इसके विपरीत, भ्रामक नियमों को सक्षम या कॉन्फ़िगर करके, गलत डेटा उत्पन्न करना, शोर बनाना, या दुर्भावनापूर्ण गतिविधि को छिपाना संभव हो सकता है।

aws cloudwatch disable-insight-rules --rule-names <value>
aws cloudwatch enable-insight-rules --rule-names <value>

संभावित प्रभाव: संचालन टीम के बीच भ्रम, जिसके परिणामस्वरूप वास्तविक मुद्दों के लिए देरी से प्रतिक्रिया और झूठी चेतावनियों के आधार पर अनावश्यक कार्रवाई।

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricData

एक हमलावर जिसके पास cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream अनुमतियाँ हैं, वह मेट्रिक डेटा स्ट्रीम बनाने और हटाने में सक्षम होगा, जिससे सुरक्षा, निगरानी और डेटा की अखंडता प्रभावित होगी:

• दुष्ट स्ट्रीम बनाना: संवेदनशील डेटा को अनधिकृत स्थलों पर भेजने के लिए मेट्रिक स्ट्रीम बनाना।
• संसाधन हेरफेर: अत्यधिक डेटा के साथ नए मेट्रिक स्ट्रीम बनाने से बहुत अधिक शोर उत्पन्न हो सकता है, जिससे गलत अलर्ट उत्पन्न होते हैं, और वास्तविक मुद्दों को छिपा दिया जाता है।
• निगरानी में विघटन: मेट्रिक स्ट्रीम को हटाने से, हमलावर निगरानी डेटा के निरंतर प्रवाह को बाधित करेंगे। इस तरह, उनकी दुष्ट गतिविधियाँ प्रभावी रूप से छिपी रहेंगी।

इसी तरह, cloudwatch:PutMetricData अनुमति के साथ, एक मेट्रिक स्ट्रीम में डेटा जोड़ना संभव होगा। इससे DoS हो सकता है क्योंकि जो गलत डेटा जोड़ा गया है, उसकी मात्रा के कारण यह पूरी तरह से बेकार हो जाएगा।

aws cloudwatch delete-metric-stream --name <value>
aws cloudwatch put-metric-stream --name <value> [--include-filters <value>] [--exclude-filters <value>] --firehose-arn <value> --role-arn <value> --output-format <value>
aws cloudwatch put-metric-data --namespace <value> [--metric-data <value>] [--metric-name <value>] [--timestamp <value>] [--unit <value>] [--value <value>] [--dimensions <value>]

एक EC2 इंस्टेंस पर 70% CPU उपयोग के अनुरूप डेटा जोड़ने का उदाहरण:

aws cloudwatch put-metric-data --namespace "AWS/EC2" --metric-name "CPUUtilization" --value 70 --unit "Percent" --dimensions "InstanceId=i-0123456789abcdefg"

संभावित प्रभाव: निगरानी डेटा के प्रवाह में बाधा, विसंगतियों और घटनाओं का पता लगाने पर प्रभाव, संसाधन हेरफेर और अत्यधिक मैट्रिक स्ट्रीम के निर्माण के कारण लागत में वृद्धि।

cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreams

एक हमलावर प्रभावित मैट्रिक डेटा स्ट्रीम के प्रवाह को नियंत्रित करेगा (यदि संसाधन प्रतिबंध नहीं है तो हर डेटा स्ट्रीम)। अनुमति cloudwatch:StopMetricStreams के साथ, हमलावर महत्वपूर्ण मैट्रिक स्ट्रीम को रोककर अपनी दुर्भावनापूर्ण गतिविधियों को छिपा सकते हैं।

aws cloudwatch stop-metric-streams --names <value>
aws cloudwatch start-metric-streams --names <value>

संभावित प्रभाव: निगरानी डेटा के प्रवाह में बाधा, जो असामान्यताओं और घटनाओं की पहचान को प्रभावित करता है।

cloudwatch:TagResource, cloudwatch:UntagResource

एक हमलावर CloudWatch संसाधनों (वर्तमान में केवल अलार्म और Contributor Insights नियम) से टैग जोड़ने, संशोधित करने या हटाने में सक्षम होगा। इससे आपके संगठन की टैग के आधार पर पहुँच नियंत्रण नीतियों में बाधा आ सकती है।

aws cloudwatch tag-resource --resource-arn <value> --tags <value>
aws cloudwatch untag-resource --resource-arn <value> --tag-keys <value>

संभावित प्रभाव: टैग-आधारित एक्सेस कंट्रोल नीतियों में विघटन।

संदर्भ

• https://cloudsecdocs.com/aws/services/logging/cloudwatch/
• https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatch.html
• https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric