S3やDynamoDBへの攻撃を検知する一つの方法は、「どのようなデータを対象が持っているか」を攻撃者が知ることができるAPIの動向を確認することです。
例えばListBucketsやDescribeTableといったAPIです。
というわけで該当APIが呼ばれたらEventBridge経由でなにかすることを考えました。
Starting April 3. 2023, EventBridge will process all read-only management events. For more information, see Filtering management events from AWS services.
2023年から、Describeのような特定のキーワードで始まる参照系イベントもすべてEventBridgeで検知できるようになりました。
https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html
以下は古い情報です
しかし、公式ドキュメントにある通り、List*, Describe*, Get*アクションは無視されます。
https://docs.aws.amazon.com/ja_jp/ja_jp/eventbridge/latest/userguide/eb-ct-api-tutorial.html
CloudTrail 経由で送信されるイベントはすべて、detail-type の値が AWS API Call via CloudTrail になっています。キーワード List、Get、Describe で始まる API アクションからのイベントは EventBridge によって処理されませんが、以下の AWS STS アクションからのイベントを例外です。
EventBridgeの画面でもイベントパターンを作成する部分で警告がでます。
