AWS CloudTrail permite la auditoría, la supervisión de la seguridad y la solución de problemas operativos. CloudTrail registra la actividad de los usuarios y las llamadas a la API en los servicios de AWS como eventos. Los eventos de CloudTrail te ayudan a responder a la pregunta «¿Quién hizo qué, dónde y cuándo?»

CloudTrail registra dos tipos de eventos:

  • Eventos de administración que capturan las acciones del plano de control sobre los recursos, como la creación o eliminación de buckets de Amazon Simple Storage Service (S3).
  • Eventos de datos que capturan acciones del plano de datos dentro de un recurso, como leer o escribir un objeto de Amazon S3.
 
CloudTrail también puede ingerir datos mediante su integración nativa con otros servicios de AWS:
 
  • Elementos de configuración de AWS Config que capturan el historial de configuración de los recursos y el historial de conformidad de los recursos según lo evaluado por las reglas de AWS Config.
  • Evidencia de auditoríade AWS Audit Manager que contiene la información necesaria para demostrar el cumplimiento de los requisitos especificados en los controles de Audit Manager.
 
CloudTrail usa estas fuentes de eventos en tres características: historial de eventos, CloudTrail Lake y Trails. Puedes utilizar estas características juntas o de forma independiente:

  • El historial de eventos proporciona un registro visible, consultable, descargable e inmutable de los últimos 90 días de eventos de administración en una región de AWS. No hay cargos de CloudTrail por ver el historial de eventos.
  • CloudTrail Lake es un lago de datos administrado para capturar, almacenar, acceder y analizar la actividad de los usuarios y las API en AWS con fines de auditoría y seguridad. Puedes agregar, visualizar, consultar y almacenar de forma inalterable tus registros de actividad de fuentes de AWS y de otras fuentes. Además, puedes importar cualquier registro de CloudTrail existente de tus buckets de S3 a un almacén de datos de eventos de CloudTrail Lake nuevo o existente. Además, puedes habilitar CloudTrail Insights en un almacén de datos de eventos que capture los eventos de administración de CloudTrail para detectar actividades inusuales, como picos en el aprovisionamiento de recursos o brechas en la actividad periódica. Con CloudTrail Lake, también puedes visualizar las principales tendencias de tus eventos de CloudTrail con paneles prediseñados en la consola de CloudTrail. Los auditores de TI pueden utilizar CloudTrail Lake como un registro inmutable de todas las actividades para cumplir con los requisitos de auditoría. Los administradores de seguridad pueden comprobar que la actividad de los usuarios se ajusta a las políticas internas. Los ingenieros de DevOps pueden solucionar problemas operativos, como una instancia de Amazon Elastic Compute Cloud (EC2) que no responde o la denegación de acceso a un recurso. CloudTrail Lake permite a los equipos de seguridad realizar investigaciones retrospectivas ayudando a responder quién hizo qué cambios de configuración en los recursos asociados a incidentes de seguridad como la filtración de datos o el acceso no autorizado a tu entorno de AWS. CloudTrail Lake ayuda a los ingenieros de conformidad a investigar los cambios no conformes en sus entornos de producción relacionando las reglas de AWS Config con el estado no conforme con quién y qué cambios de recursos los desencadenaron. Los equipos de TI pueden realizar un análisis del inventario histórico de activos en los elementos de configuración utilizando el período de retención de siete años de CloudTrail Lake y el motor de consultas SQL.
  • Trails captura un registro de las actividades de las cuentas de AWS y entrega y almacena estos eventos en S3, con la entrega opcional a Registros de Amazon CloudWatch y Amazon EventBridge. Estos eventos pueden incorporarse a tus soluciones de monitoreo de seguridad. Puedes utilizar tus propias soluciones de terceros o soluciones como Amazon Athena para buscar y analizar los registros capturados por CloudTrail. Se pueden crear seguimientos para una o varias cuentas de AWS mediante AWS Organizations. AWS CloudTrail Insights analiza los eventos del plano de control para detectar comportamientos anómalos en los volúmenes de llamadas a la API y puede detectar actividades inusuales, como picos en el aprovisionamiento de recursos o brechas en la actividad periódica.

Siempre habilitado

El historial de eventos de CloudTrail está habilitado en todas las cuentas y eventos de administración de registros de AWS en los servicios de AWS sin necesidad de ninguna configuración manual. Con el nivel gratuito de AWS, puedes ver, buscar y descargar el historial más reciente de 90 días de los eventos de administración de tu cuenta de forma gratuita mediante la consola de CloudTrail o mediante la API de búsqueda de eventos de CloudTrail. Para más información, consulta Ver eventos con el historial de eventos de CloudTrail.

Almacenamiento y monitoreo

Puedes entregar tus eventos de datos y de administración en curso a S3 y, de forma opcional, a Registros de CloudWatch mediante la creación de registros. De este modo, obtendrás los detalles completos del evento y podrás exportar y almacenar los eventos como desees. Para obtener más información, consulta Creación de una ruta para su cuenta de AWS. Dado que CloudTrail Lake es un lago de seguridad y auditoría administrado, tus eventos (incluidos los eventos de administración, los eventos de datos y los elementos de configuración de AWS Config) se almacenan automáticamente en el lago. Primero debes habilitar la grabación de AWS Config para ingerir elementos de configuración en CloudTrail Lake.

Registros de actividad cifrados e inmutables

Puedes validar la integridad de los archivos de registro de CloudTrail almacenados en el bucket de S3 y detectar si estos archivos han cambiado o se han eliminado desde que CloudTrail se los entregó a tu bucket de S3. Puedes usar la validación de la integridad de los archivos de registro en los procesos de auditoría y seguridad de TI. CloudTrail Lake cifra todos los registros automáticamente.

De forma predeterminada, CloudTrail cifra todos los archivos de registro entregados al bucket especificado de S3 a través del cifrado del servidor (SSE) de S3. Opcionalmente, puedes añadir una capa más de seguridad a los archivos de registro de CloudTrail cifrándolos con la clave de AWS Key Management Service (KMS). S3 descifra automáticamente los archivos de registro si tienes permisos para hacerlo. Para obtener más información, consulta Cifrar los archivos de registro de CloudTrail con claves administradas por AWS KMS (SSE-KMS). CloudTrail Lake otorga acceso de solo lectura para evitar cambios en los archivos de registro. El acceso de solo lectura significa que los eventos son automáticamente inmutables.

Información y análisis

Con CloudTrail Lake, puedes ejecutar consultas basadas en SQL en los registros de actividad para realizar auditorías dentro del lago o puedes ejecutar consultas SQL en tus eventos de CloudTrail para profundizar en los datos de los paneles de CloudTrail Lake. También puede habilitar CloudTrail Insights en sus seguimientos para identificar actividades inusuales en sus cuentas de AWS. Además, puede utilizar Amazon Athena para consultar de forma interactiva sus registros auditables de CloudTrail Lake junto con los datos de otros orígenes sin la complejidad operativa que conlleva mover o replicar datos. Por ejemplo, los ingenieros de seguridad pueden usar Athena para correlacionar los registros de actividad en CloudTrail Lake con los registros de aplicaciones y tráfico en Amazon S3 para investigar incidentes de seguridad. Los ingenieros de conformidad y operaciones ahora pueden visualizar los registros de actividad en CloudTrail Lake con Amazon QuickSight y Amazon Managed Grafana para obtener informes de conformidad, costos y uso.

Multinube y multiorigen

Con AWS CloudTrail Lake, puedes consolidar los eventos de actividad de AWS y de fuentes externas a AWS, incluidos los datos de otros proveedores de la nube, las aplicaciones internas y las aplicaciones de SaaS que se ejecutan en la nube o en las instalaciones, sin tener que mantener varios agregadores de registros y herramientas de informes. Puedes usar las API de CloudTrail Lake para configurar sus integraciones de datos y enviar eventos a CloudTrail Lake. Para integrarse con herramientas de terceros, puedes empezar a recibir eventos de actividad de estas aplicaciones en unos pocos pasos mediante integraciones de socios en la consola de CloudTrail.

Múltiples regiones

Puedes configurar CloudTrail para capturar y almacenar eventos de varias regiones de AWS en una sola ubicación. Esta configuración certifica que todos los ajustes se aplican de manera uniforme en las regiones existentes y recientemente lanzadas. Para obtener más información, consulta Recepción de archivos de registro de CloudTrail de varias regiones. CloudTrail Lake también te ayuda a capturar y almacenar eventos de varias regiones.

Cuenta múltiple

Puedes configurar CloudTrail para capturar y almacenar eventos de varias cuentas de AWS en una sola ubicación. Esta configuración verifica que todos los ajustes se apliquen de manera coherente en todas las cuentas existentes y recién creadas. Para obtener más información, consulta Creación de una ruta para una organización. Al utilizar CloudTrail Lake, también puede capturar y almacenar eventos para las cuentas de AWS Organizations. Además, puedes designar hasta tres cuentas de administrador delegado para crear, actualizar, consultar o eliminar las rutas de la organización o los almacenes de datos de eventos de CloudTrail Lake a nivel de organización.

Visite la página de introducción

Obtenga más información sobre los precios de AWS CloudTrail.

Más información »
Comience a crear en la consola

Comience a crear con AWS CloudTrail en la Consola de administración de AWS.

Inicie sesión »
Contacte a un experto

Descubra las opciones de compatibilidad de AWS CloudTrail.

Ponte en contacto con nosotros »