Funzionalità di AWS CloudTrail

La cronologia degli eventi fornisce un registro visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione in una Regione AWS. La visualizzazione della cronologia degli Eventi non prevede costi di CloudTrail.

La Cronologia degli eventi CloudTrail è abilitata su tutti gli account AWS e gli eventi di gestione dei registri nei servizi AWS senza la necessità di configurazione manuale. Con il Piano gratuito AWS, è possibile visualizzare, cercare e scaricare gratuitamente la cronologia degli ultimi 90 giorni degli eventi di gestione dell'account utilizzando la console CloudTrail o l'API lookup-events di CloudTrail. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli eventi di CloudTrail.

I percorsi acquisiscono un registro delle attività degli account AWS e procedono a distribuire e archiviare tali eventi in Amazon S3, con possibilità di distribuzione anche a File di log Amazon CloudWatch e ad Amazon EventBridge. È possibile esportare questi eventi nelle soluzioni di monitoraggio della sicurezza. Puoi utilizzare le tue personali soluzioni di terze parti oppure soluzioni come Amazon Athena per effettuare la ricerca e l'analisi dei log acquisiti da CloudTrail. Puoi creare percorsi per un singolo account AWS o per più account AWS utilizzando AWS Organizations.

Attraverso la creazione di percorsi, puoi inviare i tuoi eventi di gestione e dati in corso a S3 e facoltativamente ai log di CloudWatch. In tal modo, otterrai i dettagli completi degli eventi e potrai esportare e archiviare gli eventi come preferisci. Per ulteriori informazioni, consulta Creazione di un percorso per l'account AWS.

Puoi convalidare l'integrità dei file di log CloudTrail archiviati nel tuo bucket S3 e verificare se sono rimasti invariati o se sono stati modificati o eliminati dal momento in cui CloudTrail li ha distribuiti nel tuo bucket S3. Puoi utilizzare la funzionalità di convalida dell'integrità dei file di log nell'ambito dei processi di sicurezza e auditing IT. Per impostazione predefinita, CloudTrail esegue la crittografia di tutti i file di log distribuiti al bucket S3 specificato utilizzando la crittografia lato server (SSE) di S3. Se necessario, puoi aggiungere un ulteriore livello di sicurezza ai file di log CloudTrail crittografandoli con la tua chiave del Sistema AWS di gestione delle chiavi (KMS). Se disponi delle autorizzazioni corrette, S3 eseguirà in automatico la decrittografia dei file di log. Per ulteriori informazioni, consulta Crittografia dei file di log di CloudTrail con chiavi gestite da AWS KMS (SSE-KMS).

Puoi configurare CloudTrail per acquisire e archiviare eventi provenienti da più Regioni AWS in un'unica posizione. Questa configurazione certifica che tutte le impostazioni siano applicate in modo coerente nelle Regioni esistenti e appena lanciate. Per ulteriori informazioni, consulta Ricezione di file di log CloudTrail da più regioni.

Puoi configurare CloudTrail per acquisire e archiviare eventi da più account AWS in un'unica posizione. Questa configurazione certifica che tutte le impostazioni siano applicate in modo coerente in tutti gli account esistenti e appena creati. Per ulteriori informazioni, consulta Creazione di un percorso per un'organizzazione.

Data Lake CloudTrail è un data lake gestito per l'acquisizione, l'archiviazione, l'accesso e l'analisi delle attività di utenti e API su AWS a scopo di audit e sicurezza. È possibile aggregare, visualizzare, interrogare e archiviare immutabilmente i log delle attività da fonti AWS e non AWS. Gli auditor IT possono utilizzare CloudTrail Lake come registro immutabile di tutte le attività per soddisfare i requisiti di audit. Gli amministratori della sicurezza possono verificare che l'attività degli utenti sia conforme alle policy interne. I tecnici DevOps possono risolvere problemi operativi come la mancata risposta di un'istanza Amazon Elastic Compute Cloud (EC2) o l'accesso negato a una determinata risorsa. 

Dal momento che Data Lake CloudTrail è un data lake gestito a scopo di audit e sicurezza, gli eventi vengono archiviati al suo interno. CloudTrail Lake concede l'accesso in sola lettura per impedire modifiche ai file di log. Accesso in sola lettura significa che gli eventi sono immutabili.

Con CloudTrail Lake, è possibile eseguire query basate su SQL sui log delle attività per l'auditing all'interno del lake oppure query SQL sugli eventi CloudTrail per ottenere maggiori informazioni sui dati dei pannelli di controllo CloudTrail Lake. Inoltre, puoi utilizzare Amazon Athena per interrogare in modo interattivo i log verificabili di Data Lake CloudTrail insieme ai dati provenienti da altre fonti senza la complessità operativa dello spostamento o della replica dei dati. Ad esempio, i tecnici della sicurezza possono utilizzare Athena per correlare i log delle attività in CloudTrail Lake con i log delle applicazioni e del traffico in Amazon S3 per le indagini sugli incidenti di sicurezza. I tecnici della conformità e delle operazioni possono ora visualizzare i log delle attività in CloudTrail Lake con Amazon QuickSight e Grafana gestito da Amazon per la generazione di report su conformità, costi e utilizzo.

Con Data Lake AWS CloudTrail, puoi consolidare gli eventi di attività provenienti da AWS e da origini esterne ad AWS, inclusi i dati di altri provider cloud, applicazioni interne e applicazioni SaaS in esecuzione nel cloud oppure on-premise, senza dover mantenere molteplici aggregatori di log e strumenti di reporting. Puoi inoltre importare dati da altri servizi AWS, ad esempio gli elementi di configurazione da AWS Config o le prove di audit da Gestione audit AWS. Puoi utilizzare le API di Data Lake CloudTrail per configurare le integrazioni dei dati e inviare eventi a Data Lake CloudTrail. Per effettuare l'integrazione con strumenti di terze parti, puoi cominciare a ricevere eventi di attività da queste applicazioni in poche fasi attraverso le integrazioni dei partner nella console CloudTrail.

Data Lake CloudTrail facilita l'acquisizione e l'archiviazione di eventi provenienti da più regioni.

L'utilizzo di Data Lake CloudTrail consente di acquisire e archiviare gli eventi per gli account di AWS Organizations. Inoltre, è possibile designare fino a tre account di amministratore delegato per creare, aggiornare, interrogare o eliminare i percorsi dell'organizzazione o i datastore di eventi CloudTrail Lake a livello di organizzazione.

Gli eventi di Approfondimenti su AWS CloudTrail consentono agli utenti AWS di identificare e rispondere ad attività insolite associate alle chiamate API e ai tassi di errore delle API analizzando costantemente gli eventi di gestione di CloudTrail. Approfondimenti su CloudTrail analizza i normali schemi relativi al volume delle chiamate e ai tassi di errore delle API, denominati anche baseline, generando eventi quando tali parametri non rientrano nei modelli normali. Puoi abilitare Approfondimenti su AWS CloudTrail nei percorsi o negli archivi di dati degli eventi per rilevare comportamenti anomali e attività insolite.