Domande frequenti su AWS CloudTrail

Domande generali

CloudTrail permette la verifica, la sicurezza, il monitoraggio di sicurezza e la risoluzione dei problemi operazionali tracciando l'attività degli utenti e l'utilizzo delle API. CloudTrail registra, monitora continuamente e conserva l'attività dell'account relativa alle azioni nella tua infrastruttura AWS, dandoti il controllo sull'archiviazione, l'analisi e le azioni di ripristino.

CloudTrail ti aiuta a dimostrare la conformità, a migliorare la posizione di sicurezza e a consolidare i registri delle attività in tutte le regioni e gli account. CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni eseguite sul tuo account. Cloudtrail registra le informazioni importanti su ciascuna operazione, tra cui l'autore della richiesta, i servizi utilizzati, le azioni intraprese, i parametri per le azioni e gli elementi di risposta restituiti dal servizio AWS. Queste informazioni consentono di monitorare le modifiche apportate alle tue risorse AWS e di risolvere i problemi operativi. CloudTrail rende più semplice garantire la conformità con policy interne e standard normativi. Per maggiori dettagli, consulta il whitepaper sulla conformità AWS Sicurezza su vasta scala: accesso in AWS

Utilizza CloudTrail se hai bisogno di verificare l'attività, monitorare la sicurezza o risolvere problemi operativi.

Nozioni di base

No, non è necessaria alcuna operazione per vedere l'attività del tuo account. È sufficiente accedere alla console di AWS CloudTrail o ad AWS CLI per visualizzare l'attività dell'account degli ultimi 90 giorni.

AWS CloudTrail mostra solo i risultati della cronologia degli eventi di CloudTrail per la regione corrente per gli ultimi 90 giorni e supporta esclusivamente una gamma di servizi AWS. Gli eventi inclusi sono solo gli eventi di gestione che creano, modificano ed eliminano chiamate API e attività dell'account. Per un registro completo dell'attività dell'account, inclusi tutti gli eventi di gestione, gli eventi sui dati e l'attività in sola lettura, è necessario configurare un percorso CloudTrail.

Puoi specificare l'intervallo di tempo e uno dei seguenti attributi: nome dell'evento, nome dell'utente, nome della risorsa, fonte dell'evento, ID dell'evento e tipo di risorsa.

Sì, puoi accedere alla console di CloudTrail oppure utilizzare l'API o CLI di CloudTrail per consultare l'attività dell'account degli ultimi 90 giorni.

Configura un percorso CloudTrail per distribuire i tuoi eventi CloudTrail su Amazon Simple Storage Service (Amazon S3), File di log Amazon CloudWatch ed Eventi Amazon CloudWatch. Ciò consente di utilizzare le funzionalità per archiviare, analizzare ed eseguire azioni in risposta alle modifiche nelle risorse AWS.

Sì, CloudTrail si integra con AWS Identity and Access Management (IAM), che permette di controllare l'accesso a CloudTrail e ad altre risorse AWS necessarie per CloudTrail. Ciò include la possibilità di limitare le autorizzazioni per visualizzare e cercare l'attività dell'account. Rimuovi "cloudtrail:LookupEvents" dalla policy IAM degli utenti, impedendo così agli utenti IAM di visualizzare l'attività dell'account.

La visualizzazione o la ricerca all'interno delle attività di un account con lo storico eventi di CloudTrail non prevede alcun costo. 

Per qualsiasi traccia CloudTrail creata, è possibile interrompere la registrazione o eliminare le tracce. Questo fermerà inoltre la distribuzione dell'attività degli account al bucket Amazon S3 che hai designato come parte della configurazione delle tracce, così come la distribuzione a CloudWatch Logs se configurato. L'attività dell'account degli ultimi 90 giorni sarà comunque raccolta e consultabile all'interno della console di CloudTrail e tramite l’interfaccia della linea di comando AWS (AWS CLI). 

Regioni e servizi supportati

CloudTrail registra l'attività di un account e gli eventi generati dalla maggior parte dei servizi AWS. Per un elenco dei servizi supportati, consulta Servizi CloudTrail supportati nella Guida per l'utente di CloudTrail.

Sì. CloudTrail registra le chiamate API effettuate da qualsiasi client. La Console di gestione AWS, gli SDK AWS, gli strumenti a riga di comando e i servizi AWS di livello superiore chiamano le operazioni API AWS: pertanto, queste chiamate vengono registrate.

Le informazioni sull'attività per i servizi con endpoint regionali (come Amazon Elastic Compute Cloud [Amazon EC2] o Amazon Relational Database Service [Amazon RDS]) vengono acquisite ed elaborate nella stessa regione in cui viene eseguita l'azione. Vengono quindi consegnate alla regione associata al tuo bucket S3. Le informazioni sull'attività per i servizi con singoli endpoint come IAM e Servizio di token di sicurezza AWS (AWS STS) vengono acquisite nella regione in cui si trova l'endpoint. Vengono quindi elaborate nella regione in cui è configurato il trail CloudTrail e distribuite nella regione associata al bucket S3.

Applicazione di un trail a tutte le regioni

L'applicazione di un trail a tutte le regioni AWS implica la creazione di un percorso che registrerà l'attività di un account AWS in tutte le regioni in cui i tuoi dati sono archiviati. Questa impostazione si applica anche alle eventuali nuove regioni aggiunte. Per ulteriori dettagli su regioni e partizioni, consulta la pagina Amazon Resource Name e spazi dei nomi dei servizi AWS.

Puoi creare e gestire un trail in tutte le regioni della partizione con una sola chiamata API o con qualche clic. Riceverai un registro dell'attività dell'account eseguita nel tuo account AWS in tutte le regioni in un bucket S3 in un gruppo di CloudWatch Logs. Quando AWS avvia una nuova regione, riceverai i file di log contenenti lo storico degli eventi per la nuova regione senza dover eseguire alcuna operazione.

Nella console CloudTrail, seleziona Sì per applicare un trail a tutte le regioni nella pagina di configurazione del trail. Se utilizzi gli SDK o AWS CLI, imposta IsMultiRegionTrail su true. 

Quando applichi un trail a tutte le regioni, CloudTrail crea un nuovo trail replicandone la configurazione. CloudTrail quindi registra ed elabora i file di log in ogni regione distribuendo i file di log contenenti l'attività dell'account in tutte le regioni AWS in un singolo bucket S3 e in un singolo gruppo di log di CloudWatch Logs. Se hai specificato un argomento Amazon Simple Notification Service (Amazon SNS) facoltativo, CloudTrail distribuisce le notifiche SNS per tutti i file di log distribuiti a un singolo argomento SNS.

Sì. Sì, puoi applicare un trail esistente a tutte le regioni. Quando applichi un trail esistente a tutte le regioni, CloudTrail crea un nuovo trail per tutte le regioni. Se hai già creato trail in altre regioni, puoi visualizzare, modificare ed eliminare questi trail dalla console di CloudTrail

Di solito per replicare la configurazione del trail in tutte le regioni sono sufficienti meno di 30 secondi.

Itinerari multipli

In una regione AWS puoi creare un massimo di cinque trail. Un trail che si applica a tutte le regioni esiste in ogni regione e viene contato come un trail in ogni regione.

Con più percorsi, le varie parti interessate come gli amministratori della sicurezza, gli sviluppatori di software e i revisori IT possono creare e gestire i loro percorsi. Ad esempio, un amministratore della sicurezza può creare un percorso che si applica a tutte le regioni e configurare la crittografia utilizzando una sola chiave Amazon Key Management Service (Amazon KMS). Per risolvere problemi operativi uno sviluppatore può creare un percorso che si applica a una sola regione.

Sì. Utilizzando le autorizzazioni a livello delle risorse puoi creare policy di controllo di accesso granulare per permettere o proibire l'accesso a utenti specifici per un particolare percorso. Per ulteriori dettagli, consulta la documentazione di CloudTrail. 

Sicurezza e scadenze

Per impostazione predefinita, i file di log di CloudTrail vengono crittografati utilizzando la crittografia lato server (SSE) S3, quindi vengono inseriti nel bucket S3. Puoi controllare l'accesso ai file di log con le policy IAM o il bucket S3. Puoi aggiungere un livello di protezione supplementare abilitando l'autenticazione a più fattori (MFA) Delete S3 sul tuo bucket S3. Per ulteriori dettagli sulla creazione e l'aggiornamento di un percorso, consulta la documentazione di CloudTrail.

Puoi scaricare un esempio di policy di bucket S3 e di policy di argomento SNS dal bucket S3 di CloudTrail. Devi aggiornare gli esempi di policy con le tue informazioni prima di applicarle al tuo bucket S3 o al tuo argomento SNS.

La policy di conservazione dei file di log CloudTrail è personalizzabile. Per impostazione predefinita, i file di log vengono memorizzati per un periodo illimitato. Per definire una policy di conservazione, puoi impiegare le regole di gestione del ciclo di vita degli oggetti S3. Per esempio, puoi eliminare i vecchi file di log o archiviarli in Amazon Simple Storage Service Glacier (Amazon S3 Glacier).

Messaggi di eventi, tempistica e frequenza di distribuzione

Un evento contiene le informazioni importanti della relativa attività, tra cui l'autore della richiesta, i servizi impiegati, le operazioni eseguite, i parametri dell'azione e gli elementi di risposta restituiti dal servizio AWS. Per maggiori dettagli, consulta la sezione Riferimento agli eventi CloudTrail nella guida per l'utente. 

Di solito, CloudTrail distribuisce un evento entro 5 minuti dalla chiamata API. Ulteriori informazioni sul funzionamento di CloudTrail sono riportate qui.   

CloudTrail distribuisce i file di log nel bucket S3 circa ogni cinque minuti. CloudTrail non distribuisce file di log se non ci sono state chiamate API sul tuo account. 

Sì. Puoi attivare le notifiche Amazon SNS per eseguire un'operazione non appena ricevi nuovi file di log. 

Sebbene non sia comune, potresti ricevere file di log che contengono uno o più eventi duplicati. Gli eventi duplicati avranno lo stesso eventID. Per ulteriori informazioni sul campo eventID, consulta i contenuti dei record di CloudTrail

I file di log CloudTrail vengono distribuiti in conformità con le policy del bucket S3 da te definite. Se le policy di bucket non vengono configurate correttamente, CloudTrail potrebbe non essere in grado di inoltrare i file di log. 

CloudTrail è progettato per supportare almeno una consegna di eventi sottoscritti ai bucket S3 dei clienti. In alcune situazioni, è possibile che CloudTrail fornisca lo stesso evento più di una volta. Di conseguenza, i clienti potrebbero notare eventi duplicati. 

Eventi sui dati

Gli eventi di dati forniscono informazioni dettagliate sulle operazioni delle risorse (piano dati) eseguite su o all'interno della risorsa stessa. Gli eventi di dati sono spesso attività a volume elevato e includono operazioni come API a livello di oggetto di S3 e API Invoke delle funzioni AWS Lambda. Quando si configura un trail, gli eventi di dati sono disabilitati per impostazione predefinita. Per registrare gli eventi di dati di CloudTrail, è necessario aggiungere esplicitamente le risorse o i tipi di risorse supportati su cui si desidera raccogliere attività. A differenza degli eventi di gestione, gli eventi sui dati prevedono costi aggiuntivi. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudTrail

Gli eventi di dati vengono registrati da CloudTrail e inoltrati in S3, in modo analogo agli eventi di gestione. Una volta abilitati, questi eventi sono disponibili anche in Amazon CloudWatch Events. 

Gli eventi di dati di S3 rappresentano l'attività dell'API sugli oggetti di S3. Per fare in modo che CloudTrail registri queste azioni, devi specificare un bucket S3 nella sezione degli eventi sui dati al momento della creazione di un nuovo itinerario oppure della modifica di uno esistente. Qualsiasi operazione API sugli oggetti all'interno del bucket S3 specificato vengono registrate da CloudTrail. 

Gli eventi di dati di Lambda registrano le attività di esecuzione delle funzioni Lambda. Con gli eventi di dati di Lambda, puoi ottenere dettagli sul runtime della funzione Lambda. Esempi di runtime della funzione Lambda includono quale utente o servizio IAM ha effettuato la chiamata API Invoke, quando è stata effettuata la chiamata e quale funzione è stata applicata. Tutti gli eventi di dati Lambda vengono forniti in un bucket S3 e in Eventi Amazon CloudWatch. Puoi attivare la registrazione per gli eventi di dati di Lambda utilizzando la CLI o la console CloudTrail e selezionare quali funzioni Lambda registrare creando un nuovo trail o modificandone uno esistente. 

Eventi di attività di rete (in anteprima)

Gli eventi di attività di rete registrano le azioni dell'API AWS eseguite utilizzando endpoint VPC da un VPC privato al servizio AWS e ti aiutano a soddisfare i casi d'uso delle indagini sulla sicurezza della rete. Includono le chiamate API AWS che hanno superato con successo la policy degli endpoint VPC e quelle a cui è stato negato l'accesso. A differenza degli eventi di gestione e dati che vengono consegnati sia al chiamante dell'API che al proprietario della risorsa, gli eventi di attività di rete vengono consegnati solo al proprietario dell'endpoint VPC. Per registrare gli eventi di attività di rete, devi abilitarli esplicitamente durante la configurazione del tuo trail o dell'archivio di dati degli eventi e scegliere le fonti degli eventi dei servizi AWS su cui desideri raccogliere le attività. Puoi anche aggiungere ulteriori filtri come il filtraggio per ID dell'endpoint VPC o la registrazione dei soli errori di accesso negato. Gli eventi di attività di rete comportano costi aggiuntivi. Per ulteriori informazioni, consulta i prezzi di CloudTrail.

La caratteristica dei log di flusso ti consente di acquisire informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo VPC. I dati del log di flusso possono essere pubblicati nelle seguenti posizioni: Amazon CloudWatch Logs, Amazon S3 o Amazon Data Firehose. Gli eventi di attività di rete per gli endpoint VPC acquisiscono le azioni dell'API AWS eseguite utilizzando gli endpoint VPC da un VPC privato al servizio AWS. Ciò fornisce dettagli su chi accede alle risorse all'interno della rete, offrendoti una maggiore capacità di identificare e rispondere ad azioni indesiderate nel perimetro dei dati. È possibile visualizzare i log delle azioni negate a causa delle policy degli endpoint VPC o utilizzare questi eventi per convalidare l'impatto dell'aggiornamento delle policy esistenti. 

Amministratore delegato

Sì, CloudTrail supporta ora l'aggiunta di un massimo di tre amministratori delegati per organizzazione.

L'account di gestione rimarrà il proprietario di tutti i trail dell'organizzazione o dei datastore di eventi creati a livello dell'organizzazione, indipendentemente dal fatto che sia stato creato da un account amministratore delegato o da un account di gestione.

Attualmente, il supporto con amministratore delegato per CloudTrail è disponibile in tutte le regioni in cui è disponibile AWS CloudTrail. Per ulteriori informazioni, consulta la tabella delle regioni AWS.

CloudTrail Insights

Gli eventi di CloudTrail Insights consentono di identificare attività insolite all'interno dei loro account AWS, come picchi di attività nel provisioning delle risorse, aumenti improvvisi di operazioni di AWS Identity and Access Management (IAM) o divari nelle attività periodiche di manutenzione. CloudTrail Insights utilizza modelli di machine learning (ML) che monitorano costantemente gli eventi di gestione della scrittura di CloudTrail in cerca di attività insolite.

Quando viene rilevata un'attività insolita, gli eventi di CloudTrail Insights vengono mostrati nella console e inviati a Eventi CloudWatch, al bucket S3 e, se lo desideri, al gruppo di CloudWatch Logs. In tal modo puoi creare gli avvisi e integrarli con i sistemi di gestione eventi e flussi di lavoro esistenti.

CloudTrail Insights rileva le attività insolite analizzando gli aventi di gestione della scrittura all'interno di una regione e un account AWS. Un evento insolito o atipico viene definito in base al volume di chiamate API AWS che differiscono dalle previsioni effettuate a partire da una linea di base o da un modello operativo stabilito prestabilito. CloudTrail Insights si adatta alle modifiche dei consueti modelli operativi prendendo in considerazione tendenze basate sul tempo nelle chiamate API e applicando le baseline come modifiche dei flussi di lavoro.

CloudTrail Insights può aiutarti a rilevare script o applicazioni che si comportano in modo diverso dal normale. A volte uno sviluppatore modifica uno script o un'applicazione che esegue operazioni ripetitive o effettua un gran numero di chiamate a risorse indesiderate come database, archivi di dati o altre funzioni. Spesso questo comportamento non viene notato se non al momento della fatturazione a fine mese, quando si rileva un aumento inatteso dei costi o si verifica un'interruzione effettiva. Gli eventi di CloudTrail Insights possono aiutarti a rilevare queste modifiche nell'account AWS, in modo da poter apportare azioni correttive in maniera rapida.

CloudTrail Insights identifica attività operative insolite negli account AWS che ti consentono di affrontare problemi operativi, riducendo l'impatto operativo e aziendale. Amazon GuardDuty serve ad aumentare la sicurezza dell'account e fornisce rilevamento delle minacce mediante il monitoraggio delle attività dell'account. Amazon Macie è progettato per aumentare la protezione dei dati nell'account tramite operazioni di rilevamento, classificazione e protezione dei dati sensibili. Questi servizi offrono protezione complementare contro diversi tipi di problematiche che possono emergere nell'account.

Sì. Gli eventi di CloudTrail Insights sono configurati in singoli trail, pertanto deve essercene almeno uno configurato. Quando attivi gli eventi di CloudTrail Insights per un trail, CloudTrail inizia a monitorare gli eventi di gestione della scrittura sul trail in cerca di modelli insoliti. Se CloudTrail Insights rileva un'attività insolita, un evento CloudTrail Insights viene caricato nella destinazione di distribuzione specificata nella definizione del percorso.

CloudTrail Insights monitora le attività insolite per le operazioni API di gestione della scrittura.

Puoi abilitare gli eventi di CloudTrail Insights su singoli trail nell'account utilizzando la console, la CLI o l'SDK. Puoi anche abilitare gli eventi di CloudTrail Insights nella tua organizzazione utilizzando un trail organizzativo configurato nell'account di gestione di AWS Organizations. Puoi attivare gli eventi di CloudTrail Insights scegliendo il pulsante d'opzione nella definizione del trail. 

CloudTrail Lake

CloudTrail Lake ti aiuta a esaminare gli incidenti interrogando tutte le azioni registrate da CloudTrail e gli elementi di configurazione registrati da AWS Config, le prove da Gestione audit o gli eventi da origini non AWS. Semplifica la registrazione degli incidenti aiutandoti ad eliminare dipendenze operative, fornendo strumenti che ti permettono di essere meno dipendente da complesse pipeline di processi di dati che si estendono all'interno del team. CloudTrail Lake non richiede di spostare e importare registri di CloudTrail altrove, il che aiuta a mantenere la fedeltà dei dati e riduce il problema dei limiti di bassa velocità che "soffocano" i log. Inoltre, fornisce latenze in tempo reale, dal momento che è ottimizzato per log strutturati per volumi elevati, rendendoli disponibili per l'analisi degli incidenti. Fornisce un'esperienza familiare di query multi-attributo utilizzando SQL, con la possibilità di programmare e gestire più query simultanee. Per gli utenti che hanno meno esperienza con SQL, è disponibile la generazione di query in linguaggio naturale per facilitare la creazione di query SQL, semplificando l'analisi dei dati. La possibilità di riepilogare i risultati delle query utilizzando l'IA (in anteprima) migliora ulteriormente la capacità di ricavare informazioni significative dai log delle attività e di indagare in modo efficiente sugli incidenti. Inoltre, le dashboard predefinire e personalizzate offrono modi intuitivi per visualizzare e analizzare i dati archiviati negli archivi dati degli eventi direttamente all'interno della console CloudTrail. Unendo queste funzionalità, CloudTrail Lake ti consente di indagare in modo efficiente sugli incidenti e ottenere informazioni più approfondite sul tuo ambiente AWS, il tutto semplificando i processi di gestione dei dati.

CloudTrail è la fonte canonica dei registri per l'attività utente e per l'utilizzo di API nei servizi AWS. Quando i log sono disponibili in CloudTrail, potrai utilizzare CloudTrail Lake per esaminare le attività nei servizi AWS. Puoi interrogare e analizzare l'attività degli utenti e le risorse coinvolte e utilizzare i dati per identificare utenti malintenzionati e stabilire una linea di base per le autorizzazioni.

Puoi cercare e aggiungere integrazioni dei partner per iniziare a ricevere eventi sulle attività da tali applicazioni in pochi passi utilizzando la console CloudTrail, senza la necessità di costruire e mantenere integrazioni personalizzate. Per origini diverse dalle integrazioni dei partner disponibili, puoi utilizzare le nuove API di Data Lake CloudTrail per impostare le tue integrazioni e inviare gli eventi al Data Lake CloudTrail. Per iniziare, consulta Utilizzo di Data Lake CloudTrail nella Guida per l'utente di CloudTrail.

La query avanzata di AWS Config è consigliata per i clienti che desiderano aggregare ed eseguire query sugli elementi di configurazione (CI) di AWS Config allo stato corrente. Questo aiuta i clienti con la gestione dell'inventario, la sicurezza e l'intelligence operativa, l'ottimizzazione dei costi e i dati di conformità. La query avanzata di AWS Config è gratuita se sei un cliente AWS Config. 

CloudTrail Lake supporta la copertura delle query per gli elementi di configurazione di AWS Config, inclusa la configurazione delle risorse e la cronologia della conformità. L'analisi della cronologia di configurazione e conformità per le risorse con eventi CloudTrail correlati consente di dedurre chi, quando e cosa è cambiato in tali risorse. Questo aiuta con l'analisi della causa principale degli incidenti relativi all'esposizione alla sicurezza o alla non conformità. CloudTrail Lake è consigliato se devi aggregare ed eseguire query sui dati tra gli eventi CloudTrail e gli elementi della configurazione cronologica.  

Data Lake CloudTrail non importerà gli elementi di configurazione di AWS Config generati prima della configurazione del Lake. Gli elementi di configurazione appena registrati da AWS Config, a livello di account o di organizzazione, verranno inviati all'archivio dati di eventi Data Lake CloudTrail specificato. Questi elementi di configurazione saranno disponibili per le query nel Lake per il periodo di conservazione specificato e possono essere utilizzati per l'analisi dei dati cronologici. 

Se vengono tentate più modifiche alla configurazione su una singola risorsa da parte di più utenti in rapida successione, è possibile creare un solo elemento di configurazione che verrebbe mappato alla configurazione dello stato finale della risorsa. In questo e in altri scenari simili, potrebbe non essere possibile fornire una correlazione del 100% su quale utente ha apportato quali modifiche alla configurazione interrogando CloudTrail e gli elementi della configurazione per un intervallo di tempo e un ID risorsa specifici.

Sì. La funzionalità di importazione di Data Lake CloudTrail supporta la copia dei registri CloudTrail da un bucket S3 che archivia registri da più account (da un percorso di organizzazione) e più regioni AWS. È inoltre possibile importare registri da singoli account e percorsi a regione singola. La funzionalità di importazione consente anche di specificare un intervallo di date di importazione, così da poter importare soltanto il sottoinsieme di log necessari per l'archiviazione e l'analisi sul lungo termine in CloudTrail Lake. Una volta consolidati i log, è possibile sottoporli a query, dagli eventi più recenti raccolti dopo l'abilitazione di CloudTrail Lake agli eventi storici acquisiti dai trail.

La funzionalità di importazione copia le informazioni del log da S3 a CloudTrail Lake e lascia intatta la copia originale in S3.

Puoi abilitare CloudTrail Lake per ogni categoria di eventi registrata da CloudTrail, in base al problema interno che desideri risolvere. Le categorie di eventi includono eventi di gestione che acquisiscono attività del piano di controllo come CreateBucket e TerminateInstances, eventi sui dati che acquisiscono attività del piano dati come GetObject e PutObject ed eventi di attività di rete (in anteprima) che acquisiscono le azioni API eseguite utilizzando endpoint VPC da un VPC privato al servizio AWS. Non è richiesta alcuna sottoscrizione separata per questi eventi. Per CloudTrail Lake, dovrai scegliere tra le opzioni tariffarie di conservazione estendibile per un anno e di sette anni, che influiranno sui costi e sulla durata della fidelizzazione degli eventi. Puoi interrogare i dati in qualsiasi momento. All'interno dei pannelli di controllo di CloudTrail Lake, supportiamo l'interrogazione degli eventi di CloudTrail.

Dopo aver abilitato la caratteristica, puoi sottoporre a query le attività quasi immediatamente.

Tra i casi d'uso più comuni rientrano l'analisi degli incidenti di sicurezza, come accessi non autorizzati o compromissione delle credenziali utente, e il miglioramento della posizione di sicurezza attraverso verifiche per impostare le autorizzazioni utente di base. È possibile eseguire le verifiche necessarie per assicurarsi che il giusto set di utenti stia modificando le risorse, come gruppi di sicurezza, e tracciare ogni modifica non conforme alle best practice dell'organizzazione. Inoltre, puoi tenere traccia delle operazioni compiute sulle tue risorse e valutare le modifiche o le eliminazioni, ottenendo informazioni dettagliate sulle fatture dei tuoi servizi AWS, tra cui l'iscrizione degli utenti IAM ai servizi.

Se sei un cliente CloudTrail attuale o nuovo, puoi iniziare immediatamente a utilizzare la funzionalità CloudTrail Lake per eseguire query abilitando la funzione tramite l'API o la console CloudTrail.

Seleziona la scheda CloudTrail Lake nel pannello di sinistra della console CloudTrail e seleziona il pulsante Crea datastore di eventi. Quando crei un datastore di eventi, scegli l'opzione di prezzo che desideri utilizzare per il datastore. L'opzione di determinazione del prezzo determina il costo per l'inserimento degli eventi e il periodo di conservazione massimo e predefinito per il datastore di eventi. Quindi, seleziona le categorie di eventi che desideri registrare (gestione, dati ed eventi di attività di rete). Inoltre, puoi sfruttare le funzionalità avanzate di filtraggio degli eventi per controllare quali eventi CloudTrail vengono inseriti nei tuoi archivi dati degli eventi, aiutandoti ad aumentare l'efficienza e a ridurre i costi, mantenendo al contempo la visibilità sulle attività rilevanti. Una volta impostato l'archivio dati degli eventi, puoi eseguire query relative a tutti gli archivi dati degli eventi di tua proprietà o che gestisci utilizzando query basate su SQL. Per gli utenti che hanno meno familiarità con SQL, è disponibile la generazione di query in linguaggio naturale per facilitare la creazione di query SQL.

Inoltre, i risultati delle query possono essere riepilogati (in anteprima) utilizzando l'IA generativa, migliorando ulteriormente la capacità di ricavare informazioni dai dati di CloudTrail. Per aiutarti a visualizzare i dati di CloudTrail Lake, puoi utilizzare dashboard predefinite disponibili direttamente nella console CloudTrail, che forniscono visibilità immediata e informazioni chiave dai tuoi dati di audit e sicurezza. Per un monitoraggio e un'analisi più mirati, esiste anche la possibilità di creare dashboard personalizzate su misura per le tue esigenze specifiche.

Sì. È possibile aggiornare l'opzione di prezzo da prezzi di conservazione per sette anni a prezzi di conservazione estendibili per un anno come parte della configurazione del datastore di eventi. I dati esistenti rimarranno disponibili nel datastore di eventi per il periodo di conservazione configurato. Questi dati non comporteranno costi di conservazione prolungati. Tuttavia, tutti i dati acquisiti di recente saranno soggetti ai costi di conservazione estendibili per un anno sia per l'importazione che per la conservazione estesa. 

No. Al momento non supportiamo la migrazione di un datastore di eventi da un prezzo di conservazione estendibile per un anno a un prezzo di conservazione per sette anni. Tuttavia, potrai disattivare la registrazione per il datastore di eventi corrente, creando al contempo un nuovo datastore con prezzi di conservazione a sette anni per i dati appena inseriti. Potrai comunque conservare e analizzare i dati in entrambi i datastore con la rispettiva opzione di prezzo e il periodo di conservazione configurato.

CloudTrail Lake è un lake di audit che aiuta i clienti a soddisfare le esigenze dei loro casi d'uso in materia di conformità e controllo. In base ai mandati del programma di conformità, i clienti devono conservare i log di audit per una durata specifica a partire dal momento in cui sono stati generati, indipendentemente da quando sono stati inseriti in CloudTrail Lake.

No. Poiché in passato si trattava di un evento storico con un orario prestabilito, questo evento verrà conservato in CloudTrail Lake per un periodo di conservazione di 1 anno a partire dalla data dell'evento. Pertanto, la durata per la quale l'evento verrà archiviato in CloudTrail Lake sarà inferiore a 1 anno. 

Le dashboard predefinite di CloudTrail Lake supportano la visualizzazione della gestione, dei dati e degli eventi di Insights di CloudTrail. Inoltre, hai la flessibilità di creare dashboard personalizzate in grado di visualizzare qualsiasi tipo di dati memorizzati negli archivi dati degli eventi, il che consente di personalizzare l'analisi in base alle esigenze specifiche.

Al momento le dashboard sono abilitate a livello di account.

Le dashboard di CloudTrail Lake sono basate sulle query di CloudTrail Lake. Quando abiliti le dashboard di CloudTrail Lake, ti verranno addebitati i dati scansionati. Consulta la pagina dei prezziper ulteriori informazioni.

Sì, puoi creare dashboard personalizzate nonché impostare pianificazioni per aggiornarle periodicamente.

CloudTrail Lake offre una suite di dashboard predefinite che soddisfano diversi casi d'uso relativi a sicurezza, conformità, operazioni e gestione delle risorse. Queste dashboard pronte all'uso sono personalizzate per scenari specifici e forniscono un valore immediato sotto vari aspetti della governance del cloud:

  • Per il monitoraggio della sicurezza, dashboard come la "Security Monitoring Dashboard" consentono di rilevare gli eventi di sicurezza critici, inclusi gli eventi di accesso negato, i tentativi di accesso falliti e le azioni distruttive.
  • Per supportare gli sforzi di conformità, la “IAM Activity Dashboard” fornisce visibilità sulle modifiche alle entità IAM e aiuta a identificare azioni IAM non intenzionali e potenziali problemi di conformità.
  • I team che si occupano delle operazioni nel cloud possono utilizzare la "Error Analysis Dashboard" per identificare e risolvere gli errori di limitazione del servizio e altri problemi operativi tra i diversi servizi.
  • Per la gestione delle risorse, la "Resource Changes Dashboard" offre visibilità sulle tendenze nel provisioning, nell'eliminazione e nelle modifiche tra le risorse AWS, comprese le modifiche apportate tramite CloudFormation e manualmente.
  • Le organizzazioni possono usufruire della "Organizations Activity Dashboard", che fornisce informazioni sulla gestione degli account, sui modelli di accesso e sulle modifiche alle policy.
  • Le dashboard specifiche dei servizi per EC2, Lambda, DynamoDB e S3 offrono una visibilità dettagliata delle attività di gestione e del piano dati per questi servizi.

Aggregazione di file di log

Sì. Un bucket S3 può essere configurato come destinazione per più account. Per istruzioni dettagliate, consulta la sezione relativa all'aggregazione di file di log in un singolo bucket S3 della Guida per l'utente di CloudTrail.

Integrazione con CloudWatch Logs

Grazie all'integrazione con CloudWatch Logs, CloudTrail inoltra gli eventi di gestione e gli eventi sui dati che acquisisce in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato.

Questa integrazione consente di ricevere notifiche SNS dell'attività dell'account acquisite da CloudTrail. Ad esempio, è possibile creare allarmi di CloudWatch per monitorare le chiamate API che dispongono la creazione, la modifica o l'eliminazione di gruppi di sicurezza o di liste di controllo degli accessi di rete (ACL).

L'integrazione di CloudTrail con i CloudWatch Logs può essere attivata tramite la console CloudTrail specificando un gruppo di log di CloudWatch Logs e un ruolo IAM. Puoi anche utilizzare gli SDK AWS o la CLI AWS.

Dopo avere attivato l'integrazione, CloudTrail inizia a distribuire in modo continuo l'attività dell'account in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato. Inoltre, CloudTrail continua a distribuire log nel tuo bucket S3 come prima.

L'integrazione è supportata in tutte le regioni in cui è disponibile CloudWatch Logs. Per ulteriori informazioni, consulta Regioni ed endpoint in Riferimenti generali AWS.

Per distribuire l'attività degli account a CloudWatch Logs, CloudTrail assume il ruolo IAM definito. Le autorizzazioni assegnate al ruolo IAM possono essere limitate in modo da consentire la distribuzione di eventi esclusivamente nel flusso di log di CloudWatch Logs. Per esaminare la policy dei ruoli IAM, consulta la Guida per l'utente nella documentazione di CloudTrail.

Dopo l'attivazione dell'integrazione di CloudTrail con CloudWatch Logs, ti vengono addebitati i costi standard di CloudWatch Logs e di CloudWatch. Per i dettagli, consulta la pagina dei prezzi di CloudWatch. 

Crittografia dei file di log CloudTrail con AWS KMS

La crittografia dei file di log CloudTrail con SSE-KMS permette di aggiungere un livello supplementare di protezione ai file di log di CloudTrail distribuiti a un bucket S3, crittografandoli con una chiave KMS. Per impostazione predefinita, CloudTrail crittografa tutti i file di log distribuiti al bucket S3 specificato utilizzando la crittografia lato server di S3.

Grazie all'opzione SSE-KMS, S3 decrittografa automaticamente i file di log, quindi non è necessario apportare modifiche alle applicazioni esistenti. Come di consueto, è importare accertarsi che le applicazioni dispongano delle autorizzazioni necessarie per operare, ad esempio GetObject per S3 e Decrypt per KMS.

Per configurare la crittografia dei file di log, puoi utilizzare la Console di gestione AWS, l'interfaccia a riga di comando di AWS o gli SDK AWS. Per istruzioni dettagliate, consulta la documentazione.

Per la crittografia con SSE-KMS, vengono applicate le tariffe standard di AWS KMS. Per ulteriori informazioni, consulta la pagina dei prezzi di AWS KMS.

Convalida dell'integrità dei file di log di CloudTrail

La convalida dell'integrità dei file di log di CloudTrail è una funzione che permette di determinare se un file di log di CloudTrail è rimasto invariato, se è stato eliminato o modificato dal momento in cui CloudTrail lo ha distribuito nel bucket S3 specificato.

Puoi utilizzare la convalida dell'integrità dei file di log come sussidio ai processi di sicurezza e audit IT.

Puoi abilitare la funzione di convalida dell'integrità dei file di log di CloudTrail tramite la Console di gestione AWS, AWS CLI o gli SDK AWS.

Quando la funzione di convalida dell'integrità dei file di log viene attivata, CloudTrail distribuisce i file digest ogni ora. I file digest contengono informazioni sui file di log che sono stati consegnati al bucket S3 e i valori hash per tali file di log. Contengono anche le firme digitali per il file digest precedente e la firma digitale per il file digest corrente nella sezione dei metadati S3. Per ulteriori informazioni sui file digest, sulle firme digitali e sui valori hash, consulta la documentazione di CloudTrail..

I file digest vengono distribuiti allo stesso bucket S3 in cui vengono distribuiti i file di log. Tuttavia vengono distribuiti in una cartella diversa in modo da poter applicare policy di controllo degli accessi granulari. Per ulteriori informazioni, consulta la sezione relativa alla struttura dei file digest nella documentazione di CloudTrail.

Puoi utilizzare AWS CLI per convalidare l'integrità di un file di log o di un file digest. Puoi anche costruire i tuoi strumenti per effettuare la convalida. Per ulteriori dettagli su come utilizzare AWS CLI per convalidare l'integrità di un file di log, consulta la documentazione di CloudTrail.

Sì. CloudTrail distribuirà i file digest in tutte le regioni e in tutti i diversi account nello stesso bucket S3.

Libreria di elaborazione di CloudTrail

La libreria di elaborazione di CloudTrail è una libreria Java che facilita la creazione di applicazioni in grado di leggere ed elaborare i file di log di CloudTrail. Puoi scaricare la libreria di elaborazione di CloudTrail da GitHub.

La libreria di elaborazione di CloudTrail consente di gestire attività quali polling continuo di una coda SQS, lettura e analisi di messaggi Amazon Simple Queue Service (Amazon SQS), download di file di log archiviati in S3 e analisi e serializzazione di eventi di file di log con tolleranza agli errori. Per ulteriori informazioni, consulta la Guida per l'utente nella documentazione di CloudTrail. 

È necessario disporre di aws-java-sdk 1.9.3 e Java 1.7 o versione successiva.

Prezzi

CloudTrail ti permette di visualizzare, cercare e scaricare gratuitamente gli ultimi 90 giorni di eventi di gestione del tuo account. È possibile distribuire gratuitamente una copia degli eventi di gestione in corso su S3 creando un trail. Una volta configurato un trail CloudTrail, vengono applicati i costi di S3 in base all'uso.

È possibile distribuire copie aggiuntive di eventi, inclusi quelli sui dati e sull'attività di rete (in anteprima), utilizzando i trail. Ti verranno addebitati gli eventi sui dati, gli eventi sull'attività di rete e copie aggiuntive degli eventi di gestione. Scopri di più sulla pagina dei prezzi.

No. La prima copia degli eventi di gestione viene distribuita gratuitamente in ciascuna regione.

Sì. Ti saranno addebitati solo i costi degli eventi di dati. La prima copia degli eventi di gestione viene inoltrata gratuitamente. 

Quando si utilizza CloudTrail Lake, l'importazione e l'archiviazione si pagano unitamente e la fatturazione si basa sulla quantità di dati non compressi importati e sulla quantità di dati compressi archiviati. Quando crei un datastore di eventi, scegli l'opzione di prezzo che desideri utilizzare per il datastore. L'opzione di determinazione del prezzo determina il costo per l'inserimento degli eventi e il periodo di conservazione massimo e predefinito per il datastore di eventi. I costi di interrogazione si basano sui dati compressi che scegli di analizzare. Scopri di più sulla pagina dei prezzi.

Sì. Ogni evento CloudTrail, in media, è di circa 1.500 byte. Utilizzando questa mappatura, sarai in grado di stimare l’importazione di CloudTrail Lake in base all'utilizzo di CloudTrail del mese precedente nei percorsi in base al numero di eventi.

Partner

Vari partner offrono soluzioni integrate per analizzare i file di log di CloudTrail. Queste soluzioni includono caratteristiche come il rilevamento di modifiche, la risoluzione di problemi e l'analisi di sicurezza. Per ulteriori informazioni, consulta la sezione relativa ai partner di CloudTrail.

Per iniziare a utilizzare la tua integrazione, puoi consultare la Guida sull'onboarding per i partner. Coordinati con il team di sviluppo dei partner o i solutions architect del partner per contattare il team di Data Lake CloudTrail per approfondimenti o domande ulteriori.

Altro

No. L'attivazione di CloudTrail non incide sulle prestazioni delle risorse AWS o sulla latenza delle chiamate API.