- Gestione e governance›
- AWS CloudTrail›
- Domande frequenti
Domande frequenti su AWS CloudTrail
Argomenti della pagina
Domande generaliDomande generali
Cos'è AWS CloudTrail?
CloudTrail permette la verifica, la sicurezza, il monitoraggio di sicurezza e la risoluzione dei problemi operazionali tracciando l'attività degli utenti e l'utilizzo delle API. CloudTrail registra, monitora continuamente e conserva l'attività dell'account relativa alle azioni nella tua infrastruttura AWS, dandoti il controllo sull'archiviazione, l'analisi e le azioni di ripristino.
Quali sono i vantaggi derivanti dall'utilizzo di CloudTrail?
CloudTrail ti aiuta a dimostrare la conformità, a migliorare la posizione di sicurezza e a consolidare i registri delle attività in tutte le regioni e gli account. CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni eseguite sul tuo account. Cloudtrail registra le informazioni importanti su ciascuna operazione, tra cui l'autore della richiesta, i servizi utilizzati, le azioni intraprese, i parametri per le azioni e gli elementi di risposta restituiti dal servizio AWS. Queste informazioni consentono di monitorare le modifiche apportate alle tue risorse AWS e di risolvere i problemi operativi. CloudTrail rende più semplice garantire la conformità con policy interne e standard normativi. Per maggiori dettagli, consulta il whitepaper sulla conformità AWS Sicurezza su vasta scala: accesso in AWS.
A chi si rivolge CloudTrail?
Utilizza CloudTrail se hai bisogno di verificare l'attività, monitorare la sicurezza o risolvere problemi operativi.
Nozioni di base
Se sono un utente di AWS, nuovo o esistente, e non ho configurato CloudTrail, devo abilitare o configurare qualche impostazione per vedere l'attività del mio account?
No, non è necessaria alcuna operazione per vedere l'attività del tuo account. È sufficiente accedere alla console di AWS CloudTrail o ad AWS CLI per visualizzare l'attività dell'account degli ultimi 90 giorni.
La cronologia eventi di CloudTrail mostra tutta l'attività del mio account?
AWS CloudTrail mostra solo i risultati della cronologia degli eventi di CloudTrail per la regione corrente per gli ultimi 90 giorni e supporta esclusivamente una gamma di servizi AWS. Gli eventi inclusi sono solo gli eventi di gestione che creano, modificano ed eliminano chiamate API e attività dell'account. Per un registro completo dell'attività dell'account, inclusi tutti gli eventi di gestione, gli eventi sui dati e l'attività in sola lettura, è necessario configurare un percorso CloudTrail.
Quali filtri di ricerca posso impiegare per visualizzare l'attività dell'account?
Puoi specificare l'intervallo di tempo e uno dei seguenti attributi: nome dell'evento, nome dell'utente, nome della risorsa, fonte dell'evento, ID dell'evento e tipo di risorsa.
Posso utilizzare il comando lookup-events della CLI anche se non ho configurato un percorso?
Sì, puoi accedere alla console di CloudTrail oppure utilizzare l'API o CLI di CloudTrail per consultare l'attività dell'account degli ultimi 90 giorni.
Quali funzionalità aggiuntive di CloudTrail sono disponibili dopo la creazione di un trail?
Configura un percorso CloudTrail per distribuire i tuoi eventi CloudTrail su Amazon Simple Storage Service (Amazon S3), File di log Amazon CloudWatch ed Eventi Amazon CloudWatch. Ciò consente di utilizzare le funzionalità per archiviare, analizzare ed eseguire azioni in risposta alle modifiche nelle risorse AWS.
Posso limitare l'accesso degli utenti alla visualizzazione della cronologia eventi CloudTrail?
Sì, CloudTrail si integra con AWS Identity and Access Management (IAM), che permette di controllare l'accesso a CloudTrail e ad altre risorse AWS necessarie per CloudTrail. Ciò include la possibilità di limitare le autorizzazioni per visualizzare e cercare l'attività dell'account. Rimuovi "cloudtrail:LookupEvents" dalla policy IAM degli utenti, impedendo così agli utenti IAM di visualizzare l'attività dell'account.
Sono previsti costi per l'attivazione della cronologia degli eventi CloudTrail al momento della creazione di un account?
La visualizzazione o la ricerca all'interno delle attività di un account con lo storico eventi di CloudTrail non prevede alcun costo.
Posso disattivare la cronologia degli eventi CloudTrail per il mio account?
Per qualsiasi traccia CloudTrail creata, è possibile interrompere la registrazione o eliminare le tracce. Questo fermerà inoltre la distribuzione dell'attività degli account al bucket Amazon S3 che hai designato come parte della configurazione delle tracce, così come la distribuzione a CloudWatch Logs se configurato. L'attività dell'account degli ultimi 90 giorni sarà comunque raccolta e consultabile all'interno della console di CloudTrail e tramite l’interfaccia della linea di comando AWS (AWS CLI).
Regioni e servizi supportati
Quali servizi sono supportati da CloudTrail?
CloudTrail registra l'attività di un account e gli eventi generati dalla maggior parte dei servizi AWS. Per un elenco dei servizi supportati, consulta Servizi CloudTrail supportati nella Guida per l'utente di CloudTrail.
Le chiamate API effettuate dalla Console di gestione AWS vengono registrate?
Sì. CloudTrail registra le chiamate API effettuate da qualsiasi client. La Console di gestione AWS, gli SDK AWS, gli strumenti a riga di comando e i servizi AWS di livello superiore chiamano le operazioni API AWS: pertanto, queste chiamate vengono registrate.
Dove vengono archiviati ed elaborati i file di log prima di essere distribuiti al bucket S3?
Le informazioni sull'attività per i servizi con endpoint regionali (come Amazon Elastic Compute Cloud [Amazon EC2] o Amazon Relational Database Service [Amazon RDS]) vengono acquisite ed elaborate nella stessa regione in cui viene eseguita l'azione. Vengono quindi consegnate alla regione associata al tuo bucket S3. Le informazioni sull'attività per i servizi con singoli endpoint come IAM e Servizio di token di sicurezza AWS (AWS STS) vengono acquisite nella regione in cui si trova l'endpoint. Vengono quindi elaborate nella regione in cui è configurato il trail CloudTrail e distribuite nella regione associata al bucket S3.
Applicazione di un trail a tutte le regioni
Cosa significa applicare un trail a tutte le regioni AWS?
L'applicazione di un trail a tutte le regioni AWS implica la creazione di un percorso che registrerà l'attività di un account AWS in tutte le regioni in cui i tuoi dati sono archiviati. Questa impostazione si applica anche alle eventuali nuove regioni aggiunte. Per ulteriori dettagli su regioni e partizioni, consulta la pagina Amazon Resource Name e spazi dei nomi dei servizi AWS.
Quali sono i vantaggi dell'applicazione di un trail a tutte le regioni?
Puoi creare e gestire un trail in tutte le regioni della partizione con una sola chiamata API o con qualche clic. Riceverai un registro dell'attività dell'account eseguita nel tuo account AWS in tutte le regioni in un bucket S3 in un gruppo di CloudWatch Logs. Quando AWS avvia una nuova regione, riceverai i file di log contenenti lo storico degli eventi per la nuova regione senza dover eseguire alcuna operazione.
Come posso applicare un trail a tutte le regioni?
Nella console CloudTrail, seleziona Sì per applicare un trail a tutte le regioni nella pagina di configurazione del trail. Se utilizzi gli SDK o AWS CLI, imposta IsMultiRegionTrail su true.
Cosa succede quando applico un trail a tutte le regioni?
Quando applichi un trail a tutte le regioni, CloudTrail crea un nuovo trail replicandone la configurazione. CloudTrail quindi registra ed elabora i file di log in ogni regione distribuendo i file di log contenenti l'attività dell'account in tutte le regioni AWS in un singolo bucket S3 e in un singolo gruppo di log di CloudWatch Logs. Se hai specificato un argomento Amazon Simple Notification Service (Amazon SNS) facoltativo, CloudTrail distribuisce le notifiche SNS per tutti i file di log distribuiti a un singolo argomento SNS.
Posso applicare un percorso esistente a tutte le regioni?
Sì. Sì, puoi applicare un trail esistente a tutte le regioni. Quando applichi un trail esistente a tutte le regioni, CloudTrail crea un nuovo trail per tutte le regioni. Se hai già creato trail in altre regioni, puoi visualizzare, modificare ed eliminare questi trail dalla console di CloudTrail.
Quanto tempo impiega CloudTrail a replicare la configurazione del trail in tutte le regioni?
Di solito per replicare la configurazione del trail in tutte le regioni sono sufficienti meno di 30 secondi.
Itinerari multipli
Quanti trail posso creare in una regione?
In una regione AWS puoi creare un massimo di cinque trail. Un trail che si applica a tutte le regioni esiste in ogni regione e viene contato come un trail in ogni regione.
Qual è il vantaggio di creare più trail in una regione?
Con più percorsi, le varie parti interessate come gli amministratori della sicurezza, gli sviluppatori di software e i revisori IT possono creare e gestire i loro percorsi. Ad esempio, un amministratore della sicurezza può creare un percorso che si applica a tutte le regioni e configurare la crittografia utilizzando una sola chiave Amazon Key Management Service (Amazon KMS). Per risolvere problemi operativi uno sviluppatore può creare un percorso che si applica a una sola regione.
CloudTrail supporta le autorizzazioni a livello di risorse?
Sì. Utilizzando le autorizzazioni a livello delle risorse puoi creare policy di controllo di accesso granulare per permettere o proibire l'accesso a utenti specifici per un particolare percorso. Per ulteriori dettagli, consulta la documentazione di CloudTrail.
Sicurezza e scadenze
In che modo posso proteggere i file di log di CloudTrail?
Per impostazione predefinita, i file di log di CloudTrail vengono crittografati utilizzando la crittografia lato server (SSE) S3, quindi vengono inseriti nel bucket S3. Puoi controllare l'accesso ai file di log con le policy IAM o il bucket S3. Puoi aggiungere un livello di protezione supplementare abilitando l'autenticazione a più fattori (MFA) Delete S3 sul tuo bucket S3. Per ulteriori dettagli sulla creazione e l'aggiornamento di un percorso, consulta la documentazione di CloudTrail.
Dove posso scaricare un esempio di policy di bucket S3 e una policy di argomento SNS?
Puoi scaricare un esempio di policy di bucket S3 e di policy di argomento SNS dal bucket S3 di CloudTrail. Devi aggiornare gli esempi di policy con le tue informazioni prima di applicarle al tuo bucket S3 o al tuo argomento SNS.
Per quanto tempo è possibile memorizzare i file di log di attività?
La policy di conservazione dei file di log CloudTrail è personalizzabile. Per impostazione predefinita, i file di log vengono memorizzati per un periodo illimitato. Per definire una policy di conservazione, puoi impiegare le regole di gestione del ciclo di vita degli oggetti S3. Per esempio, puoi eliminare i vecchi file di log o archiviarli in Amazon Simple Storage Service Glacier (Amazon S3 Glacier).
Messaggi di eventi, tempistica e frequenza di distribuzione
Quali informazioni sono disponibili in un evento?
Un evento contiene le informazioni importanti della relativa attività, tra cui l'autore della richiesta, i servizi impiegati, le operazioni eseguite, i parametri dell'azione e gli elementi di risposta restituiti dal servizio AWS. Per maggiori dettagli, consulta la sezione Riferimento agli eventi CloudTrail nella guida per l'utente.
Quanto tempo impiega CloudTrail per distribuire un evento per una chiamata API?
Di solito, CloudTrail distribuisce un evento entro 5 minuti dalla chiamata API. Ulteriori informazioni sul funzionamento di CloudTrail sono riportate qui.
Con quale frequenza CloudTrail distribuisce i file di log nel bucket S3?
CloudTrail distribuisce i file di log nel bucket S3 circa ogni cinque minuti. CloudTrail non distribuisce file di log se non ci sono state chiamate API sul tuo account.
Posso ricevere notifiche quando vengono distribuiti nuovi file di log nel bucket S3?
Sì. Puoi attivare le notifiche Amazon SNS per eseguire un'operazione non appena ricevi nuovi file di log.
Credo che uno dei miei file di log contenga più eventi duplicati. Come faccio a sapere quali eventi sono unici?
Sebbene non sia comune, potresti ricevere file di log che contengono uno o più eventi duplicati. Gli eventi duplicati avranno lo stesso eventID. Per ulteriori informazioni sul campo eventID, consulta i contenuti dei record di CloudTrail.
Cosa succede se CloudTrail è stato attivato sul mio account, ma il bucket S3 non è configurato con la policy corretta?
I file di log CloudTrail vengono distribuiti in conformità con le policy del bucket S3 da te definite. Se le policy di bucket non vengono configurate correttamente, CloudTrail potrebbe non essere in grado di inoltrare i file di log.
È possibile ricevere eventi duplicati?
CloudTrail è progettato per supportare almeno una consegna di eventi sottoscritti ai bucket S3 dei clienti. In alcune situazioni, è possibile che CloudTrail fornisca lo stesso evento più di una volta. Di conseguenza, i clienti potrebbero notare eventi duplicati.
Eventi sui dati
Cosa si intende per eventi di dati?
Gli eventi di dati forniscono informazioni dettagliate sulle operazioni delle risorse (piano dati) eseguite su o all'interno della risorsa stessa. Gli eventi di dati sono spesso attività a volume elevato e includono operazioni come API a livello di oggetto di S3 e API Invoke delle funzioni AWS Lambda. Quando si configura un trail, gli eventi di dati sono disabilitati per impostazione predefinita. Per registrare gli eventi di dati di CloudTrail, è necessario aggiungere esplicitamente le risorse o i tipi di risorse supportati su cui si desidera raccogliere attività. A differenza degli eventi di gestione, gli eventi sui dati prevedono costi aggiuntivi. Per ulteriori informazioni, consulta la pagina dei prezzi di CloudTrail.
In che modo posso utilizzare gli eventi di dati?
Gli eventi di dati vengono registrati da CloudTrail e inoltrati in S3, in modo analogo agli eventi di gestione. Una volta abilitati, questi eventi sono disponibili anche in Amazon CloudWatch Events.
Cosa sono gli eventi di dati di S3? In che modo posso registrarli?
Gli eventi di dati di S3 rappresentano l'attività dell'API sugli oggetti di S3. Per fare in modo che CloudTrail registri queste azioni, devi specificare un bucket S3 nella sezione degli eventi sui dati al momento della creazione di un nuovo itinerario oppure della modifica di uno esistente. Qualsiasi operazione API sugli oggetti all'interno del bucket S3 specificato vengono registrate da CloudTrail.
Cosa sono gli eventi di dati di Lambda? In che modo posso registrarli?
Gli eventi di dati di Lambda registrano le attività di esecuzione delle funzioni Lambda. Con gli eventi di dati di Lambda, puoi ottenere dettagli sul runtime della funzione Lambda. Esempi di runtime della funzione Lambda includono quale utente o servizio IAM ha effettuato la chiamata API Invoke, quando è stata effettuata la chiamata e quale funzione è stata applicata. Tutti gli eventi di dati Lambda vengono forniti in un bucket S3 e in Eventi Amazon CloudWatch. Puoi attivare la registrazione per gli eventi di dati di Lambda utilizzando la CLI o la console CloudTrail e selezionare quali funzioni Lambda registrare creando un nuovo trail o modificandone uno esistente.
Eventi di attività di rete (in anteprima)
Cosa sono gli eventi di attività di rete (in anteprima)?
Gli eventi di attività di rete registrano le azioni dell'API AWS eseguite utilizzando endpoint VPC da un VPC privato al servizio AWS e ti aiutano a soddisfare i casi d'uso delle indagini sulla sicurezza della rete. Includono le chiamate API AWS che hanno superato con successo la policy degli endpoint VPC e quelle a cui è stato negato l'accesso. A differenza degli eventi di gestione e dati che vengono consegnati sia al chiamante dell'API che al proprietario della risorsa, gli eventi di attività di rete vengono consegnati solo al proprietario dell'endpoint VPC. Per registrare gli eventi di attività di rete, devi abilitarli esplicitamente durante la configurazione del tuo trail o dell'archivio di dati degli eventi e scegliere le fonti degli eventi dei servizi AWS su cui desideri raccogliere le attività. Puoi anche aggiungere ulteriori filtri come il filtraggio per ID dell'endpoint VPC o la registrazione dei soli errori di accesso negato. Gli eventi di attività di rete comportano costi aggiuntivi. Per ulteriori informazioni, consulta i prezzi di CloudTrail.
In che modo gli eventi di attività di rete per gli endpoint VPC sono diversi dai log di flusso VPC?
La caratteristica dei log di flusso ti consente di acquisire informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete nel tuo VPC. I dati del log di flusso possono essere pubblicati nelle seguenti posizioni: Amazon CloudWatch Logs, Amazon S3 o Amazon Data Firehose. Gli eventi di attività di rete per gli endpoint VPC acquisiscono le azioni dell'API AWS eseguite utilizzando gli endpoint VPC da un VPC privato al servizio AWS. Ciò fornisce dettagli su chi accede alle risorse all'interno della rete, offrendoti una maggiore capacità di identificare e rispondere ad azioni indesiderate nel perimetro dei dati. È possibile visualizzare i log delle azioni negate a causa delle policy degli endpoint VPC o utilizzare questi eventi per convalidare l'impatto dell'aggiornamento delle policy esistenti.
Amministratore delegato
Posso aggiungere un amministratore delegato alla mia organizzazione?
Sì, CloudTrail supporta ora l'aggiunta di un massimo di tre amministratori delegati per organizzazione.
Chi è il titolare di un trail dell'organizzazione o di un archivio di dati degli eventi a livello di organizzazione creato da un amministratore delegato?
L'account di gestione rimarrà il proprietario di tutti i trail dell'organizzazione o dei datastore di eventi creati a livello dell'organizzazione, indipendentemente dal fatto che sia stato creato da un account amministratore delegato o da un account di gestione.
In quali regioni è disponibile il supporto per gli amministratori delegati?
Attualmente, il supporto con amministratore delegato per CloudTrail è disponibile in tutte le regioni in cui è disponibile AWS CloudTrail. Per ulteriori informazioni, consulta la tabella delle regioni AWS.
CloudTrail Insights
Cosa sono gli eventi di Approfondimenti su CloudTrail?
Gli eventi di CloudTrail Insights consentono di identificare attività insolite all'interno dei loro account AWS, come picchi di attività nel provisioning delle risorse, aumenti improvvisi di operazioni di AWS Identity and Access Management (IAM) o divari nelle attività periodiche di manutenzione. CloudTrail Insights utilizza modelli di machine learning (ML) che monitorano costantemente gli eventi di gestione della scrittura di CloudTrail in cerca di attività insolite.
Quando viene rilevata un'attività insolita, gli eventi di CloudTrail Insights vengono mostrati nella console e inviati a Eventi CloudWatch, al bucket S3 e, se lo desideri, al gruppo di CloudWatch Logs. In tal modo puoi creare gli avvisi e integrarli con i sistemi di gestione eventi e flussi di lavoro esistenti.
Quali tipi di attività vengono identificati da Approfondimenti su CloudTrail?
CloudTrail Insights rileva le attività insolite analizzando gli aventi di gestione della scrittura all'interno di una regione e un account AWS. Un evento insolito o atipico viene definito in base al volume di chiamate API AWS che differiscono dalle previsioni effettuate a partire da una linea di base o da un modello operativo stabilito prestabilito. CloudTrail Insights si adatta alle modifiche dei consueti modelli operativi prendendo in considerazione tendenze basate sul tempo nelle chiamate API e applicando le baseline come modifiche dei flussi di lavoro.
CloudTrail Insights può aiutarti a rilevare script o applicazioni che si comportano in modo diverso dal normale. A volte uno sviluppatore modifica uno script o un'applicazione che esegue operazioni ripetitive o effettua un gran numero di chiamate a risorse indesiderate come database, archivi di dati o altre funzioni. Spesso questo comportamento non viene notato se non al momento della fatturazione a fine mese, quando si rileva un aumento inatteso dei costi o si verifica un'interruzione effettiva. Gli eventi di CloudTrail Insights possono aiutarti a rilevare queste modifiche nell'account AWS, in modo da poter apportare azioni correttive in maniera rapida.
Come interagisce Approfondimenti su CloudTrail con gli altri servizi AWS che utilizzano il rilevamento delle anomalie?
CloudTrail Insights identifica attività operative insolite negli account AWS che ti consentono di affrontare problemi operativi, riducendo l'impatto operativo e aziendale. Amazon GuardDuty serve ad aumentare la sicurezza dell'account e fornisce rilevamento delle minacce mediante il monitoraggio delle attività dell'account. Amazon Macie è progettato per aumentare la protezione dei dati nell'account tramite operazioni di rilevamento, classificazione e protezione dei dati sensibili. Questi servizi offrono protezione complementare contro diversi tipi di problematiche che possono emergere nell'account.
Devo impostare CloudTrail per permettere ad Approfondimenti su CloudTrail di funzionare?
Sì. Gli eventi di CloudTrail Insights sono configurati in singoli trail, pertanto deve essercene almeno uno configurato. Quando attivi gli eventi di CloudTrail Insights per un trail, CloudTrail inizia a monitorare gli eventi di gestione della scrittura sul trail in cerca di modelli insoliti. Se CloudTrail Insights rileva un'attività insolita, un evento CloudTrail Insights viene caricato nella destinazione di distribuzione specificata nella definizione del percorso.
Quali tipi di eventi è in grado di monitorare Approfondimenti su CloudTrail?
CloudTrail Insights monitora le attività insolite per le operazioni API di gestione della scrittura.
Come inizio?
Puoi abilitare gli eventi di CloudTrail Insights su singoli trail nell'account utilizzando la console, la CLI o l'SDK. Puoi anche abilitare gli eventi di CloudTrail Insights nella tua organizzazione utilizzando un trail organizzativo configurato nell'account di gestione di AWS Organizations. Puoi attivare gli eventi di CloudTrail Insights scegliendo il pulsante d'opzione nella definizione del trail.
CloudTrail Lake
Perché utilizzare Data Lake CloudTrail?
CloudTrail Lake ti aiuta a esaminare gli incidenti interrogando tutte le azioni registrate da CloudTrail e gli elementi di configurazione registrati da AWS Config, le prove da Gestione audit o gli eventi da origini non AWS. Semplifica la registrazione degli incidenti aiutandoti ad eliminare dipendenze operative, fornendo strumenti che ti permettono di essere meno dipendente da complesse pipeline di processi di dati che si estendono all'interno del team. CloudTrail Lake non richiede di spostare e importare registri di CloudTrail altrove, il che aiuta a mantenere la fedeltà dei dati e riduce il problema dei limiti di bassa velocità che "soffocano" i log. Inoltre, fornisce latenze in tempo reale, dal momento che è ottimizzato per log strutturati per volumi elevati, rendendoli disponibili per l'analisi degli incidenti. Fornisce un'esperienza familiare di query multi-attributo utilizzando SQL, con la possibilità di programmare e gestire più query simultanee. Per gli utenti che hanno meno esperienza con SQL, è disponibile la generazione di query in linguaggio naturale per facilitare la creazione di query SQL, semplificando l'analisi dei dati. La possibilità di riepilogare i risultati delle query utilizzando l'IA (in anteprima) migliora ulteriormente la capacità di ricavare informazioni significative dai log delle attività e di indagare in modo efficiente sugli incidenti. Inoltre, le dashboard predefinire e personalizzate offrono modi intuitivi per visualizzare e analizzare i dati archiviati negli archivi dati degli eventi direttamente all'interno della console CloudTrail. Unendo queste funzionalità, CloudTrail Lake ti consente di indagare in modo efficiente sugli incidenti e ottenere informazioni più approfondite sul tuo ambiente AWS, il tutto semplificando i processi di gestione dei dati.
In che modo questa funzionalità si collega e interagisce con altri servizi AWS?
CloudTrail è la fonte canonica dei registri per l'attività utente e per l'utilizzo di API nei servizi AWS. Quando i log sono disponibili in CloudTrail, potrai utilizzare CloudTrail Lake per esaminare le attività nei servizi AWS. Puoi interrogare e analizzare l'attività degli utenti e le risorse coinvolte e utilizzare i dati per identificare utenti malintenzionati e stabilire una linea di base per le autorizzazioni.
Come posso inserire eventi da fonti esterne ad AWS, come applicazioni personalizzate, applicazioni di terze parti o altri cloud pubblici?
Puoi cercare e aggiungere integrazioni dei partner per iniziare a ricevere eventi sulle attività da tali applicazioni in pochi passi utilizzando la console CloudTrail, senza la necessità di costruire e mantenere integrazioni personalizzate. Per origini diverse dalle integrazioni dei partner disponibili, puoi utilizzare le nuove API di Data Lake CloudTrail per impostare le tue integrazioni e inviare gli eventi al Data Lake CloudTrail. Per iniziare, consulta Utilizzo di Data Lake CloudTrail nella Guida per l'utente di CloudTrail.
Quando è consigliabile utilizzare la query avanzata di AWS Config invece di Data Lake CloudTrail per eseguire query sugli elementi di configurazione da AWS Config?
La query avanzata di AWS Config è consigliata per i clienti che desiderano aggregare ed eseguire query sugli elementi di configurazione (CI) di AWS Config allo stato corrente. Questo aiuta i clienti con la gestione dell'inventario, la sicurezza e l'intelligence operativa, l'ottimizzazione dei costi e i dati di conformità. La query avanzata di AWS Config è gratuita se sei un cliente AWS Config.
CloudTrail Lake supporta la copertura delle query per gli elementi di configurazione di AWS Config, inclusa la configurazione delle risorse e la cronologia della conformità. L'analisi della cronologia di configurazione e conformità per le risorse con eventi CloudTrail correlati consente di dedurre chi, quando e cosa è cambiato in tali risorse. Questo aiuta con l'analisi della causa principale degli incidenti relativi all'esposizione alla sicurezza o alla non conformità. CloudTrail Lake è consigliato se devi aggregare ed eseguire query sui dati tra gli eventi CloudTrail e gli elementi della configurazione cronologica.
Se abilito l'importazione di elementi di configurazione da AWS Config oggi in CloudTrail Lake, quest'ultimo inserirà i miei elementi di configurazione cronologici (generati prima della creazione di CloudTrail Lake) o raccoglierà solo gli elementi di configurazione appena registrati?
Data Lake CloudTrail non importerà gli elementi di configurazione di AWS Config generati prima della configurazione del Lake. Gli elementi di configurazione appena registrati da AWS Config, a livello di account o di organizzazione, verranno inviati all'archivio dati di eventi Data Lake CloudTrail specificato. Questi elementi di configurazione saranno disponibili per le query nel Lake per il periodo di conservazione specificato e possono essere utilizzati per l'analisi dei dati cronologici.
Posso sempre sapere quale utente ha apportato una particolare modifica alla configurazione eseguendo una query su Data Lake CloudTrail?
Se vengono tentate più modifiche alla configurazione su una singola risorsa da parte di più utenti in rapida successione, è possibile creare un solo elemento di configurazione che verrebbe mappato alla configurazione dello stato finale della risorsa. In questo e in altri scenari simili, potrebbe non essere possibile fornire una correlazione del 100% su quale utente ha apportato quali modifiche alla configurazione interrogando CloudTrail e gli elementi della configurazione per un intervallo di tempo e un ID risorsa specifici.
Se ho usato dei percorsi in passato, posso importare i log CloudTrail esistenti nel mio archivio di dati degli eventi Data Lake CloudTrail nuovo o esistente?
Sì. La funzionalità di importazione di Data Lake CloudTrail supporta la copia dei registri CloudTrail da un bucket S3 che archivia registri da più account (da un percorso di organizzazione) e più regioni AWS. È inoltre possibile importare registri da singoli account e percorsi a regione singola. La funzionalità di importazione consente anche di specificare un intervallo di date di importazione, così da poter importare soltanto il sottoinsieme di log necessari per l'archiviazione e l'analisi sul lungo termine in CloudTrail Lake. Una volta consolidati i log, è possibile sottoporli a query, dagli eventi più recenti raccolti dopo l'abilitazione di CloudTrail Lake agli eventi storici acquisiti dai trail.
La funzionalità di importazione incide sul trail originale in S3?
La funzionalità di importazione copia le informazioni del log da S3 a CloudTrail Lake e lascia intatta la copia originale in S3.
Quali eventi CloudTrail posso sottoporre a query, dopo aver abilitato la funzionalità Data Lake CloudTrail?
Puoi abilitare CloudTrail Lake per ogni categoria di eventi registrata da CloudTrail, in base al problema interno che desideri risolvere. Le categorie di eventi includono eventi di gestione che acquisiscono attività del piano di controllo come CreateBucket e TerminateInstances, eventi sui dati che acquisiscono attività del piano dati come GetObject e PutObject ed eventi di attività di rete (in anteprima) che acquisiscono le azioni API eseguite utilizzando endpoint VPC da un VPC privato al servizio AWS. Non è richiesta alcuna sottoscrizione separata per questi eventi. Per CloudTrail Lake, dovrai scegliere tra le opzioni tariffarie di conservazione estendibile per un anno e di sette anni, che influiranno sui costi e sulla durata della fidelizzazione degli eventi. Puoi interrogare i dati in qualsiasi momento. All'interno dei pannelli di controllo di CloudTrail Lake, supportiamo l'interrogazione degli eventi di CloudTrail.
Una volta abilitata la funzionalità Data Lake CloudTrail, dopo quanto tempo posso iniziare ad eseguire query?
Dopo aver abilitato la caratteristica, puoi sottoporre a query le attività quasi immediatamente.
Quali sono in casi d'uso operativi e di sicurezza più comuni risolvibili con Data Lake CloudTrail?
Tra i casi d'uso più comuni rientrano l'analisi degli incidenti di sicurezza, come accessi non autorizzati o compromissione delle credenziali utente, e il miglioramento della posizione di sicurezza attraverso verifiche per impostare le autorizzazioni utente di base. È possibile eseguire le verifiche necessarie per assicurarsi che il giusto set di utenti stia modificando le risorse, come gruppi di sicurezza, e tracciare ogni modifica non conforme alle best practice dell'organizzazione. Inoltre, puoi tenere traccia delle operazioni compiute sulle tue risorse e valutare le modifiche o le eliminazioni, ottenendo informazioni dettagliate sulle fatture dei tuoi servizi AWS, tra cui l'iscrizione degli utenti IAM ai servizi.
Come si inizia a utilizzare Data Lake CloudTrail?
Se sei un cliente CloudTrail attuale o nuovo, puoi iniziare immediatamente a utilizzare la funzionalità CloudTrail Lake per eseguire query abilitando la funzione tramite l'API o la console CloudTrail.
Seleziona la scheda CloudTrail Lake nel pannello di sinistra della console CloudTrail e seleziona il pulsante Crea datastore di eventi. Quando crei un datastore di eventi, scegli l'opzione di prezzo che desideri utilizzare per il datastore. L'opzione di determinazione del prezzo determina il costo per l'inserimento degli eventi e il periodo di conservazione massimo e predefinito per il datastore di eventi. Quindi, seleziona le categorie di eventi che desideri registrare (gestione, dati ed eventi di attività di rete). Inoltre, puoi sfruttare le funzionalità avanzate di filtraggio degli eventi per controllare quali eventi CloudTrail vengono inseriti nei tuoi archivi dati degli eventi, aiutandoti ad aumentare l'efficienza e a ridurre i costi, mantenendo al contempo la visibilità sulle attività rilevanti. Una volta impostato l'archivio dati degli eventi, puoi eseguire query relative a tutti gli archivi dati degli eventi di tua proprietà o che gestisci utilizzando query basate su SQL. Per gli utenti che hanno meno familiarità con SQL, è disponibile la generazione di query in linguaggio naturale per facilitare la creazione di query SQL.
Inoltre, i risultati delle query possono essere riepilogati (in anteprima) utilizzando l'IA generativa, migliorando ulteriormente la capacità di ricavare informazioni dai dati di CloudTrail. Per aiutarti a visualizzare i dati di CloudTrail Lake, puoi utilizzare dashboard predefinite disponibili direttamente nella console CloudTrail, che forniscono visibilità immediata e informazioni chiave dai tuoi dati di audit e sicurezza. Per un monitoraggio e un'analisi più mirati, esiste anche la possibilità di creare dashboard personalizzate su misura per le tue esigenze specifiche.
Ho creato un archivio di dati degli eventi con prezzi di conservazione per sette anni. Potrò migrare lo stesso datastore all'opzione di prezzo di conservazione estendibile per un anno? Cosa succede ai dati presenti nell'archivio di dati degli eventi che sono stati acquisiti in base a prezzi di conservazione per sette anni?
Sì. È possibile aggiornare l'opzione di prezzo da prezzi di conservazione per sette anni a prezzi di conservazione estendibili per un anno come parte della configurazione del datastore di eventi. I dati esistenti rimarranno disponibili nel datastore di eventi per il periodo di conservazione configurato. Questi dati non comporteranno costi di conservazione prolungati. Tuttavia, tutti i dati acquisiti di recente saranno soggetti ai costi di conservazione estendibili per un anno sia per l'importazione che per la conservazione estesa.
Ho creato un archivio di dati degli eventi con prezzi di conservazione estendibili per un anno. Posso effettuare la migrazione dello stesso archivio di dati degli eventi all'opzione di prezzo di conservazione per sette anni?
No. Al momento non supportiamo la migrazione di un datastore di eventi da un prezzo di conservazione estendibile per un anno a un prezzo di conservazione per sette anni. Tuttavia, potrai disattivare la registrazione per il datastore di eventi corrente, creando al contempo un nuovo datastore con prezzi di conservazione a sette anni per i dati appena inseriti. Potrai comunque conservare e analizzare i dati in entrambi i datastore con la rispettiva opzione di prezzo e il periodo di conservazione configurato.
Perché il periodo di conservazione per Data Lake CloudTrail viene calcolato in base all'ora dell'evento e non in base al tempo di importazione in Data Lake CloudTrail?
CloudTrail Lake è un lake di audit che aiuta i clienti a soddisfare le esigenze dei loro casi d'uso in materia di conformità e controllo. In base ai mandati del programma di conformità, i clienti devono conservare i log di audit per una durata specifica a partire dal momento in cui sono stati generati, indipendentemente da quando sono stati inseriti in CloudTrail Lake.
Se inserisco un evento storico di CloudTrail da S3 a Data Lake CloudTrail e il periodo di conservazione dell'archivio di dati degli eventi è configurato su 1 anno, questo evento verrà sempre archiviato in Data Lake CloudTrail per 1 anno dal momento dell'inserimento?
No. Poiché in passato si trattava di un evento storico con un orario prestabilito, questo evento verrà conservato in CloudTrail Lake per un periodo di conservazione di 1 anno a partire dalla data dell'evento. Pertanto, la durata per la quale l'evento verrà archiviato in CloudTrail Lake sarà inferiore a 1 anno.
Che tipo di eventi di Data Lake CloudTrail posso visualizzare sui pannelli di controllo oggi?
Le dashboard predefinite di CloudTrail Lake supportano la visualizzazione della gestione, dei dati e degli eventi di Insights di CloudTrail. Inoltre, hai la flessibilità di creare dashboard personalizzate in grado di visualizzare qualsiasi tipo di dati memorizzati negli archivi dati degli eventi, il che consente di personalizzare l'analisi in base alle esigenze specifiche.
Le dashboard sono abilitate a livello di account o di archivio di dati degli eventi?
Al momento le dashboard sono abilitate a livello di account.
Quali costi vengono sostenuti quando si abilitano le dashboard di Data Lake CloudTrail?
Le dashboard di CloudTrail Lake sono basate sulle query di CloudTrail Lake. Quando abiliti le dashboard di CloudTrail Lake, ti verranno addebitati i dati scansionati. Consulta la pagina dei prezziper ulteriori informazioni.
Posso creare dashboard personalizzate oggi?
Sì, puoi creare dashboard personalizzate nonché impostare pianificazioni per aggiornarle periodicamente.
Quali casi d'uso sono supportati dai dashboard di CloudTrail Lake?
CloudTrail Lake offre una suite di dashboard predefinite che soddisfano diversi casi d'uso relativi a sicurezza, conformità, operazioni e gestione delle risorse. Queste dashboard pronte all'uso sono personalizzate per scenari specifici e forniscono un valore immediato sotto vari aspetti della governance del cloud:
- Per il monitoraggio della sicurezza, dashboard come la "Security Monitoring Dashboard" consentono di rilevare gli eventi di sicurezza critici, inclusi gli eventi di accesso negato, i tentativi di accesso falliti e le azioni distruttive.
- Per supportare gli sforzi di conformità, la “IAM Activity Dashboard” fornisce visibilità sulle modifiche alle entità IAM e aiuta a identificare azioni IAM non intenzionali e potenziali problemi di conformità.
- I team che si occupano delle operazioni nel cloud possono utilizzare la "Error Analysis Dashboard" per identificare e risolvere gli errori di limitazione del servizio e altri problemi operativi tra i diversi servizi.
- Per la gestione delle risorse, la "Resource Changes Dashboard" offre visibilità sulle tendenze nel provisioning, nell'eliminazione e nelle modifiche tra le risorse AWS, comprese le modifiche apportate tramite CloudFormation e manualmente.
- Le organizzazioni possono usufruire della "Organizations Activity Dashboard", che fornisce informazioni sulla gestione degli account, sui modelli di accesso e sulle modifiche alle policy.
- Le dashboard specifiche dei servizi per EC2, Lambda, DynamoDB e S3 offrono una visibilità dettagliata delle attività di gestione e del piano dati per questi servizi.
Aggregazione di file di log
Ho diversi account AWS. Vorrei che i file di log di tutti gli account venissero distribuiti in un singolo bucket S3. È possibile?
Sì. Un bucket S3 può essere configurato come destinazione per più account. Per istruzioni dettagliate, consulta la sezione relativa all'aggregazione di file di log in un singolo bucket S3 della Guida per l'utente di CloudTrail.
Integrazione con CloudWatch Logs
In cosa consiste l'integrazione di CloudTrail con File di log CloudWatch?
Grazie all'integrazione con CloudWatch Logs, CloudTrail inoltra gli eventi di gestione e gli eventi sui dati che acquisisce in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato.
Quali sono i vantaggi dell'integrazione di CloudTrail con File di log CloudWatch?
Questa integrazione consente di ricevere notifiche SNS dell'attività dell'account acquisite da CloudTrail. Ad esempio, è possibile creare allarmi di CloudWatch per monitorare le chiamate API che dispongono la creazione, la modifica o l'eliminazione di gruppi di sicurezza o di liste di controllo degli accessi di rete (ACL).
Come posso attivare l'integrazione di CloudTrail con File di log CloudWatch?
L'integrazione di CloudTrail con i CloudWatch Logs può essere attivata tramite la console CloudTrail specificando un gruppo di log di CloudWatch Logs e un ruolo IAM. Puoi anche utilizzare gli SDK AWS o la CLI AWS.
Cosa succede quando viene attivata l'integrazione di CloudTrail con File di log CloudWatch?
Dopo avere attivato l'integrazione, CloudTrail inizia a distribuire in modo continuo l'attività dell'account in un flusso di log di CloudWatch Logs all'interno del gruppo di log di CloudWatch Logs specificato. Inoltre, CloudTrail continua a distribuire log nel tuo bucket S3 come prima.
In quali regioni AWS è supportata l'integrazione di CloudTrail con File di log CloudWatch?
L'integrazione è supportata in tutte le regioni in cui è disponibile CloudWatch Logs. Per ulteriori informazioni, consulta Regioni ed endpoint in Riferimenti generali AWS.
In che modo CloudTrail inoltra gli eventi che contengono le attività di un account in File di log CloudWatch?
Per distribuire l'attività degli account a CloudWatch Logs, CloudTrail assume il ruolo IAM definito. Le autorizzazioni assegnate al ruolo IAM possono essere limitate in modo da consentire la distribuzione di eventi esclusivamente nel flusso di log di CloudWatch Logs. Per esaminare la policy dei ruoli IAM, consulta la Guida per l'utente nella documentazione di CloudTrail.
Quali costi vengono addebitati attivando l'integrazione di CloudTrail con File di log CloudWatch?
Dopo l'attivazione dell'integrazione di CloudTrail con CloudWatch Logs, ti vengono addebitati i costi standard di CloudWatch Logs e di CloudWatch. Per i dettagli, consulta la pagina dei prezzi di CloudWatch.
Crittografia dei file di log CloudTrail con AWS KMS
Quali sono i vantaggi della crittografia dei file di log di CloudTrail eseguita mediante la crittografia lato server con AWS KMS?
La crittografia dei file di log CloudTrail con SSE-KMS permette di aggiungere un livello supplementare di protezione ai file di log di CloudTrail distribuiti a un bucket S3, crittografandoli con una chiave KMS. Per impostazione predefinita, CloudTrail crittografa tutti i file di log distribuiti al bucket S3 specificato utilizzando la crittografia lato server di S3.
Ho un'applicazione che acquisisce ed elabora i file di log CloudTrail. Devo modificarla?
Grazie all'opzione SSE-KMS, S3 decrittografa automaticamente i file di log, quindi non è necessario apportare modifiche alle applicazioni esistenti. Come di consueto, è importare accertarsi che le applicazioni dispongano delle autorizzazioni necessarie per operare, ad esempio GetObject per S3 e Decrypt per KMS.
In che modo posso configurare la crittografia dei file di log di CloudTrail?
Per configurare la crittografia dei file di log, puoi utilizzare la Console di gestione AWS, l'interfaccia a riga di comando di AWS o gli SDK AWS. Per istruzioni dettagliate, consulta la documentazione.
Quali costi vengono addebitati se configuro la crittografia con SSE-KMS?
Per la crittografia con SSE-KMS, vengono applicate le tariffe standard di AWS KMS. Per ulteriori informazioni, consulta la pagina dei prezzi di AWS KMS.
Convalida dell'integrità dei file di log di CloudTrail
In cosa consiste la convalida dell'integrità dei file di log di CloudTrail?
La convalida dell'integrità dei file di log di CloudTrail è una funzione che permette di determinare se un file di log di CloudTrail è rimasto invariato, se è stato eliminato o modificato dal momento in cui CloudTrail lo ha distribuito nel bucket S3 specificato.
Qual è il vantaggio della convalida dell'integrità dei file di log di CloudTrail?
Puoi utilizzare la convalida dell'integrità dei file di log come sussidio ai processi di sicurezza e audit IT.
Come posso abilitare la convalida dell'integrità dei file di log di CloudTrail?
Puoi abilitare la funzione di convalida dell'integrità dei file di log di CloudTrail tramite la Console di gestione AWS, AWS CLI o gli SDK AWS.
Cosa succede quando viene attivata la funzionalità di convalida dell'integrità dei file di log?
Quando la funzione di convalida dell'integrità dei file di log viene attivata, CloudTrail distribuisce i file digest ogni ora. I file digest contengono informazioni sui file di log che sono stati consegnati al bucket S3 e i valori hash per tali file di log. Contengono anche le firme digitali per il file digest precedente e la firma digitale per il file digest corrente nella sezione dei metadati S3. Per ulteriori informazioni sui file digest, sulle firme digitali e sui valori hash, consulta la documentazione di CloudTrail..
Dove vengono distribuiti i file digest?
I file digest vengono distribuiti allo stesso bucket S3 in cui vengono distribuiti i file di log. Tuttavia vengono distribuiti in una cartella diversa in modo da poter applicare policy di controllo degli accessi granulari. Per ulteriori informazioni, consulta la sezione relativa alla struttura dei file digest nella documentazione di CloudTrail.
Come posso convalidare l'integrità di un file di log o di un file digest distribuito da CloudTrail?
Puoi utilizzare AWS CLI per convalidare l'integrità di un file di log o di un file digest. Puoi anche costruire i tuoi strumenti per effettuare la convalida. Per ulteriori dettagli su come utilizzare AWS CLI per convalidare l'integrità di un file di log, consulta la documentazione di CloudTrail.
Aggrego tutti i miei file di log per tutte le regioni e per più account in un solo bucket S3. I file digest verranno distribuiti nello stesso bucket S3?
Sì. CloudTrail distribuirà i file digest in tutte le regioni e in tutti i diversi account nello stesso bucket S3.
Libreria di elaborazione di CloudTrail
Cos'è la libreria di elaborazione di CloudTrail?
La libreria di elaborazione di CloudTrail è una libreria Java che facilita la creazione di applicazioni in grado di leggere ed elaborare i file di log di CloudTrail. Puoi scaricare la libreria di elaborazione di CloudTrail da GitHub.
Quale funzionalità offre la libreria di elaborazione di CloudTrail?
La libreria di elaborazione di CloudTrail consente di gestire attività quali polling continuo di una coda SQS, lettura e analisi di messaggi Amazon Simple Queue Service (Amazon SQS), download di file di log archiviati in S3 e analisi e serializzazione di eventi di file di log con tolleranza agli errori. Per ulteriori informazioni, consulta la Guida per l'utente nella documentazione di CloudTrail.
Quale software occorre per iniziare a utilizzare la libreria di elaborazione di CloudTrail?
È necessario disporre di aws-java-sdk 1.9.3 e Java 1.7 o versione successiva.
Prezzi
Come vengono addebitati i costi per l'utilizzo dei percorsi CloudTrail?
CloudTrail ti permette di visualizzare, cercare e scaricare gratuitamente gli ultimi 90 giorni di eventi di gestione del tuo account. È possibile distribuire gratuitamente una copia degli eventi di gestione in corso su S3 creando un trail. Una volta configurato un trail CloudTrail, vengono applicati i costi di S3 in base all'uso.
È possibile distribuire copie aggiuntive di eventi, inclusi quelli sui dati e sull'attività di rete (in anteprima), utilizzando i trail. Ti verranno addebitati gli eventi sui dati, gli eventi sull'attività di rete e copie aggiuntive degli eventi di gestione. Scopri di più sulla pagina dei prezzi.
Se è disponibile un solo percorso con eventi di gestione e viene applicato a tutte le regioni, saranno addebitati costi aggiuntivi?
No. La prima copia degli eventi di gestione viene distribuita gratuitamente in ciascuna regione.
Se abilito gli eventi sui dati in un percorso esistente con eventi di gestione gratuiti, mi saranno addebitati costi aggiuntivi?
Sì. Ti saranno addebitati solo i costi degli eventi di dati. La prima copia degli eventi di gestione viene inoltrata gratuitamente.
Come vengono addebitati i costi per l'utilizzo di Data Lake CloudTrail?
Quando si utilizza CloudTrail Lake, l'importazione e l'archiviazione si pagano unitamente e la fatturazione si basa sulla quantità di dati non compressi importati e sulla quantità di dati compressi archiviati. Quando crei un datastore di eventi, scegli l'opzione di prezzo che desideri utilizzare per il datastore. L'opzione di determinazione del prezzo determina il costo per l'inserimento degli eventi e il periodo di conservazione massimo e predefinito per il datastore di eventi. I costi di interrogazione si basano sui dati compressi che scegli di analizzare. Scopri di più sulla pagina dei prezzi.
Posso calcolare il mio utilizzo stimato dell'inserimento di Data Lake CloudTrail se conosco il mio utilizzo storico di CloudTrail nei percorsi?
Sì. Ogni evento CloudTrail, in media, è di circa 1.500 byte. Utilizzando questa mappatura, sarai in grado di stimare l’importazione di CloudTrail Lake in base all'utilizzo di CloudTrail del mese precedente nei percorsi in base al numero di eventi.
Partner
In che modo risultano utili le soluzioni partner AWS per analizzare gli eventi registrati da CloudTrail?
Vari partner offrono soluzioni integrate per analizzare i file di log di CloudTrail. Queste soluzioni includono caratteristiche come il rilevamento di modifiche, la risoluzione di problemi e l'analisi di sicurezza. Per ulteriori informazioni, consulta la sezione relativa ai partner di CloudTrail.
Come faccio a configurare un'integrazione come origine disponibile nel Data Lake CloudTrail?
Per iniziare a utilizzare la tua integrazione, puoi consultare la Guida sull'onboarding per i partner. Coordinati con il team di sviluppo dei partner o i solutions architect del partner per contattare il team di Data Lake CloudTrail per approfondimenti o domande ulteriori.
Altro
L'attivazione di CloudTrail può incidere sulle prestazioni delle risorse AWS in uso o aumentare la latenza delle chiamate API?
No. L'attivazione di CloudTrail non incide sulle prestazioni delle risorse AWS o sulla latenza delle chiamate API.