Funzionalità di AWS CloudTrail

La cronologia degli eventi fornisce un registro visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione in una Regione AWS. La visualizzazione della cronologia degli Eventi non prevede costi di CloudTrail.

La Cronologia degli eventi CloudTrail è abilitata su tutti gli account AWS e gli eventi di gestione dei registri nei servizi AWS senza la necessità di configurazione manuale. Con il Piano gratuito AWS, è possibile visualizzare, cercare e scaricare gratuitamente la cronologia degli ultimi 90 giorni degli eventi di gestione dell'account utilizzando la console CloudTrail o l'API lookup-events di CloudTrail. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli eventi di CloudTrail.

I percorsi acquisiscono un registro delle attività degli account AWS e procedono a distribuire e archiviare tali eventi in Amazon S3, con possibilità di distribuzione anche a Amazon CloudWatch Logs e ad Amazon EventBridge. È possibile esportare questi eventi nelle soluzioni di monitoraggio della sicurezza. Puoi utilizzare le tue personali soluzioni di terze parti oppure soluzioni come Amazon Athena per effettuare la ricerca e l'analisi dei log acquisiti da CloudTrail. Puoi creare percorsi per un singolo account AWS o per più account AWS utilizzando AWS Organizations.

Attraverso la creazione di percorsi, puoi inviare i tuoi eventi CloudTrail a S3 e facoltativamente a CloudWatch Logs. In tal modo, otterrai i dettagli completi degli eventi e potrai esportare e archiviare gli eventi come preferisci. Per ulteriori informazioni, consulta Creazione di un percorso per l’account AWS.

Puoi convalidare l’integrità dei file di log CloudTrail archiviati nel tuo bucket S3 e verificare se sono rimasti invariati o se sono stati modificati o eliminati dal momento in cui CloudTrail li ha distribuiti nel tuo bucket S3. Puoi utilizzare la funzionalità di convalida dell’integrità dei file di log nell’ambito dei processi di sicurezza e auditing IT. Per impostazione predefinita, CloudTrail esegue la crittografia di tutti i file di log distribuiti al bucket S3 specificato utilizzando la crittografia lato server (SSE) di S3. Se necessario, puoi aggiungere un ulteriore livello di sicurezza ai file di log CloudTrail crittografandoli con la tua chiave del Sistema AWS di gestione delle chiavi (KMS). Se disponi delle autorizzazioni corrette, S3 eseguirà in automatico la decrittografia dei file di log. Per ulteriori informazioni, consulta Crittografia dei file di log di CloudTrail con chiavi gestite da AWS KMS (SSE-KMS).

Puoi configurare CloudTrail per acquisire e archiviare eventi provenienti da più Regioni AWS in un’unica posizione. Questa configurazione certifica che tutte le impostazioni siano applicate in modo coerente nelle Regioni esistenti e appena lanciate. Per ulteriori informazioni, consulta Ricezione di file di log CloudTrail da più Regioni.

Puoi configurare CloudTrail per acquisire e archiviare eventi da più account AWS in un’unica posizione. Questa configurazione certifica che tutte le impostazioni siano applicate in modo coerente in tutti gli account esistenti e appena creati. Per ulteriori informazioni, consulta Creazione di un percorso per un’organizzazione.

Data Lake CloudTrail è un data lake gestito per l'acquisizione, l’archiviazione, l’accesso e l’analisi delle attività di utenti e API su AWS a scopo di audit e sicurezza. È possibile aggregare, visualizzare, interrogare e archiviare immutabilmente i log delle attività da fonti AWS e non AWS. Gli auditor IT possono utilizzare CloudTrail Lake come registro immutabile di tutte le attività per soddisfare i requisiti di audit. Gli amministratori della sicurezza possono verificare che l'attività degli utenti sia conforme alle policy interne. I tecnici DevOps possono risolvere problemi operativi come la mancata risposta di un’istanza Amazon Elastic Compute Cloud (EC2) o l’accesso negato a una determinata risorsa. 

Dal momento che CloudTrail Lake è un data lake gestito a scopo di revisione e sicurezza, gli eventi vengono archiviati al suo interno. CloudTrail Lake concede l’accesso in sola lettura per impedire modifiche ai file di log. Accesso in sola lettura significa che gli eventi sono immutabili.

CloudTrail Lake ti aiuta a ottenere informazioni più approfondite sui log delle attività AWS attraverso una combinazione di potenti strumenti di query e visualizzazione. Puoi eseguire query basate su SQL direttamente sui log delle attività archiviati in CloudTrail Lake e, per gli utenti che hanno meno familiarità con SQL, la funzionalità di generazione di query in linguaggio naturale basata sull’intelligenza artificiale semplifica l’analisi senza la necessità di scrivere query complesse.

Per semplificare ulteriormente l’analisi, CloudTrail Lake include il riepilogo dei risultati delle query basato sull’intelligenza artificiale (in anteprima), che fornisce riepiloghi in linguaggio naturale delle informazioni chiave tratte dai risultati delle query. Questa funzionalità riduce il tempo e lo sforzo necessari per estrarre informazioni significative dai log delle attività AWS. 

Per analisi più avanzate, puoi utilizzare Amazon Athena per eseguire query in modo interattivo relative ai log verificabili di Data Lake CloudTrail insieme ai dati provenienti da altre fonti senza la complessità operativa dello spostamento o della replica dei dati. In questo modo, i tecnici della sicurezza possono correlare i log delle attività in CloudTrail Lake con i log delle applicazioni e del traffico in Amazon S3 per le indagini sugli incidenti di sicurezza. I tecnici della conformità e delle operazioni possono visualizzare ulteriormente i log delle attività con Amazon QuickSight e Grafana gestito da Amazon per analisi complete e la generazione di report.

Con Data Lake AWS CloudTrail, puoi consolidare gli eventi di attività provenienti da AWS e da origini esterne ad AWS, inclusi i dati di altri provider cloud, applicazioni interne e applicazioni SaaS in esecuzione nel cloud oppure on-premise, senza dover mantenere molteplici aggregatori di log e strumenti di reporting. Puoi inoltre importare dati da altri servizi AWS, ad esempio gli elementi di configurazione da AWS Config o le prove di audit da Gestione audit AWS. Puoi utilizzare le API di Data Lake CloudTrail per configurare le integrazioni dei dati e inviare eventi a Data Lake CloudTrail. Per effettuare l’integrazione con strumenti di terze parti, puoi cominciare a ricevere eventi di attività da queste applicazioni in poche fasi attraverso le integrazioni dei partner nella console CloudTrail.

CloudTrail Lake facilita l’acquisizione e l'archiviazione di eventi provenienti da più Regioni.

L’utilizzo di CloudTrail Lake consente di acquisire e archiviare gli eventi per gli account di AWS Organizations. Inoltre, è possibile designare fino a tre account di amministratore delegato per creare, aggiornare, interrogare o eliminare i percorsi dell’organizzazione o i datastore di eventi CloudTrail Lake a livello di organizzazione.