O AWS CloudTrail permite simplificar a governança, a conformidade e a auditoria de riscos. O CloudTrail acelera a análise de problemas operacionais e de segurança ao disponibilizar visibilidade sobre as ações de APIs e de não APIs na conta da AWS. Com a integração ao CloudWatch Logs, o apoio à configuração em várias regiões e a validação da integridade do arquivo de logs, o CloudTrail disponibiliza um histórico de eventos abrangente, seguro e pesquisável das atividades executadas com o Console de Gerenciamento da AWS, os AWS SDKs, as ferramentas da linha de comando e outros Serviços da AWS.

Comece a usar a AWS gratuitamente

Crie uma conta gratuita
Ou faça login no Console

Receba doze meses de acesso ao nível de uso gratuito da AWS e aproveite os recursos do AWS Basic Support, como atendimento ao cliente 24x7x365 e fóruns de suporte, entre outros recursos.

Configuração simples

O AWS CloudTrail está habilitado em todas as contas da AWS e registra a atividade da conta desde o momento de sua criação. Você pode ver e fazer download dos últimos sete dias de atividade da conta para criar, modificar e excluir operações de serviços aceitos sem a necessidade de configurar manualmente o CloudTrail.

Configuração simples

Você pode ver, pesquisar e fazer download da atividade recente da conta da AWS. Dessa forma, você pode obter visibilidade sobre as alterações nos recursos da conta da AWS, o que possibilita reforçar os processos de segurança e simplificar a resolução de problemas operacionais.

100x100_benefit_managed-deployment1

É possível configurar o AWS CloudTrail para disponibilizar arquivos de log de várias regiões para um único bucket do Amazon S3 para uma só conta. Uma configuração que se aplique a todas as regiões garante que todas as definições se apliquem de modo uniforme em todas as regiões atuais e recém-criadas. Para obter instruções detalhadas, consulte a seção Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket no Guia do usuário do AWS CloudTrail.

 

 

Mapa de serviços

Você pode validar a integridade dos arquivos de log do AWS CloudTrail armazenados no seu bucket do Amazon S3 e detectar se eles permaneceram sem alterações, foram modificados ou excluídos desde que o CloudTrail os disponibilizou ao bucket do Amazon S3. Você pode usar a validação da integridade de arquivos de log nos seus processos de segurança e auditoria de TI.

 

Anotação e filtragem de dados

Como padrão, o AWS CloudTrail criptografa todos os arquivos de log entregues para o bucket do Amazon S3 especificado usando a SSE (Server-side encryption – Criptografia server-side) do Amazon S3. Como opção, adicione uma camada extra de segurança aos seus arquivos de log do CloudTrail ao criptografar os arquivos de log com a sua chave do AWS Key Management Service (AWS KMS). O Amazon S3 descriptografará automaticamente seus arquivos de log, caso você tenha permissões de descriptografia. Para obter mais informações, consulte a seção Encrypting log files using your KMS key.

 

Console e acesso programático

Os eventos de dados oferecem insights sobre as operações de recursos (“data plane”) executadas com o recurso ou dentro do próprio recurso. Muitas vezes, os eventos de dados são atividades de alto volume e incluem operações como APIs de objetos do Amazon S3 e de invocação de funções do AWS Lambda. Por exemplo, você pode registrar em log ações de API em objetos do Amazon S3 e receber informações detalhadas como conta da AWS, função de usuário do IAM, endereço IP do chamador, hora da chamada da API e outros detalhes. Também é possível registrar atividades das funções do Lambda e receber detalhes sobre as execuções dessas funções, como o usuário do IAM ou o serviço que fez a chamada à API Invoke, quando a chamada foi feita e qual função foi executada.

Segurança

Os eventos de gerenciamento oferecem insights sobre as operações de gerenciamento (“control plane”) executadas em recurso da uma conta da AWS. Por exemplo, você pode registrar em log ações administrativas como criação, exclusão e modificação de instâncias do Amazon EC2. Para cada evento, é possível obter detalhes como a conta da AWS, a função de usuário do IAM e o endereço IP do usuário que iniciou a ação, a hora da ação e quais recursos foram afetados.

Configuração simples

Você poderá utilizar o recurso de notificação de bucket do Amazon S3 para direcionar o Amazon S3 para a publicação de eventos criados por objetos para o AWS Lambda. Quando o CloudTrail gravar logs no bucket do S3, o Amazon S3 poderá invocar sua função do Lambda para processar os registros de acesso gravados pelo CloudTrail.

Configuração simples

A integração do AWS CloudTrail ao Amazon CloudWatch Logs permite enviar eventos de gerenciamento e dados registrados pelo CloudTrail para o CloudWatch Logs. O CloudWatch Logs permite criar filtros de métrica para monitorar, pesquisar e fazer o streaming de eventos para outros Serviços da AWS, como o AWS Lambda e o Amazon Elasticsearch Service.

Configuração simples

A integração do AWS CloudTrail ao Amazon CloudWatch Events permite que você responda automaticamente às alterações feitas nos seus recursos da AWS. Com o CloudWatch Events, você poderá definir ações para executar quando eventos específicos forem registrados pelo AWS CloudTrail. Por exemplo, se o CloudTrail registrar uma alteração feita em um security group do Amazon (EC2), como a adição de uma nova regra de entrada, você poderá criar uma regra do CloudWatch Events que envia essa atividade para uma função do AWS Lambda. O Lambda poderá então executar um fluxo de trabalho para criar um ticket em um sistema de helpdesk de TI.