Perguntas frequentes sobre o AWS CloudTrail

Geral

O CloudTrail permite fazer auditoria, monitoramento de segurança e solucionar problemas operacionais rastreando a atividade do usuário e o uso da API. O CloudTrail registra, monitora continuamente e retém a atividade da conta relacionada às ações em sua infraestrutura AWS, dando a você controle sobre armazenamento, análise e ações de correção.

O CloudTrail ajuda você a comprovar a conformidade, melhorar o procedimento de segurança e consolidar registros de atividades em regiões e contas. O CloudTrail proporciona visibilidade sobre as atividades de usuários por meio do registro das ações executadas na sua conta. O CloudTrail registra informações importantes sobre cada ação, como quem fez a solicitação, quais serviços foram usados, quais ações foram executadas, quais os parâmetros da ação e quais elementos da resposta foram retornados pelo serviço da AWS. Essas informações ajudam você a rastrear as alterações feitas nos seus recursos da AWS e a solucionar problemas operacionais. O CloudTrail facilita a garantia da conformidade com políticas e padrões normativos internos. Para obter mais detalhes, consulte o whitepaper de compatibilidade da AWS Segurança em escala: registro em log na AWS

Use o CloudTrail se precisar auditar a atividade, monitorar a segurança ou solucionar problemas operacionais.

Conceitos básicos

Não será necessária nenhuma ação de sua parte para que você possa ver a atividade da conta. Acesse o console do AWS CloudTrail ou a AWS CLI e comece a ver a atividade da conta nos últimos 90 dias.

O AWS CloudTrail mostrará apenas os resultados do histórico de eventos do CloudTrail da região atual que você está visualizando nos últimos 90 dias e oferecerá suporte a uma variedade de serviços da AWS. Esses eventos são limitados aos eventos de gerenciamento com as chamadas das APIs create, modify e delete, e à atividade da conta. Para um registro completo da atividade da conta, incluindo todos os eventos de gerenciamento, eventos de dados e atividade somente leitura, você deve configurar uma trilha do CloudTrail.

Você pode especificar o intervalo de tempo e um dos seguintes atributos: nome do evento, nome do usuário, nome do recurso, origem do evento, ID do evento e tipo de recurso.

Sim. Acesse o console do CloudTrail ou use a API/CLI do CloudTrail e comece a visualizar a atividade da conta nos últimos 90 dias.

Configure uma trilha do CloudTrail para disponibilizar seus eventos do CloudTrail ao Amazon Simple Storage Service (Amazon S3), ao Amazon CloudWatch Logs e ao Amazon CloudWatch Events. Isso ajuda você a usar recursos para arquivar, analisar e responder a alterações em seus recursos da AWS.

Sim. O CloudTrail integra-se ao AWS Identity and Access Management (IAM). Isso ajuda a controlar o acesso ao CloudTrail e a outros recursos da AWS que o CloudTrail exige. Isso inclui a capacidade de restringir as permissões para visualizar e pesquisar a atividade da conta. Remova "cloudtrail:LookupEvents" da política do IAM dos usuários para impedir que o usuário do IAM visualize a atividade da conta.

Não há custo associado à visualização ou à pesquisa de atividade da conta usando o histórico de eventos do CloudTrail. 

Para quaisquer trilhas do CloudTrail criadas, você pode parar de registrar ou excluir as trilhas. Isso também interromperá a disponibilização da atividade da conta para o bucket do Amazon S3 que você designou como parte da configuração da trilha e a disponibilização para o CloudWatch Logs, se configurada. A atividade da conta durante os últimos 90 dias ainda será coletada e permanecerá visível no console do CloudTrail e por meio da AWS Command Line Interface (AWS CLI). 

Serviços e suporte regional

O CloudTrail registra a atividade da conta e os eventos de serviços da maioria dos serviços da AWS. Consulte os serviços compatíveis com o CloudTrail no Manual do usuário do CloudTrail.

Sim. O CloudTrail registra chamadas de API realizadas por qualquer cliente. O Console de Gerenciamento da AWS, os AWS SDKs, as ferramentas de linha de comando e os serviços de nível superior da AWS chamam operações de API da AWS. Portanto, essas chamadas são registradas.

As informações de atividades para serviços com endpoints regionais (como o Amazon Elastic Compute Cloud [Amazon EC2] ou o Amazon Relational Database Service [Amazon RDS]) são registradas e processadas na mesma região em que a ação é realizada. Em seguida, as informações são disponibilizadas à região associada ao seu bucket do S3. As informações de atividades para serviços com endpoints únicos, como o IAM e o AWS Security Token Service (AWS STS), são registradas na região em que o endpoint está localizado. Em seguida, as informações são processadas na região em que a trilha do CloudTrail está configurada e são disponibilizadas à região associada ao seu bucket do S3.

Aplicar uma trilha a todas as regiões

A aplicação de uma trilha a todas as regiões da AWS significa criar uma trilha que registrará a atividade da conta da AWS em todas as regiões em que seus dados estão armazenados. Essa configuração também se aplica a qualquer nova região adicionada. Para obter mais detalhes sobre as regiões e partições, consulte a página dos nomes de recursos da Amazon e do AWS Service Namespaces.

É possível criar e gerenciar uma trilha em todas as regiões da partição em uma única chamada de API ou com algumas seleções. Você receberá um registro da atividade da conta realizada em sua conta da AWS referente a todas as regiões em um único bucket do S3 ou grupo do CloudWatch Logs. Quando a AWS lançar uma nova região, você receberá os arquivos de log contendo o histórico de eventos da nova região sem precisar executar nenhuma ação.

No console do CloudTrail, selecione Yes para aplicar a todas as regiões na página de configuração da trilha. Se você estiver usando os SDKs ou a AWS CLI, defina IsMultiRegionTrail como true. 

Depois que você aplicar uma trilha a todas as regiões, o CloudTrail criará uma nova trilha em todas as regiões, replicando a configuração da trilha. O CloudTrail registrará e processará os arquivos de log em cada região e disponibilizará os arquivos de log que contém a atividade da conta em todas as regiões para um único bucket do S3 e um único grupo de logs do CloudWatch Logs. Se você especificou um tópico opcional do Amazon Simple Notification Service (Amazon SNS), o CloudTrail disponibilizará notificações do Amazon SNS de todos os arquivos de log a um único tópico do SNS.

Sim. Você pode aplicar uma trilha atual a todas as regiões. Ao aplicar uma trilha atual a todas as regiões, o CloudTrail criará para você uma nova trilha em todas as regiões. Se você já criou trilhas em outras regiões, será possível visualizá-las, editá-las e excluí-las usando o console do CloudTrail

Normalmente, levará menos de 30 segundos para replicar a configuração da trilha para todas as regiões.

Várias trilhas

Você pode criar até cinco trilhas em uma região. Uma trilha que se aplica a todas as regiões existe em cada uma delas e é contada como uma trilha em cada região.

Com várias trilhas, diferentes interessados, como administradores de segurança, desenvolvedores de software e auditores de TI, podem criar e gerenciar as próprias trilhas. Por exemplo, um administrador de segurança pode criar uma trilha que se aplique a todas as regiões e configurar a criptografia usando uma chave do Amazon Key Management Service (Amazon KMS). Um desenvolvedor pode criar uma trilha que se aplique a uma única região para solucionar problemas operacionais.

Sim. Ao usar permissões no nível dos recursos, você pode criar políticas granulares de controle de acesso para permitir ou negar acesso a usuários específicos para uma determinada trilha. Para obter mais detalhes, consulte a documentação do CloudTrail. 

Segurança e expiração

Por padrão, os arquivos de log do CloudTrail são criptografados usando criptografia do lado do servidor (SSE) do S3 e colocados no seu bucket do S3. Você pode controlar o acesso aos arquivos de log aplicando políticas do IAM ou de buckets do S3. É possível acrescentar uma camada adicional de segurança habilitando a exclusão da autenticação multifator (MFA) do S3 no seu bucket do S3. Para obter mais detalhes sobre como criar e atualizar uma trilha, consulte a documentação do CloudTrail.

Você pode baixar um exemplo de política de bucket do S3 e de política de tópico de SNS no bucket do CloudTrail no S3. É necessário atualizar os exemplos de políticas com suas informações antes de aplicá-las ao bucket do S3 ou ao tópico do SNS.

Você controla as políticas de retenção dos arquivos de log do CloudTrail. Por padrão, os arquivos de log são armazenados indefinidamente. É possível usar as regras de gerenciamento do ciclo de vida de objetos do S3 para definir sua própria política de retenção. Por exemplo, você pode desejar excluir arquivos de log antigos ou arquivá-los na classe Amazon Simple Storage Service Glacier (Amazon S3 Glacier).

Mensagem, pontualidade e frequência de entrega do evento

Um evento contém informações sobre a atividade associada: quem fez a solicitação, quais serviços foram usados, quais ações foram executadas e quais os parâmetros da ação, bem como quais elementos da resposta foram retornados pelo Serviço da AWS. Para obter mais detalhes, consulte a seção Referência de evento do CloudTrail no manual do usuário. 

Normalmente, o CloudTrail entrega um evento em até 5 minutos após a chamada de API. Para mais informações sobre como o CloudTrail funciona, consulte aqui.   

O CloudTrail entrega arquivos de log ao bucket do S3 em intervalos aproximados de cinco minutos. O CloudTrail não entrega arquivos de log se nenhuma chamada de API for feita na sua conta. 

Sim. Você pode ativar as notificações do Amazon SNS para executar ações imediatas na entrega de novos arquivos de log. 

Embora seja incomum, você pode receber arquivos de log que contenham um ou mais eventos duplicados. Eventos duplicados terão um eventID semelhante. Para obter mais informações sobre o campo eventID, consulte o conteúdo do registro do CloudTrail

Os arquivos de log do CloudTrail são entregues de acordo com as políticas implementadas do bucket do S3. Se as políticas do bucket estiverem mal configuradas, o CloudTrail não conseguirá disponibilizar os arquivos de log. 

O CloudTrail foi projetado para oferecer suporte a pelo menos uma entrega de eventos assinados para buckets S3 do cliente. Em algumas situações, é possível que o CloudTrail possa entregar o mesmo evento mais de uma vez. Como resultado, os clientes podem notar eventos duplicados. 

Eventos de dados

Os Eventos de dados oferecem insights sobre as operações de recursos (plano de dados) executadas com o recurso ou dentro do próprio recurso. Muitas vezes, os eventos de dados são atividades de alto volume e incluem operações como as de APIs de objetos do S3 e API de invocação de funções do AWS Lambda. Por padrão, os eventos de dados são desativados quando você configura uma trilha. Para registrar eventos de dados do CloudTrail, você deve adicionar explicitamente os recursos ou os tipos de recursos para os quais quer registrar as atividades. Ao contrário dos eventos de gerenciamento, os eventos de dados incorrem em custos adicionais. Para obter mais informações, consulte os preços do CloudTrail. 

Os eventos de dados registrados pelo CloudTrail são disponibilizados para o S3, de modo similar aos eventos de gerenciamento. Depois de habilitados, esses eventos também são disponibilizados no Amazon CloudWatch Events. 

Os eventos de dados do S3 representam atividades de API nos objetos do S3. Para que o CloudTrail registre essas ações, você especifica um bucket do S3 na seção de eventos de dados durante a criação de uma nova trilha ou a modificação de uma trilha existente. Todas as ações de API nos objetos em um bucket específico do S3 são registradas pelo CloudTrail. 

Os eventos de dados do Lambda registram as atividades de tempo de execução de funções do Lambda. Com eventos de dados do Lambda, você pode obter detalhes sobre o tempo de execução da função do Lambda. Exemplos de tempo de execução da função do Lambda incluem qual usuário ou serviço do IAM fez a chamada da API Invoke, quando a chamada foi feita e qual função foi aplicada. Todos os eventos de dados do Lambda são entregues a um bucket do S3 e ao CloudWatch Events. É possível ativar o registro em log de eventos de dados do Lambda usando a CLI ou o console do CloudTrail e selecionar quais funções do Lambda serão registradas ao criar uma nova trilha ou ao editar uma trilha existente. 

Eventos de atividades de redes (em pré-visualização)

Os eventos de atividade de rede registram ações de API da AWS feitas usando endpoints da VPC de uma VPC privada para o serviço da AWS e ajudam você a atender seus casos de uso de investigações de segurança de rede. Isso inclui chamadas de API da AWS que foram aprovadas com sucesso pela política de endpoint da VPC e aquelas cujo acesso foi negado. Diferentemente dos eventos de gerenciamento e dados que são entregues tanto ao chamador de API quanto ao proprietário do recurso, os eventos de atividade de rede são entregues somente ao proprietário do endpoint da VPC. Para registrar eventos de atividades de redes, você deve habilitá-los explicitamente ao configurar seu local de armazenamento de trilhas ou de dados de eventos e escolher a(s) fonte(s) de eventos dos serviços da AWS nos quais você deseja coletar atividades. Também é possível incluir filtros, como filtrar por ID de endpoint da VPC ou registrar somente os erros de Acesso negado. Os eventos de atividades de redes incorrem em cobranças adicionais. Para obter mais informações, consulte os Preços do CloudTrail.

Os logs de fluxo da VPC capturam informações sobre o tráfego IP que percorre as interfaces de rede na VPC. Os dados de logs de fluxos podem ser publicados nos seguintes locais: Amazon CloudWatch Logs, Amazon S3 ou Amazon Data Firehose. Eventos de atividade de rede para endpoints da VPC capturam as ações de API da AWS feitas usando endpoints da VPC de uma VPC privada para o serviço da AWS. Isso fornece detalhes de quem está acessando os recursos em sua rede e, junto a isso, maior capacidade de identificar e responder a ações não intencionais em seu perímetro de dados. Você pode visualizar logs de ações que foram negadas devido às políticas do endpoint da VPC ou usar esses eventos para validar o impacto da atualização das políticas existentes. 

Administrador delegado

Sim. O CloudTrail passou a oferecer suporte para a adição de até três administradores delegados por organização.

A conta de gerenciamento permanecerá como proprietária de qualquer trilha da organização ou de datastores de eventos criados no nível da organização, independentemente se ela foi criada por uma conta de administrador delegado ou por uma conta de gerenciamento.

No momento, o suporte aos administradores delegados para o CloudTrail está disponível em todas as regiões nas quais o AWS CloudTrail está disponível. Para obter mais informações, consulte a tabela Regiões da AWS.

CloudTrail Insights

Eventos do CloudTrail Insights ajudam você a identificar atividades incomuns em suas contas da AWS, como picos no provisionamento de recursos, explosões de ações do AWS Identity and Access Management (IAM) ou lacunas nas atividades de manutenção periódica. O CloudTrail Insights usa modelos de machine learning (ML) que monitoram continuamente os eventos de gerenciamento de gravação do CloudTrail em busca de atividades anormais.

Quando atividades anormais são detectadas, os eventos do CloudTrail Insights são exibidos no console e entregues ao CloudWatch Events, a seu bucket do S3 e, opcionalmente, ao grupo do CloudWatch Logs. Isso facilita a criação de alertas e a integração aos sistemas de gerenciamento de eventos e fluxo de trabalho existentes.

O CloudTrail Insights detecta atividades incomuns analisando os eventos de gerenciamento de gravação do CloudTrail em uma conta da AWS e em uma região. Um evento incomum ou anormal é definido como o volume de chamadas de API da AWS que se desvia do esperado de um padrão operacional ou linha de base previamente estabelecidos. O CloudTrail Insights se adapta às mudanças nos seus padrões operacionais normais, considerando as tendências baseadas no tempo nas chamadas de API e aplicando linhas de base adaptáveis à medida que as workloads mudam.

O CloudTrail Insights pode ajudar a detectar scripts ou aplicativos que se comportam mal. Às vezes um desenvolvedor altera um script ou aplicação que inicia um loop de repetição ou faz um grande número de chamadas para recursos não intencionais, como bancos de dados, repositórios de dados ou outras funções. Geralmente, esse comportamento não é percebido até o ciclo de cobrança no final do mês, quando os custos aumentam inesperadamente ou ocorre uma interrupção ou interrupção real. Os eventos do CloudTrail Insights podem alertar sobre essas alterações em sua conta da AWS, para que você possa tomar ações corretivas rapidamente.

O CloudTrail Insights identifica atividades operacionais incomuns em suas contas da AWS, o que ajuda a solucionar problemas operacionais, minimizando o impacto operacional e comercial. O Amazon GuardDuty se concentra em melhorar a segurança de sua conta, fornecendo detecção de ameaças ao monitorar a atividade da conta. O Amazon Macie foi desenvolvido para melhorar a proteção de dados na sua conta, descobrindo, classificando e protegendo dados sigilosos. Esses serviços oferecem proteções complementares contra diferentes tipos de problemas que podem surgir em sua conta.

Sim. Os eventos do CloudTrail Insights são configurados em trilhas individuais e, portanto, você deve ter pelo menos uma trilha configurada. Quando você ativa eventos do CloudTrail Insights para uma trilha, o CloudTrail começa a monitorar eventos de gerenciamento de gravação capturados por essa trilha em busca de padrões incomuns. Se o CloudTrail Insights detectar atividades incomuns, um evento do CloudTrail Insights será registrado no destino de entrega especificado na definição da trilha.

O CloudTrail Insights rastreia atividades incomuns para operações de APIs de gerenciamento de gravação.

Você pode habilitar eventos do CloudTrail Insights em trilhas individuais na sua conta usando o console, a CLI ou o SDK. Você também pode habilitar os eventos do CloudTrail Insights na sua organização usando uma trilha organizacional configurada na sua conta de gerenciamento do AWS Organizations. É possível ativar eventos do CloudTrail Insights escolhendo o botão de opção em sua definição de trilha. 

CloudTrail Lake

O CloudTrail Lake ajuda você a examinar os incidentes consultando todas as ações registradas pelo CloudTrail, itens de configuração registrados pelo AWS Config, evidências do Audit Manager ou eventos de uma origem que não seja da AWS. Ele simplifica o registro de incidentes ajudando a remover dependências operacionais e fornece ferramentas que podem ajudar a reduzir sua dependência de pipelines de processos de dados complexos que abrangem as equipes. O CloudTrail Lake não exige que você mova e ingira logs do CloudTrail em outro lugar, o que ajuda a manter a fidelidade dos dados e reduz o tratamento de limites de baixa taxa que limitam seus logs. Ele também fornece latências quase em tempo real, pois é ajustado para processar logs estruturados de alto volume, disponibilizando-os para investigação de incidentes. Ele fornece uma experiência já conhecida de consulta com vários atributos usando o SQL, com a capacidade de programar e administrar várias consultas simultâneas. Para usuários menos experientes com o SQL, a geração de consultas em linguagem natural está disponível para ajudar a criar consultas SQL, simplificando a análise de dados. A capacidade de resumir os resultados da consulta usando IA (em versão prévia) aprimora ainda mais sua capacidade de obter informações significativas dos logs de atividades e investigar incidentes com eficiência. Além disso, os painéis pré-selecionados e personalizados oferecem maneiras intuitivas de visualizar e analisar os dados armazenados em armazenamentos de dados de eventos de forma direta no console do CloudTrail. Ao combinar esses atributos, o CloudTrail Lake permite investigar os incidentes com eficiência para obter informações mais profundas sobre o ambiente da AWS ao mesmo tempo em que simplifica os processos de gerenciamento de dados.

O CloudTrail é a fonte canônica de logs para atividade do usuário e uso de API nos serviços da AWS. Você pode usar o CloudTrail Lake para examinar a atividade em serviços da AWS assim que os logs estiverem disponíveis no CloudTrail. Você pode consultar e analisar a atividade do usuário e os recursos afetados e usar esses dados para resolver problemas, como identificar agentes mal-intencionados e permissões de linha de base.

É possível encontrar e adicionar integrações de parceiros para começar a receber eventos de atividades dessas aplicações com apenas algumas etapas, usando o console do CloudTrail, sem precisar desenvolver e manter integrações personalizadas. Para fontes diferentes das integrações de parceiros disponíveis, você pode usar as novas APIs do CloudTrail Lake para definir suas próprias integrações e impulsionar eventos para o CloudTrail Lake. Para começar, consulte Trabalhar com o CloudTrail Lake no Guia do Usuário do CloudTrail.

A consulta avançada do AWS Config é recomendada para clientes que desejam agregar e consultar Configuration Items (CI – Itens de configuração) do AWS Config no estado atual. Isso ajuda os clientes com gerenciamento de inventário, segurança e inteligência operacional, otimização de custos e dados de conformidade. A consulta avançada do AWS Config é gratuita se você for um cliente do AWS Config. 

O CloudTrail Lake oferece suporte à cobertura de consulta para itens de configuração do AWS Config, incluindo configuração de recursos e histórico de conformidade. A análise do histórico de configuração e conformidade para recursos com eventos CloudTrail relacionados ajuda a inferir quem, quando e o que mudou nesses recursos. Isso ajuda na análise da causa raiz de incidentes relacionados à exposição de segurança ou não conformidade. O CloudTrail Lake é recomendado caso tenha a necessidade de agregar e consultar dados em eventos do CloudTrail e em itens de configuração históricos.  

O CloudTrail Lake não ingerirá itens de configuração do AWS Config que foram gerados antes da configuração do CloudTrail Lake. Itens de configuração recém-gravados do AWS Config, em nível de conta ou organização, serão entregues ao armazenamento de dados de eventos do CloudTrail Lake especificado. Esses itens de configuração estarão disponíveis no Lake para consulta pelo período de retenção especificado e podem ser usados para análise de dados de históricos. 

Se várias alterações de configuração forem tentadas em um único recurso por vários usuários em rápida sucessão, apenas um item de configuração poderá ser criado para mapear a configuração do estado final do recurso. Neste e em cenários semelhantes, pode não ser possível fornecer 100% de correlação sobre qual usuário fez quais alterações de configuração consultando o CloudTrail e os itens de configuração referentes a um período e ID de recurso específicos.

Sim. O recurso de importação do CloudTrail Lake oferece suporte à cópia de logs do CloudTrail de um bucket do S3 que armazena logs de várias contas (de uma trilha da organização) e várias regiões da AWS. Você também pode importar logs de contas individuais e trilhas de região única. O recurso de importação também permite especificar um intervalo de datas de importação, para que você importe apenas o subconjunto de logs necessários para armazenamento e análise de longo prazo no CloudTrail Lake. Depois de consolidar os logs, você pode executar consultas neles, desde os eventos mais recentes coletados após a ativação do CloudTrail Lake até eventos históricos trazidos de suas trilhas.

O recurso de importação copia as informações de log do S3 para o CloudTrail Lake e mantém a cópia original no S3 como está.

Você pode habilitar o CloudTrail Lake para qualquer uma das categorias de eventos coletadas pelo CloudTrail, dependendo de suas necessidades internas de solução de problemas. As categorias de eventos incluem eventos de gerenciamento que capturam atividades do ambiente de gerenciamento, como CreateBucket e TerminateInstances, e eventos de dados que capturam atividades do plano de dados, como GetObject e PutObject, e eventos de atividade de rede (em pré-visualização) que capturam ações de API feitas usando endpoints da VPC de uma VPC privada para o serviço da AWS. Você não precisa de uma assinatura de avaliação separada para nenhum desses eventos. Para o CloudTrail Lake, você precisará escolher entre as opções de retenção extensível de um ano e de preços de retenção de sete anos, o que afetará o seu custo, bem como a duração da retenção do evento. Você pode consultar os dados a qualquer momento. Nos painéis do CloudTrail Lake, oferecemos suporte à consulta de eventos do CloudTrail.

Você pode começar a consultar as atividades que ocorrem após ativar o recurso quase imediatamente.

Os casos de uso comuns incluem a investigação de incidentes de segurança, como acesso não autorizado ou credenciais de usuário comprometidas, e o aprimoramento de seu procedimento de segurança por meio da realização de auditorias às permissões de usuário de linha de base regularmente. Você pode realizar auditorias necessárias para garantir que o conjunto certo de usuários esteja fazendo alterações em seus recursos, como grupos de segurança, e rastrear quaisquer alterações que não estejam de acordo com as práticas recomendadas da sua organização. Além disso, você pode acompanhar as ações realizadas nos recursos e avaliar modificações ou exclusões, além de obter insights mais detalhados sobre suas faturas de serviços da AWS, incluindo os usuários do IAM que assinam serviços.

Se você for um cliente atual ou novo do CloudTrail, pode começar a usar a funcionalidade do CloudTrail Lake imediatamente para executar consultas ao habilitar o atributo por meio da API ou do console do CloudTrail.

Selecione a guia CloudTrail Lake no painel esquerdo do console do CloudTrail e selecione o botão Criar armazenamento de dados de eventos. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo da ingestão de eventos e o período de retenção máximo e padrão para o armazenamento de dados de eventos. Em seguida, selecione as categorias de eventos que você deseja registrar (eventos de gerenciamento, dados e atividades de rede). Além disso, você pode aproveitar os recursos aprimorados de filtragem de eventos para controlar quais eventos do CloudTrail são ingeridos em seus armazenamentos de dados de eventos, ajudando você a aumentar a eficiência e reduzir custos, mantendo a visibilidade das atividades relevantes. Depois que o armazenamento de dados de eventos estiver configurado, você poderá consultar qualquer armazenamento de dados de eventos que você possuir ou gerenciar, usando consultas baseadas em SQL. Para usuários menos familiarizados com SQL, a geração de consultas em linguagem natural está disponível para ajudar a criar consultas SQL.

Além disso, os resultados da consulta podem ser resumidos (em versão prévia) usando a IA generativa, aprimorando ainda mais sua capacidade de obter insights dos dados do CloudTrail. Para ajudar a visualizar os dados do CloudTrail Lake, você poderá usar painéis pré-selecionados disponíveis diretamente no console do CloudTrail, fornecendo visibilidade imediata e os principais insights dos dados de segurança e de auditorias. Para o monitoramento e análise mais direcionados, também existe a opção de criar painéis personalizados adaptados às suas necessidades específicas.

Sim. Você pode atualizar a opção do preço de retenção de sete anos para o de retenção prorrogável de um ano, como parte da configuração do armazenamento de dados de eventos. Seus dados existentes permanecerão disponíveis no armazenamento de dados de eventos durante o período de retenção configurado. Esses dados não incorrerão em qualquer taxa de retenção estendida. No entanto, todos os dados recém-ingeridos seguirão as cobranças de preços de retenção prorrogáveis de um ano, tanto para a ingestão quanto para a retenção estendida. 

Não. Atualmente, não oferecemos suporte à migração de um armazenamento de dados de eventos de preços de retenção prorrogáveis de um ano para a retenção de sete anos. No entanto, você poderá desativar o registro do armazenamento de dados de eventos atual e, ao mesmo tempo, criar um novo armazenamento de dados de eventos com preços de retenção de sete anos para os dados recém-ingeridos. Você ainda poderá reter e analisar os dados nos dois armazenamentos dados de eventos com a respectiva opção de preço e o período de retenção configurado.

O CloudTrail Lake é um lake de auditoria que ajuda os clientes a atender às necessidades de seus casos de uso em relação à conformidade e à auditoria. Com base nas exigências do programa de conformidade, os clientes precisam reter os logs de auditoria por um período específico a partir do momento em que os logs foram gerados, independentemente de quando foram ingeridos no CloudTrail Lake.

Não. Como esse foi um evento histórico com o momento do evento no passado, ele será mantido no CloudTrail Lake por um período de retenção de um ano a partir do momento em que ocorreu. Portanto, a duração do armazenamento desse evento no CloudTrail Lake será menor que um ano. 

Os painéis pré-selecionados do CloudTrail Lake oferecem suporte à visualização do gerenciamento, dados e eventos do Insights do CloudTrail. Além disso, existe a flexibilidade de criar painéis personalizados que podem visualizar qualquer tipo de dados armazenados em seus armazenamentos de dados de eventos para permitir a adaptação de sua análise às suas necessidades específicas.

Atualmente, os painéis estão habilitados no nível da conta.

Os painéis do CloudTrail Lake são acionados por consultas do CloudTrail Lake. Ao habilitar os painéis do CloudTrail Lake, serão geradas cobranças pelos dados verificados. Consulte a página de preços para obter mais detalhes.

Sim, é possível criar seus próprios painéis personalizados e também definir agendas para atualizá-los periodicamente.

O CloudTrail Lake oferece um conjunto de painéis pré-selecionados que atendem a diversos casos de uso, abrangendo segurança, conformidade, operações e gerenciamento de recursos. Esses painéis prontos para uso são personalizados para cenários específicos e fornecem valor imediato em vários aspectos da governança de nuvem:

  • Para monitoramento de segurança, painéis como o “painel de monitoramento de segurança” ajudam a rastrear eventos críticos de segurança, inclusive eventos de acesso negado, tentativas fracassadas de login e ações destrutivas.
  • Para apoiar os esforços de conformidade, o “painel de atividades do IAM” fornece visibilidade das mudanças nas entidades do IAM para ajudar a identificar as suas ações não intencionais e possíveis problemas de conformidade.
  • As equipes de operações em nuvem podem utilizar o “painel de análise de erros” para identificar e solucionar erros de controle de utilização de serviços e outros problemas operacionais em todos os serviços.
  • Para o gerenciamento de recursos, o “painel de alteração de recursos” fornece visibilidade das tendências de provisionamento, exclusão e modificações nos recursos da AWS, inclusive as alterações feitas por meio do CloudFormation e de forma manual.
  • As organizações podem se beneficiar do “painel de atividades das organizações” que fornece informações sobre gerenciamento de contas, padrões de acesso e mudanças de políticas.
  • Painéis específicos de serviços para EC2, Lambda, DynamoDB e S3 oferecem visibilidade detalhada das atividades de gerenciamento e do plano de dados desses serviços.

Agregação de arquivos de log

Sim. Você pode configurar um bucket do S3 como o destino de várias contas. Para obter instruções detalhadas, consulte a seção sobre agregar arquivos de log a um único bucket do S3 no guia do usuário do CloudTrail.

Integração com o CloudWatch Logs

A integração do CloudTrail com o CloudWatch Logs entrega eventos de gerenciamento e de dados capturados pelo CloudTrail a um stream de logs do CloudWatch Logs no grupo de logs especificado.

Essa integração ajuda a receber notificações SNS da atividade da conta capturada pelo CloudTrail. Por exemplo, você pode criar alarmes do CloudWatch para monitorar chamadas de API que criam, modificam e excluem grupos de segurança e listas de controle de acesso (ACLs) da rede.

Você pode ativar a integração do CloudTrail com o CloudWatch Logs no console do CloudTrail especificando um grupo de logs do CloudWatch Logs e um perfil do IAM. Também é possível usar AWS SDKs ou a AWS CLI para ativar essa integração.

Com a integração ativada, o CloudTrail disponibiliza continuamente a atividade da conta a um fluxo de logs no grupo de logs do CloudWatch Logs especificado. O CloudTrail também continua a entregar logs a seu bucket do S3, como já ocorria anteriormente.

Essa integração tem suporte nas regiões em que o CloudWatch Logs está disponível. Para obter mais informações, consulte Regiões e Endpoints na Referência geral da AWS.

O CloudTrail assume o perfil do IAM que você especifica para disponibilizar a atividade da conta ao CloudWatch Logs. Você limita a função do IAM para ter apenas as permissões necessárias para entregar eventos ao stream de logs do CloudWatch Logs. Para examinar a política de perfis do IAM, consulte o manual do usuário na documentação do CloudTrail.

Após ativar a integração do CloudTrail com o CloudWatch Logs, você passa a ser cobrado de acordo com os valores padrão do CloudWatch Logs e do CloudWatch. Para obter detalhes, acesse a página de preços do CloudWatch. 

Criptografia de arquivos de log do CloudTrail usando o AWS KMS

A criptografia de arquivos de log do CloudTrail usando SSE-KMS ajuda a adicionar uma camada extra de segurança aos arquivos de log do CloudTrail entregues a um bucket do S3 ao fazer a criptografia de arquivos de log com uma chave do KMS. Como padrão, o CloudTrail criptografará todos os arquivos de log entregues ao bucket do S3 usando a criptografia do lado do servidor do S3.

Com o SSE-KMS, o S3 descriptografa automaticamente os arquivos de log para que você não tenha que fazer alterações nos aplicativos. Como sempre, é necessário verificar se a aplicação tem as permissões adequadas, como as permissões GetObject do S3 e Decrypt do AWS KMS.

Você pode usar o Console de Gerenciamento da AWS, a AWS CLI ou os SDKs da AWS para configurar a criptografia de arquivos de log. Para obter instruções detalhadas, consulte a documentação.

Após a configuração da criptografia usando o SSE-KMS, serão cobradas as taxas padrão do AWS KMS. Para obter detalhes, acesse a página de preços do AWS KMS.

Validação da integridade de arquivos de log do CloudTrail

O recurso de validação da integridade de arquivos de log do CloudTrail ajuda você a determinar se um arquivo de log do CloudTrail permaneceu sem alterações, foi excluído ou modificado desde que foi entregue pelo CloudTrail ao bucket especificado do S3.

Você pode usar a validação da integridade de arquivos de log como um auxílio nos seus processos de segurança e auditoria de TI.

Você pode habilitar o recurso de validação da integridade de arquivos de log do CloudTrail no console, na AWS CLI ou nos AWS SDKs.

Quando você ativa o recurso de validação da integridade de arquivos de log, o CloudTrail entrega arquivos de resumo a cada hora. Os arquivos resumidos contêm informações sobre os arquivos de log que foram entregues ao seu bucket do S3 e valores de hash para esses arquivos de log. Eles também contêm assinaturas digitais para o arquivo de resumo anterior e a assinatura digital para o arquivo de resumo atual na seção de metadados do S3. Para obter mais informações sobre os arquivos de resumo, assinaturas digitais e valores hash, acesse a documentação do CloudTrail.

Os arquivos de resumo foram entregues no mesmo bucket do S3 em que os arquivos de log foram entregues. No entanto, eles foram entregues a uma pasta diferente para que você possa aplicar políticas de controle de acesso granular. Para obter detalhes, consulte a seção de estrutura do arquivo de resumo na documentação do CloudTrail.

Você pode usar a AWS CLI para validar a integridade do arquivo de log ou do arquivo de resumo. Também é possível criar suas próprias ferramentas para fazer a validação. Para obter mais detalhes sobre o uso da AWS CLI para a validação da integridade de um arquivo de log, consulte a documentação do CloudTrail.

Sim. O CloudTrail disponibilizará os arquivos de resumo em todas as regiões e em várias contas no mesmo bucket do S3.

CloudTrail Processing Library

A CloudTrail Processing Library é uma biblioteca Java que facilita o desenvolvimento de uma aplicação que realiza a leitura e o processamento de arquivos de log do CloudTrail. É possível fazer download da CloudTrail Processing Library no GitHub.

A CloudTrail Processing Library fornece funcionalidades para que você lide com tarefas como a sondagem contínua de uma fila do SQS e a leitura e a análise de mensagens do Amazon Simple Queue Service (Amazon SQS). Ela também pode fazer download de arquivos de log armazenados no S3, e analisar e serializar eventos de arquivos de log de maneira tolerante a falhas. Para obter mais informações, acesse o guia do usuário na documentação do CloudTrail. 

Você precisa do aws-java-sdk versão 1.9.3 e do Java 1.7 ou versões superiores.

Preços

O CloudTrail ajuda você a visualizar, pesquisar e baixar os últimos 90 dias de eventos de gerenciamento de sua conta gratuitamente. Você pode entregar uma cópia de seus eventos de gerenciamento em andamento para o S3 gratuitamente criando uma trilha. Após a configuração de uma trilha do CloudTrail, as taxas do S3 são aplicadas conforme o uso.

Você pode fornecer cópias adicionais de eventos, incluindo eventos de dados e eventos de atividades de redes (em pré-visualização), usando trilhas. Você receberá uma cobrança pelos eventos de dados, eventos de atividades de rede e cópias adicionais de eventos de gerenciamento. Saiba mais na página de preços.

Não. A primeira cópia dos eventos de gerenciamento é entregue gratuitamente em cada região.

Sim. Você será cobrado apenas pelos eventos de dados. A primeira cópia dos eventos de gestão é entregue gratuitamente. 

Quando você usa o CloudTrail Lake, paga pela ingestão e pelo armazenamento juntos, em que o faturamento é baseado na quantidade de dados não compactados ingeridos e a quantidade de dados ingeridos armazenados. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo da ingestão de eventos e o período de retenção máximo e padrão para o armazenamento de dados de eventos. As cobranças de consulta são baseadas nos dados compactados que você opta por analisar. Saiba mais na página de preços.

Sim. Cada evento do CloudTrail, em média, tem cerca de 1.500 bytes. Usando esse mapeamento, você poderá estimar a ingestão do CloudTrail Lake com base no uso do CloudTrail em trilhas no mês passado por número de eventos.

Parceiros

Vários parceiros oferecem soluções integradas para analisar arquivos de log do CloudTrail. Essas soluções incluem recursos como rastreamento de alterações, solução de problemas e análises de segurança. Para obter mais informações, consulte a seção de parceiros do CloudTrail.

Para começar sua integração, você pode consultar o Guia de integração de parceiros. Interaja com sua equipe parceiras de desenvolvimento ou arquitetos de soluções para poder se conectar com a equipe do CloudTrail Lake e aprofundar seus conhecimentos ou tirar dúvidas.

Outros

Não. A ativação do CloudTrail não afeta a performance dos seus recursos da AWS nem a latência das chamadas de API.