Perguntas frequentes sobre o AWS CloudTrail

P: O que é o AWS CloudTrail?

O CloudTrail permite fazer auditoria, monitoramento de segurança e solucionar problemas operacionais rastreando a atividade do usuário e o uso da API. O CloudTrail registra, monitora continuamente e retém a atividade da conta relacionada às ações em sua infraestrutura AWS, dando a você controle sobre armazenamento, análise e ações de correção.

P: Quais são os benefícios do CloudTrail?

O CloudTrail ajuda você a comprovar a conformidade, melhorar o procedimento de segurança e consolidar registros de atividades em regiões e contas. O CloudTrail proporciona visibilidade sobre as atividades de usuários por meio do registro das ações executadas na sua conta. O CloudTrail registra informações importantes sobre cada ação, como quem fez a solicitação, quais serviços foram usados, quais ações foram executadas, quais os parâmetros da ação e quais elementos da resposta foram retornados pelo serviço da AWS. Essas informações ajudam você a rastrear as alterações feitas nos seus recursos da AWS e a solucionar problemas operacionais. O CloudTrail facilita a garantia da conformidade com políticas e padrões normativos internos. Para obter mais detalhes, consulte o whitepaper de compatibilidade da AWS Security at scale: Logging in AWS (Segurança em escala: registro em log na AWS).

P: Quem deve usar o CloudTrail?

Use o CloudTrail se precisar auditar a atividade, monitorar a segurança ou solucionar problemas operacionais.

P: Se eu for um novo cliente da AWS ou um cliente existente e não tiver o CloudTrail instalado, precisarei habilitar e configurar alguma coisa para ver a atividade da conta?

Não será necessária nenhuma ação de sua parte para que você possa ver a atividade da conta. Acesse o console do AWS CloudTrail ou a AWS CLI e comece a ver a atividade da conta nos últimos 90 dias.

P: O histórico de eventos do CloudTrail mostra toda a atividade da conta dentro de minha conta?

O AWS CloudTrail mostrará apenas os resultados do histórico de eventos do CloudTrail da região atual que você está visualizando nos últimos 90 dias e oferecerá suporte a uma variedade de serviços da AWS. Esses eventos são limitados aos eventos de gerenciamento com as chamadas das APIs create, modify e delete, e à atividade da conta. Para um registro completo da atividade da conta, incluindo todos os eventos de gerenciamento, eventos de dados e atividade somente leitura, você deve configurar uma trilha do CloudTrail.

P: Que filtros de pesquisa posso usar para ver a atividade da conta?

Você pode especificar o intervalo de tempo e um dos seguintes atributos: nome do evento, nome do usuário, nome do recurso, origem do evento, ID do evento e tipo de recurso.

P: Posso usar o comando lookup-events da CLI, mesmo se não houver uma trilha configurada?

Sim. Acesse o console do CloudTrail ou use a API/CLI do CloudTrail e comece a visualizar a atividade da conta nos últimos 90 dias.

P: Que outros recursos do CloudTrail são disponibilizados após a criação de uma trilha?

Configure uma trilha do CloudTrail para entregar seus eventos do CloudTrail para o Amazon Simple Storage Service (S3), o Amazon CloudWatch Logs e o Amazon CloudWatch Events. Isso ajuda a usar recursos para arquivar, analisar e responder a alterações nos recursos da AWS.

P: Posso restringir o acesso do usuário à visualização do histórico de eventos do CloudTrail?

Sim. O CloudTrail integra-se ao AWS Identity and Access Management (IAM). Isso ajuda a controlar o acesso ao CloudTrail e a outros recursos da AWS que o CloudTrail exige. Isso inclui a capacidade de restringir as permissões para visualizar e pesquisar a atividade da conta. Remova "cloudtrail:LookupEvents" da política do IAM dos usuários para impedir que o usuário do IAM visualize a atividade da conta.

P: Há algum custo associado a habilitar o histórico de eventos do CloudTrail em minha conta durante a criação?

Não há custo associado à visualização ou à pesquisa de atividade da conta usando o histórico de eventos do CloudTrail.

P: Posso desativar o histórico de eventos do CloudTrail de minha conta?

Para quaisquer trilhas do CloudTrail criadas, você pode parar de registrar ou excluir as trilhas. Isso também interromperá a entrega da atividade da conta para o bucket do Amazon S3 que você designou como parte de sua configuração de trilha e a entrega para CloudWatch Logs, se configurada. A atividade da conta durante os últimos 90 dias ainda será coletada e permanecerá visível no console do CloudTrail e por meio da AWS Command Line Interface (CLI).

P: Quais serviços são compatíveis com o CloudTrail?

O CloudTrail registra a atividade da conta e os eventos de serviços da maioria dos serviços da AWS. Consulte os serviços compatíveis com o CloudTrail no Manual do usuário do CloudTrail.

P: As chamadas de API feitas pelo Console de Gerenciamento da AWS são registradas?

Sim. O CloudTrail registra chamadas de APIs feitas por qualquer cliente. O Console de Gerenciamento da AWS, os kits de desenvolvimento de software (SDKs) da AWS, as ferramentas da linha de comando e os serviços da AWS de nível mais alto chamam operações de APIs da AWS. Portanto, essas chamadas são registradas.

P: Onde os arquivos de log são armazenados e processados antes de serem entregues a meu bucket do S3?

As informações de atividade para serviços com endpoints regionais (como Amazon Elastic Compute Cloud [EC2] ou Amazon Relational Database Service [RDS]) são capturadas e processadas na mesma região em que a ação é realizada. Em seguida, elas são entregues à região associada ao seu bucket do S3. As informações de atividades para serviços com endpoints únicos, como IAM e AWS Security Token Service (STS), são capturadas na região em que o endpoint está localizado. Em seguida, elas são processadas na região em que a trilha do CloudTrail é configurada e entregue à região associada ao seu bucket do S3.

P: O que significa aplicar uma trilha a todas as regiões da AWS?

A aplicação de uma trilha a todas as regiões da AWS significa criar uma trilha que registrará a atividade da conta da AWS em todas as regiões em que seus dados estão armazenados. Essa configuração também se aplica a qualquer nova região adicionada. Para obter mais detalhes sobre as regiões e partições, consulte a página dos nomes de recursos da Amazon e do AWS Service Namespaces.

P: Quais são os benefícios de aplicar uma trilha a todas as regiões?

É possível criar e gerenciar uma trilha em todas as regiões da partição em uma única chamada de API ou com algumas seleções. Você receberá um registro da atividade da conta realizada em sua conta da AWS referente a todas as regiões em um único bucket do S3 ou grupo do CloudWatch Logs. Quando a AWS lançar uma nova região, você receberá os arquivos de log contendo o histórico de eventos da nova região sem precisar executar nenhuma ação.

P: Como faço para aplicar uma trilha a todas as regiões?

No console do CloudTrail, selecione Yes para aplicar a todas as regiões na página de configuração da trilha. Se você estiver usando os SDKs ou a AWS CLI, defina IsMultiRegionTrail como true.

P: O que acontece quando aplico uma trilha a todas as regiões?

Depois que você aplicar uma trilha a todas as regiões, o CloudTrail criará uma nova trilha em todas as regiões, replicando a configuração da trilha. O CloudTrail registrará e processará os arquivos de log em cada região e entregará arquivos de log contendo a atividade da conta em todas as regiões em um único bucket do S3 e em um único grupo de logs do CloudWatch Logs. Se você especificou um tópico do Amazon Simple Notification Service (SNS) opcional, o CloudTrail entregará notificações do Amazon SNS de todos os arquivos de log a um único tópico do SNS.

P: Posso aplicar uma trilha atual a todas as regiões?

Sim. Você pode aplicar uma trilha atual a todas as regiões. Ao aplicar uma trilha atual a todas as regiões, o CloudTrail criará para você uma nova trilha em todas as regiões. Se você já criou trilhas em outras regiões, será possível visualizá-las, editá-las e excluí-las usando o console do CloudTrail.

P: Quanto tempo o CloudTrail levará para replicar a configuração da trilha para todas as regiões?

Normalmente, levará menos de 30 segundos para replicar a configuração da trilha para todas as regiões.

P: Quantas trilhas posso criar em uma região?

Você pode criar até cinco trilhas em uma região. Uma trilha que se aplica a todas as regiões existe em cada uma delas e é contada como uma trilha em cada região.

P: Qual é o benefício de criar várias trilhas em uma região?

Com várias trilhas, diferentes partes interessadas como administradores de segurança, desenvolvedores de software e auditores de TI podem criar e gerenciar suas próprias trilhas. Por exemplo, um administrador de segurança pode criar uma trilha que se aplique a todas as regiões e configurar a criptografia usando uma única chave do Amazon Key Management Service (KMS). Um desenvolvedor pode criar uma trilha que se aplique a uma única região para solucionar problemas operacionais.

P: O CloudTrail oferece suporte a permissões por recurso?

Sim. Ao usar permissões no nível dos recursos, você pode criar políticas granulares de controle de acesso para permitir ou negar acesso a usuários específicos para uma determinada trilha. Para obter mais detalhes, consulte a documentação do CloudTrail.

P: Como posso proteger os arquivos de log do CloudTrail?

Por padrão, os arquivos de log do CloudTrail são criptografados usando criptografia do lado do servidor (SSE) do S3 e colocados no seu bucket do S3. Você pode controlar o acesso aos arquivos de log aplicando políticas do IAM ou de buckets do S3. É possível acrescentar uma camada adicional de segurança habilitando a exclusão da autenticação multifator (MFA) do S3 no seu bucket do S3. Para obter mais detalhes sobre como criar e atualizar uma trilha, consulte a documentação do CloudTrail.

P: Onde posso fazer download de um exemplo de política para buckets do S3 e de política de tópicos do SNS?

Você pode baixar um exemplo de política de bucket do S3 e de política de tópico de SNS no bucket do CloudTrail no S3. É necessário atualizar os exemplos de políticas com suas informações antes de aplicá-las ao bucket do S3 ou ao tópico do SNS.

P: Por quanto tempo posso armazenar os arquivos de log de atividades?

Você controla as políticas de retenção dos arquivos de log do CloudTrail. Por padrão, os arquivos de log são armazenados indefinidamente. Você pode usar as regras de gerenciamento de ciclo de vida de objetos do S3 para definir a sua própria política de retenção. Por exemplo, talvez você queira excluir arquivos de log antigos ou arquivá-los no Amazon Simple Storage Service Glacier (S3 Glacier).

P: Quais informações estão disponíveis em um evento?

Um evento contém informações sobre a atividade associada: quem fez a solicitação, quais serviços foram usados, quais ações foram executadas e quais os parâmetros da ação, bem como quais elementos da resposta foram retornados pelo Serviço da AWS. Para obter mais detalhes, consulte a seção Referência de evento do CloudTrail no manual do usuário.

P: Quanto tempo o CloudTrail demora para entregar um evento de uma chamada de API?

Normalmente, o CloudTrail entrega um evento em até 5 minutos após a chamada de API. Para mais informações sobre como o CloudTrail funciona, consulte aqui.  

P: Com que frequência o CloudTrail entrega arquivos de log ao bucket do S3?

O CloudTrail entrega arquivos de log ao bucket do S3 em intervalos aproximados de cinco minutos. O CloudTrail não entrega arquivos de log se nenhuma chamada de API for feita em sua conta.

P: Posso ser notificado quando arquivos de log novos forem entregues ao bucket do S3?

Sim. Você pode ativar as notificações do Amazon SNS para executar ações imediatas na entrega de novos arquivos de log.

P: O que acontece se o CloudTrail for ativado para minha conta, mas o meu bucket do S3 não estiver configurado com a política correta?

Os arquivos de log do CloudTrail são entregues de acordo com as políticas implementadas do bucket do S3. Se as políticas do bucket estiverem mal configuradas, o CloudTrail não conseguirá entregar os arquivos de log.

P: O que são eventos de dados?

Os eventos de dados oferecem insights sobre as operações de recursos (plano de dados) executadas com o recurso ou dentro do próprio recurso. Muitas vezes, os eventos de dados são atividades de alto volume e incluem operações como as de APIs de objetos do S3 e API de invocação de funções do AWS Lambda. Por padrão, os eventos de dados são desativados quando você configura uma trilha. Para registrar eventos de dados do CloudTrail, você deve adicionar explicitamente os recursos ou os tipos de recursos para os quais quer registrar as atividades. Ao contrário dos eventos de gerenciamento, os eventos de dados incorrem em custos adicionais. Para obter mais informações, consulte os preços do CloudTrail.

P: Como posso consumir eventos de dados?

Os eventos de dados registrados pelo CloudTrail são disponibilizados para o S3, de modo similar aos eventos de gerenciamento. Depois de habilitados, esses eventos também são disponibilizados no Amazon CloudWatch Events.

P: O que são eventos de dados do S3? Como posso registrá-los?

Os eventos de dados do S3 representam atividades de API nos objetos do S3. Para que o CloudTrail registre essas ações, você especifica um bucket do S3 na seção de eventos de dados durante a criação de uma nova trilha ou a modificação de uma trilha existente. Todas as ações de API nos objetos em um bucket específico do S3 são registradas pelo CloudTrail.

P: O que são os eventos de dados do Lambda? Como posso registrá-los?

Os eventos de dados do Lambda registram as atividades de tempo de execução de funções do Lambda. Com eventos de dados do Lambda, você pode obter detalhes sobre o tempo de execução da função do Lambda. Exemplos de tempo de execução da função do Lambda incluem qual usuário ou serviço do IAM fez a chamada da API Invoke, quando a chamada foi feita e qual função foi aplicada. Todos os eventos de dados do Lambda são entregues a um bucket do S3 e ao CloudWatch Events. Você pode ativar o registro em log de eventos de dados do Lambda usando a CLI ou o console do CloudTrail. Para selecionar quais funções do Lambda serão registradas, crie uma nova trilha ou edite uma trilha existente.

P: Posso adicionar um administrador delegado à minha organização?

Sim, o CloudTrail agora oferece suporte à inclusão de até três administradores delegados por organização.

P: Quem é o proprietário de uma trilha da organização ou de um armazenamento de dados de eventos no nível da organização criado por um administrador delegado?

A conta de gerenciamento permanecerá como proprietária de qualquer trilha da organização ou de datastores de eventos criados no nível da organização, independentemente se ela foi criada por uma conta de administrador delegado ou por uma conta de gerenciamento.

P: Em quais regiões o suporte ao administrador delegado está disponível?

No momento, o suporte ao administrador delegado para o CloudTrail está disponível em todas as regiões em que o AWS CloudTrail é oferecido, exceto China (Pequim, operada pela Sinnet) e China (Ningxia, operada pela NWCD).

P: O que são eventos do CloudTrail Insights?

Eventos do CloudTrail Insights ajudam você a identificar atividades incomuns em suas contas da AWS, como picos no provisionamento de recursos, explosões de ações do AWS Identity and Access Management (IAM) ou lacunas nas atividades de manutenção periódica. O CloudTrail Insights usa modelos de machine learning (ML) que monitoram continuamente os eventos de gerenciamento de gravação do CloudTrail em busca de atividades anormais.

Quando atividades anormais são detectadas, os eventos do CloudTrail Insights são exibidos no console e entregues ao CloudWatch Events, a seu bucket do S3 e, opcionalmente, ao grupo do CloudWatch Logs. Isso facilita a criação de alertas e a integração aos sistemas de gerenciamento de eventos e fluxo de trabalho existentes.

P: Que tipo de atividade o CloudTrail Insights ajuda a identificar?

O CloudTrail Insights detecta atividades incomuns analisando os eventos de gerenciamento de gravação do CloudTrail em uma conta da AWS e em uma região. Um evento incomum ou anormal é definido como o volume de chamadas de API da AWS que se desvia do esperado de um padrão operacional ou linha de base previamente estabelecidos. O CloudTrail Insights se adapta às mudanças nos seus padrões operacionais normais, considerando as tendências baseadas no tempo nas chamadas de API e aplicando linhas de base adaptáveis à medida que as workloads mudam.

O CloudTrail Insights pode ajudar a detectar scripts ou aplicativos que se comportam mal. Às vezes um desenvolvedor altera um script ou aplicação que inicia um loop de repetição ou faz um grande número de chamadas para recursos não intencionais, como bancos de dados, repositórios de dados ou outras funções. Geralmente, esse comportamento não é percebido até o ciclo de cobrança no final do mês, quando os custos aumentam inesperadamente ou ocorre uma interrupção ou interrupção real. Os eventos do CloudTrail Insights podem alertar sobre essas alterações em sua conta da AWS, para que você possa tomar ações corretivas rapidamente.

P: Como o CloudTrail Insights funciona com outros produtos da AWS que usam detecção de anomalias?

O CloudTrail Insights identifica atividades operacionais incomuns em suas contas da AWS, o que ajuda a solucionar problemas operacionais, minimizando o impacto operacional e comercial. O Amazon GuardDuty se concentra em melhorar a segurança de sua conta, fornecendo detecção de ameaças ao monitorar a atividade da conta. O Amazon Macie foi desenvolvido para melhorar a proteção de dados na sua conta, descobrindo, classificando e protegendo dados sigilosos. Esses serviços oferecem proteções complementares contra diferentes tipos de problemas que podem surgir em sua conta.

P: Para que o CloudTrail Insights funcione, é necessário ter o CloudTrail configurado?

Sim. Os eventos do CloudTrail Insights são configurados em trilhas individuais e, portanto, você deve ter pelo menos uma trilha configurada. Quando você ativa eventos do CloudTrail Insights para uma trilha, o CloudTrail começa a monitorar eventos de gerenciamento de gravação capturados por essa trilha em busca de padrões incomuns. Se o CloudTrail Insights detectar atividades incomuns, um evento do CloudTrail Insights será registrado no destino de entrega especificado na definição da trilha.

P: Que tipos de eventos o CloudTrail Insights monitora?

O CloudTrail Insights rastreia atividades incomuns para operações de APIs de gerenciamento de gravação.

P: Como faço para começar?

Você pode habilitar eventos do CloudTrail Insights em trilhas individuais na sua conta usando o console, a CLI ou o SDK. Você também pode habilitar os eventos do CloudTrail Insights na sua organização usando uma trilha organizacional configurada na sua conta de gerenciamento do AWS Organizations. É possível ativar eventos do CloudTrail Insights escolhendo o botão de opção em sua definição de trilha.

P: Por que devo usar o CloudTrail Lake?

O CloudTrail Lake ajuda a examinar os incidentes consultando todas as ações registradas pelo CloudTrail e os itens de configuração registrados pelo AWS Config. Ele simplifica o registro de incidentes ajudando a remover dependências operacionais e fornece ferramentas que podem ajudar a reduzir sua dependência de pipelines de processos de dados complexos que abrangem as equipes. O CloudTrail Lake não exige que você mova e ingira logs do CloudTrail em outro lugar, o que ajuda a manter a fidelidade dos dados e reduz o tratamento de limites de baixa taxa que limitam seus logs. Ele também fornece latências quase em tempo real, pois é ajustado para processar logs estruturados de alto volume, disponibilizando-os para investigação de incidentes. Além disso, o CloudTrail Lake oferece uma experiência familiar de consulta de vários atributos com SQL e é capaz de agendar e lidar com várias consultas simultâneas.

P: Como esse serviço se relaciona/funciona com outros serviços da AWS?

O CloudTrail é a fonte canônica de logs para atividade do usuário e uso de API nos serviços da AWS. Você pode usar o CloudTrail Lake para examinar a atividade em serviços da AWS assim que os logs estiverem disponíveis no CloudTrail. Você pode consultar e analisar a atividade do usuário e os recursos afetados e usar esses dados para resolver problemas como identificar agentes mal-intencionados e permissões de linha de base.

P: Como é possível assimilar dados de eventos através de fontes externas à AWS, como aplicações personalizadas ou fontes independentes?

É possível encontrar e adicionar integrações de parceiros para começar a receber eventos de atividades dessas aplicações com apenas algumas etapas, usando o console do CloudTrail, sem precisar desenvolver e manter integrações personalizadas. Para fontes diferentes das integrações de parceiros disponíveis, você pode usar as novas APIs do CloudTrail Lake para definir suas próprias integrações e impulsionar eventos para o CloudTrail Lake. Para começar, consulte Trabalhe com o CloudTrail Lake no Guia do Usuário do CloudTrail.

P: Quando você recomenda usar a consulta avançada do AWS Config em vez do CloudTrail Lake para consultar itens de configuração do AWS Config?

A consulta avançada do AWS Config é recomendada para clientes que desejam agregar e consultar Configuration Items (CI – Itens de configuração) do AWS Config no estado atual. Isso ajuda os clientes com gerenciamento de inventário, segurança e inteligência operacional, otimização de custos e dados de conformidade. A consulta avançada do AWS Config é gratuita se você for um cliente do AWS Config. 

O CloudTrail Lake oferece suporte à cobertura de consulta para itens de configuração do AWS Config, incluindo configuração de recursos e histórico de conformidade. A análise do histórico de configuração e conformidade para recursos com eventos CloudTrail relacionados ajuda a inferir quem, quando e o que mudou nesses recursos. Isso ajuda na análise da causa raiz de incidentes relacionados à exposição de segurança ou não conformidade. O CloudTrail Lake é recomendado se você precisar agregar e consultar dados em eventos do CloudTrail e itens de configuração históricos. 

P: Se eu habilitar a assimilação de itens de configuração do AWS Config hoje no CloudTrail Lake, esse recurso assimilará meus itens de configuração de históricos (gerados antes da criação do Lake) ou coletará apenas os itens de configuração recém-registrados?

O CloudTrail Lake não assimilará itens de configuração do AWS Config que foram gerados antes da configuração do CloudTrail Lake. Itens de configuração recém-gravados do AWS Config, em nível de conta ou organização, serão entregues ao armazenamento de dados de eventos do CloudTrail Lake especificado. Esses itens de configuração estarão disponíveis no Lake para consulta pelo período de retenção especificado e podem ser usados para análise de dados de históricos. 

P: Posso sempre saber qual usuário fez uma determinada alteração de configuração consultando o CloudTrail Lake?

Se várias alterações de configuração forem tentadas em um único recurso por vários usuários em rápida sucessão, apenas um item de configuração poderá ser criado para mapear a configuração do estado final do recurso. Neste e em cenários semelhantes, pode não ser possível fornecer 100% de correlação sobre qual usuário fez quais alterações de configuração consultando o CloudTrail e os itens de configuração referentes a um período e ID de recurso específicos.

P: Se eu já usei trilhas antes, posso trazer os logs do CloudTrail existentes para meu datastore de eventos do CloudTrail Lake existente ou novo?

Sim. O recurso de importação do CloudTrail Lake oferece suporte à cópia de logs do CloudTrail de um bucket do S3 que armazena logs de várias contas (de uma trilha da organização) e várias regiões da AWS. Você também pode importar logs de contas individuais e trilhas de região única. O recurso de importação também permite especificar um intervalo de datas de importação, para que você importe apenas o subconjunto de logs necessários para armazenamento e análise de longo prazo no CloudTrail Lake. Depois de consolidar os logs, você pode executar consultas neles, desde os eventos mais recentes coletados após a ativação do CloudTrail Lake até eventos históricos trazidos de suas trilhas.

P: Esse recurso de importação afeta a trilha original no S3? 

O recurso de importação copia as informações de log do S3 para o CloudTrail Lake e mantém a cópia original no S3 como está.

P: Quais eventos do CloudTrail posso consultar após habilitar o recurso CloudTrail Lake?

Você pode habilitar o CloudTrail Lake para qualquer uma das categorias de eventos coletadas pelo CloudTrail, dependendo de suas necessidades internas de solução de problemas. As categorias de eventos incluem eventos de gerenciamento que capturam atividades do ambiente de gerenciamento, como CreateBucket e TerminateInstances, e eventos de dados que capturam atividades do plano de dados, como GetObject e PutObject. Você não precisa de uma assinatura de avaliação separada para nenhum desses eventos. Você pode escolher a duração da retenção do evento por até sete anos e consultar esses dados a qualquer momento.

P: Depois de habilitar o recurso CloudTrail Lake, quanto tempo preciso esperar para começar a escrever consultas?

Você pode começar a consultar as atividades que ocorrem após ativar o recurso quase imediatamente.

P: Quais são alguns dos casos de uso operacional e de segurança comuns que posso resolver usando o CloudTrail Lake?

Os casos de uso comuns incluem a investigação de incidentes de segurança, como acesso não autorizado ou credenciais de usuário comprometidas, e o aprimoramento de seu procedimento de segurança por meio da realização de auditorias às permissões de usuário de linha de base regularmente. Você pode realizar auditorias necessárias para garantir que o conjunto certo de usuários esteja fazendo alterações em seus recursos, como grupos de segurança, e rastrear quaisquer alterações que não estejam de acordo com as práticas recomendadas da sua organização. Além disso, você pode acompanhar as ações realizadas em seus recursos e avaliar modificações ou exclusões, além de obter informações mais detalhadas sobre suas faturas de serviços da AWS, incluindo os usuários do IAM que assinam serviços.

P: Como faço para começar?

Se você é um cliente atual ou novo do CloudTrail, pode começar imediatamente a usar o recurso CloudTrail Lake para executar consultas ativando-o por meio da API ou do console do CloudTrail. Selecione a guia CloudTrail Lake no painel esquerdo do console do CloudTrail e selecione o botão Criar armazenamento de dados de eventos para escolher a duração da retenção de eventos (até sete anos). Em seguida, faça seleções de eventos de todas as categorias de eventos registradas pelo CloudTrail (eventos de gerenciamento e dados) para começar.

Além disso, você pode usar consultas de exemplo para começar a escrever consultas para cenários comuns, como identificar registros de falhas de autorização para AssumeRole ou criar suas próprias consultas para iniciar sua pesquisa.

P: Tenho várias contas da AWS. Eu gostaria que os arquivos de log para todas as contas fossem entregues em um único bucket do S3. Posso fazer isso?

Sim. Você pode configurar um bucket do S3 como o destino de várias contas. Para obter instruções detalhadas, consulte a seção sobre agregar arquivos de log a um único bucket do S3 no guia do usuário do CloudTrail.

P: O que é a integração do CloudTrail com o CloudWatch Logs?

A integração do CloudTrail com o CloudWatch Logs entrega eventos de gerenciamento e de dados capturados pelo CloudTrail a um fluxo de logs do CloudWatch Logs no grupo de logs especificado.

P: Quais são os benefícios da integração do CloudTrail ao CloudWatch Logs?

Essa integração ajuda a receber notificações SNS da atividade da conta capturada pelo CloudTrail. Por exemplo, você pode criar alarmes do CloudWatch para monitorar chamadas de API que criam, modificam e excluem grupos de segurança e listas de controle de acesso (ACLs) da rede.

P: Como faço para ativar a integração do CloudTrail com o CloudWatch Logs?

Você pode ativar a integração do CloudTrail com o CloudWatch Logs no console do CloudTrail especificando um grupo de logs do CloudWatch Logs e um perfil do IAM. Também é possível usar AWS SDKs ou a AWS CLI para ativar essa integração.

P: O que acontece quando eu ativo a integração do CloudTrail com o CloudWatch Logs?

Com a integração ativada, o CloudTrail disponibiliza continuamente a atividade da conta a um fluxo de logs no grupo de logs do CloudWatch Logs especificado. O CloudTrail também continua a entregar logs a seu bucket do S3, como já ocorria anteriormente.

P: Quais são as regiões da AWS são compatíveis com a integração do CloudTrail ao CloudWatch Logs?

Essa integração tem suporte nas regiões em que o CloudWatch Logs está disponível. Para obter mais informações, consulte Regiões e endpoints na Referência geral da AWS.

P: Como o CloudTrail disponibiliza eventos que contêm a atividade da conta ao CloudWatch Logs?

O CloudTrail assume o perfil do IAM especificada para disponibilizar a atividade da conta ao CloudWatch Logs. Você limita a função do IAM para ter apenas as permissões necessárias para entregar eventos ao stream de logs do CloudWatch Logs. Para examinar a política de perfis do IAM, consulte o manual do usuário na documentação do CloudTrail.

P: O que será cobrado quando eu ativar a integração do CloudTrail com o CloudWatch Logs?

Após ativar a integração do CloudTrail com o CloudWatch Logs, você passa a ser cobrado de acordo com os valores padrão do CloudWatch Logs e do CloudWatch. Para obter detalhes, acesse a página de preços do CloudWatch.

P: Quais são os benefícios da criptografia de arquivos de log do CloudTrail usando criptografia no lado do servidor com o AWS KMS?

A criptografia de arquivos de log do CloudTrail usando SSE-KMS ajuda a adicionar uma camada extra de segurança aos arquivos de log do CloudTrail entregues a um bucket do S3 ao fazer a criptografia de arquivos de log com uma chave do KMS. Como padrão, o CloudTrail criptografará todos os arquivos de log entregues ao bucket do S3 usando a criptografia do lado do servidor do S3.

P: Eu tenho um aplicativo que consome e processa arquivos de log do CloudTrail. Preciso fazer alguma alteração no meu aplicativo?

Com o SSE-KMS, o S3 descriptografa automaticamente os arquivos de log para que você não tenha que fazer alterações nos aplicativos. Como sempre, é necessário verificar se a aplicação tem as permissões adequadas, como as permissões GetObject do S3 e Decrypt do AWS KMS.

P: Como posso configurar a criptografia de arquivos de log do CloudTrail?

Você pode usar o Console de Gerenciamento da AWS, a AWS CLI ou os SDKs da AWS para configurar a criptografia de arquivos de log. Para obter instruções detalhadas, consulte a documentação.

P: Que cobranças serão feitas após a configuração da criptografia usando o SSE-KMS?

Após a configuração da criptografia usando o SSE-KMS, serão cobradas as taxas padrão do AWS KMS. Para obter detalhes, acesse a página de preços do AWS KMS.

P: O que é a validação da integridade de arquivos de log do CloudTrail?

O recurso de validação da integridade de arquivos de log do CloudTrail ajuda você a determinar se um arquivo de log do CloudTrail permaneceu sem alterações, foi excluído ou modificado desde que foi entregue pelo CloudTrail ao bucket especificado do S3.

P: Qual é o benefício da validação da integridade de arquivos de log do CloudTrail?

Você pode usar a validação da integridade de arquivos de log como um auxílio em seus processos de segurança e auditoria de TI.

P: Como posso habilitar a validação da integridade de arquivos de log do CloudTrail?

Você pode habilitar o recurso de validação da integridade de arquivos de log do CloudTrail no console, na AWS CLI ou nos AWS SDKs.

P: O que acontece quando eu ativo o recurso de validação da integridade de arquivos de log?

Quando você ativa o recurso de validação da integridade de arquivos de log, o CloudTrail entrega arquivos de resumo a cada hora. Os arquivos resumidos contêm informações sobre os arquivos de log que foram entregues ao seu bucket do S3 e valores de hash para esses arquivos de log. Eles também contêm assinaturas digitais para o arquivo de resumo anterior e a assinatura digital para o arquivo de resumo atual na seção de metadados do S3. Para obter mais informações sobre os arquivos de resumo, assinaturas digitais e valores hash, acesse a documentação do CloudTrail.

P: Onde os arquivos de resumo foram entregues?

Os arquivos de resumo foram entregues no mesmo bucket do S3 em que os arquivos de log foram entregues. No entanto, eles foram entregues a uma pasta diferente para que você possa aplicar políticas de controle de acesso granular. Para obter detalhes, consulte a seção de estrutura do arquivo de resumo na documentação do CloudTrail.

P: Como posso validar a integridade de um arquivo de log ou um arquivo de resumo entregue pelo CloudTrail?

Você pode usar a AWS CLI para validar a integridade do arquivo de log ou do arquivo de resumo. Também é possível criar suas próprias ferramentas para fazer a validação. Para obter mais detalhes sobre o uso da AWS CLI para a validação da integridade de um arquivo de log, consulte a documentação do CloudTrail.

P: Eu agrego todos os meus arquivos de log em todas as regiões e em várias contas em um único bucket do S3. Os arquivos de resumo serão entregues no mesmo bucket do S3?

Sim. O CloudTrail entregará os arquivos de resumo em todas as regiões e em várias contas no mesmo bucket do S3.

P: O que é a AWS CloudTrail Processing Library?

O AWS CloudTrail Processing Library é uma biblioteca Java que facilita a criação de aplicações de leitura e processamento de arquivos de log do CloudTrail. Você pode baixar a CloudTrail Processing Library no GitHub.

P: Qual a funcionalidade oferecida pela CloudTrail Processing Library?

A CloudTrail Processing Library fornece funcionalidade para lidar com tarefas como pesquisar continuamente uma fila do SQS e ler e analisar mensagens do Amazon Simple Queue Service (SQS). Ela também pode baixar arquivos de log armazenados no S3, analisar e serializar eventos de arquivos de log de maneira tolerante a falhas. Para obter mais informações, consulte o guia do usuário na documentação do CloudTrail.

P: Qual software é necessário para começar a usar a CloudTrail Processing Library?

Você precisa do aws-java-sdk versão 1.9.3 e do Java 1.7 ou versões superiores.

P: Como sou cobrado pelo CloudTrail?

O CloudTrail ajuda você a visualizar, pesquisar e baixar os últimos 90 dias de eventos de gerenciamento de sua conta gratuitamente. Você pode entregar uma cópia de seus eventos de gerenciamento em andamento para o S3 gratuitamente criando uma trilha. Após a configuração de uma trilha do CloudTrail, as taxas do S3 são aplicadas conforme o uso.

Você pode entregar cópias adicionais de eventos, incluindo eventos de dados, usando trilhas. Você será cobrado por eventos de dados ou cópias adicionais de eventos de gerenciamento. Saiba mais na página de definição de preços.

P: Serei cobrado se tiver apenas uma trilha com eventos de gerenciamento e aplicá-la a todas as regiões?

Não. A primeira cópia dos eventos de gerenciamento é entregue gratuitamente em cada região.

P: Haverá cobrança, se eu habilitar eventos de dados em uma trilha atual com eventos de gerenciamento gratuitos?

Sim. Você será cobrado apenas pelos eventos de dados. A primeira cópia dos eventos de gestão é entregue gratuitamente.

P: Como as soluções de parceiros da AWS me ajudam a analisar os eventos registrados pelo CloudTrail?

Vários parceiros oferecem soluções integradas para analisar arquivos de log do CloudTrail. Essas soluções incluem recursos como rastreamento de alterações, solução de problemas e análises de segurança. Para obter mais informações, consulte a seção de parceiros do CloudTrail.

P: Como posso habilitar uma integração no CloudTrail Lake como uma fonte disponível?

Para começar sua integração, você pode consultar o Guia de integração de parceiros. Interaja com sua equipe parceiras de desenvolvimento ou arquitetos de soluções para poder se conectar com a equipe do CloudTrail Lake e aprofundar seus conhecimentos ou tirar dúvidas.

P: A ativação do CloudTrail afetará a performance dos recursos da AWS ou aumentará a latência das chamadas de API?

Não. A ativação do CloudTrail não afeta a performance dos seus recursos da AWS nem a latência das chamadas de API.