Geral

P: O que é o AWS CloudTrail?

O AWS CloudTrail permite fazer auditoria, monitoramento de segurança e solucionar problemas operacionais rastreando a atividade do usuário e o uso da API. O CloudTrail registra, monitora continuamente e retém a atividade da conta relacionada às ações em sua infraestrutura AWS, dando a você controle sobre armazenamento, análise e ações de correção.

P: Quais são os benefícios do CloudTrail?

O CloudTrail ajuda você a comprovar a conformidade, melhorar o procedimento de segurança e consolidar registros de atividades em regiões e contas. O CloudTrail proporciona visibilidade sobre as atividades de usuários por meio do registro das ações executadas na sua conta. O CloudTrail registra informações importantes sobre cada ação, como quem fez a solicitação, quais serviços foram usados, quais ações foram executadas, quais os parâmetros da ação e quais elementos da resposta foram retornados pelo serviço da AWS. Essas informações ajudam você a rastrear as alterações feitas nos seus recursos da AWS e a solucionar problemas operacionais. O CloudTrail facilita a garantia da conformidade com políticas e padrões normativos internos. Para obter mais detalhes, consulte o whitepaper de compatibilidade da AWS “Security at scale: Logging in AWS”.

P: Quem deve usar o CloudTrail?

Você deve usar o CloudTrail se precisar auditar a atividade, monitorar a segurança ou solucionar problemas operacionais.

Conceitos básicos

P: Se eu for um novo cliente da AWS ou um cliente existente e não tiver o CloudTrail instalado, precisarei habilitar e configurar alguma coisa para ver a atividade da conta?

Não será necessária nenhuma ação de sua parte para que você possa ver a atividade da conta. Acesse o console do AWS CloudTrail ou a AWS CLI e comece a ver a atividade da conta nos últimos 90 dias.

P: O histórico de eventos do CloudTrail mostra toda a atividade da conta dentro de minha conta?

O AWS CloudTrail mostrará apenas os resultados do histórico de eventos do CloudTrail da região atual que você está visualizando nos últimos 90 dias e oferecerá suporte a uma variedade de serviços da AWS. Esses eventos são limitados aos eventos de gerenciamento com as chamadas das APIs create, modify e delete, e à atividade da conta. Para um registro completo da atividade da conta, incluindo todos os eventos de gerenciamento, eventos de dados e atividade somente leitura, você deve configurar uma trilha do CloudTrail.

P: Que filtros de pesquisa posso usar para ver a atividade da conta?

Você pode especificar o intervalo de tempo e um dos seguintes atributos: nome do evento, nome do usuário, nome do recurso, origem do evento, ID do evento e tipo de recurso.

P: Posso usar o comando lookup-events da CLI, mesmo se não houver uma trilha configurada?

Sim. Acesse o console do CloudTrail ou use a API/CLI do CloudTrail e comece a visualizar a atividade da conta nos últimos 90 dias.

P: Que outros recursos do CloudTrail são disponibilizados após a criação de uma trilha?

Configure uma trilha do CloudTrail para entregar seus eventos do CloudTrail para o Amazon S3, o Amazon CloudWatch Logs e o Amazon CloudWatch Events. Isso permite usufruir de recursos que ajudam a arquivar, analisar e responder a alterações nos recursos da AWS.

P: Posso restringir o acesso do usuário à visualização do histórico de eventos do CloudTrail?

Sim. O CloudTrail integra-se ao AWS Identity and Access Management (IAM). Isso permite controlar o acesso ao CloudTrail e a outros recursos da AWS que o CloudTrail exige, o que inclui a capacidade de restringir permissões para visualizar e pesquisar a atividade da conta. Remova "cloudtrail:LookupEvents" da política do IAM dos usuários para impedir que o usuário do IAM visualize a atividade da conta.

P: Há algum custo associado a habilitar o histórico de eventos do CloudTrail em minha conta durante a criação?

Não há custo associado à visualização ou à pesquisa de atividade da conta usando o histórico de eventos do CloudTrail.

P: Posso desativar o histórico de eventos do CloudTrail de minha conta?

Para quaisquer trilhas do CloudTrail criadas, você pode parar de registrar ou excluir as trilhas. Isso também interromperá a entrega da atividade da conta para o bucket do S3 que você designou como parte de sua configuração de trilha, bem como a entrega para CloudWatch Logs, se configurado. A atividade da conta durante os últimos 90 dias ainda será coletada e permanecerá visível no console do CloudTrail e por meio da AWS Command Line Interface (CLI).

Suporte a serviços e regiões

P: Quais serviços são compatíveis com o CloudTrail?

O AWS CloudTrail registra a atividade da conta e os eventos de serviços da maioria dos serviços da AWS. Para obter uma lista de serviços compatíveis, consulte os serviços compatíveis com o CloudTrail no Manual do usuário do CloudTrail.

P: As chamadas de API feitas pelo Console de Gerenciamento da AWS são registradas?

Sim. O CloudTrail registra chamadas de APIs feitas por qualquer cliente. O Console de Gerenciamento da AWS, os AWS Software Development Kits (SDKs), as ferramentas da linha de comando e os produtos da AWS de nível mais alto chamam APIs da AWS. Portanto, essas chamadas são registradas.

P: Onde os arquivos de log são armazenados e processados antes de serem entregues a meu bucket do Amazon S3?

As informações sobre as atividades de serviços com endpoints regionais (EC2, RDS etc.) são capturadas e processadas na mesma região onde a ação foi executada, e são disponibilizadas na região associada ao bucket do Amazon S3. As informações sobre atividades de serviços com endpoints únicos, como IAM e AWS Security Token Service (STS) são capturadas na região onde o endpoint está localizado, processadas na região onde a trilha do CloudTrail está configurada e entregues na região associada ao bucket do Amazon S3.

Aplicação de uma trilha a todas as regiões

P: O que significa aplicar uma trilha a todas as regiões?

A aplicação de uma trilha a todas as regiões da AWS significa criar uma trilha que registrará a atividade da conta da AWS em todas as regiões em que seus dados estão armazenados. Essa configuração também se aplica a qualquer nova região adicionada. Para obter mais detalhes sobre as regiões e partições, consulte a página dos nomes de recursos da Amazon e do AWS Service Namespaces.

P: Quais são os benefícios de aplicar uma trilha a todas as regiões?

É possível criar e gerenciar uma trilha em todas as regiões da partição em uma única chamada de API ou com alguns cliques. Você receberá um registro da atividade da conta realizada em sua conta da AWS referente a todas as regiões em um único bucket do S3 ou grupo de logs do CloudWatch Logs. Quando a AWS lançar uma nova região, você receberá os arquivos de log contendo o histórico de eventos da nova região sem precisar executar nenhuma ação.

P: Como faço para aplicar uma trilha a todas as regiões?

No console do CloudTrail, selecione Yes para aplicar a todas as regiões na página de configuração da trilha. Se você estiver usando os SDKs ou a AWS CLI, defina IsMultiRegionTrail como true.

P: O que acontece quando aplico uma trilha a todas as regiões?

Depois que você aplicar uma trilha a todas as regiões, o CloudTrail criará uma nova trilha em todas as regiões, replicando a configuração da trilha. O CloudTrail registrará e processará os arquivos de log em cada região e entregará arquivos de log contendo a atividade da conta em todas as regiões da AWS em um único bucket do Amazon S3 e em um único grupo de logs do CloudWatch Logs. Se você especificou um tópico do Amazon Simple Notification Service (SNS) opcional, o CloudTrail entregará notificações do SNS de todos os arquivos de log a um único tópico do SNS.

P: Posso aplicar uma trilha atual a todas as regiões?

Sim. Você pode aplicar uma trilha atual a todas as regiões. Ao aplicar uma trilha atual a todas as regiões, o CloudTrail criará para você uma nova trilha em todas as regiões. Se você já criou trilhas em outras regiões, será possível visualizá-las, editá-las e excluí-las usando o console do CloudTrail.

P: Quanto tempo o CloudTrail levará para replicar a configuração da trilha para todas as regiões?

Normalmente, levará menos de 30 segundos para replicar a configuração da trilha para todas as regiões.

Várias trilhas

P: Quantas trilhas posso criar em uma região da AWS?

Você pode criar até cinco trilhas em uma região da AWS. Uma trilha que se aplica a todas as regiões existe em cada uma delas e é contada como uma trilha em cada região.

P: Qual é o benefício de criar várias trilhas em uma região da AWS?

Com várias trilhas, diferentes partes interessadas como administradores de segurança, desenvolvedores de software e auditores de TI podem criar e gerenciar suas próprias trilhas. Por exemplo, um administrador de segurança pode criar uma trilha que se aplique a todas as regiões e configurar a criptografia usando uma única chave do Amazon Key Management Service (KMS). Um desenvolvedor pode criar uma trilha que se aplique a uma única região para solucionar problemas operacionais.

P: O CloudTrail oferece suporte a permissões por recurso?

Sim. Ao usar permissões no nível dos recursos, você pode criar políticas granulares de controle de acesso para permitir ou negar acesso a usuários específicos para uma determinada trilha. Para obter mais detalhes, consulte a documentação do CloudTrail.

Segurança e validade

P: Como posso proteger os arquivos de log do CloudTrail?

Por padrão, os arquivos de log do CloudTrail são criptografados usando Server Side Encryption (SSE) do Amazon S3 e colocados no seu bucket do S3. Você pode controlar o acesso aos arquivos de log aplicando políticas do IAM ou de buckets do S3. É possível acrescentar uma camada adicional de segurança ativando o Multi Factor Authentication (MFA) Delete do S3 no seu bucket do S3. Para obter mais detalhes sobre como criar e atualizar uma trilha, consulte a documentação do CloudTrail.

P: Onde posso baixar um exemplo de política de buckets do S3 e de política de tópicos do SNS?

Você pode fazer download de um exemplo de política de bucket do S3 e de política de tópico de SNS no bucket do CloudTrail no S3. É necessário atualizar os exemplos de políticas com suas informações antes de aplicá-las ao bucket do S3 ou ao tópico do SNS.

P: Por quanto tempo posso armazenar os arquivos de log de atividades?

Você controla as políticas de retenção dos arquivos de log do CloudTrail. Por padrão, os arquivos de log são armazenados indefinidamente. Você pode usar as regras de gerenciamento de ciclo de vida de objetos do Amazon S3 para definir a sua própria política de retenção. Por exemplo, você pode excluir arquivos de log antigos ou arquivá-los no Amazon Glacier.

Carga útil, pontualidade e frequência de entrega do evento

P: Quais informações estão disponíveis em um evento?

Um evento contém informações sobre a atividade associada: quem fez a solicitação, quais serviços foram usados, quais ações foram executadas e quais os parâmetros da ação, bem como quais elementos da resposta foram retornados pelo Serviço da AWS. Para obter mais detalhes, consulte a seção Referência de evento do CloudTrail no manual do usuário.

P: Quanto tempo o CloudTrail demora para entregar um evento de uma chamada de API?

Normalmente, o CloudTrail entrega um evento em até 15 minutos após a chamada de API.

P: Com que frequência o CloudTrail entrega arquivos de log ao bucket do Amazon S3?

O CloudTrail entrega arquivos de log ao bucket do Amazon S3 em intervalos aproximados de cinco minutos. O CloudTrail não entrega arquivos de log se nenhuma chamada de API for feita em sua conta.

P: Posso ser notificado quando arquivos de log novos forem entregues ao bucket do Amazon S3?

Sim. Você pode ativar as notificações do Amazon SNS para executar ações imediatas na entrega de novos arquivos de log.

P: O que acontece se o CloudTrail for ativado para minha conta, mas o meu bucket do Amazon S3 não estiver configurado com a política correta?

Os arquivos de log do CloudTrail são entregues de acordo com as políticas implementadas do bucket do S3. Se as políticas do bucket estiverem mal configuradas, o CloudTrail não conseguirá entregar os arquivos de log.

Eventos de dados

P: O que são eventos de dados?

Os eventos de dados oferecem insights sobre as operações de recursos (“plano de dados”) executadas com o recurso ou dentro do próprio recurso. Muitas vezes, os eventos de dados são atividades de alto volume e incluem operações como APIs de objetos do Amazon S3 e de invocação de funções do Lambda. Por padrão, os eventos de dados são desabilitados quando você configura uma trilha. Para registrar eventos de dados do CloudTrail, você deve adicionar explicitamente os recursos ou os tipos de recursos para os quais quer registrar as atividades. Ao contrário dos eventos de gerenciamento, os eventos de dados incorrem em custos adicionais. Para obter mais informações, consulte os preços do CloudTrail.

P: Como posso consumir eventos de dados?

Os eventos de dados registrados pelo AWS CloudTrail são entregues ao Amazon S3 de modo similar aos eventos de gerenciamento. Depois de habilitados, esses eventos também são disponibilizados no Amazon CloudWatch Events.

P: O que são eventos de dados do Amazon S3? Como posso registrá-los?

Os eventos de dados do Amazon S3 representam as atividades de API nos objetos do Amazon S3. Para que o CloudTrail registre essas ações, você especifica um bucket do S3 na seção de eventos de dados durante a criação de uma nova trilha ou a modificação de uma trilha existente. Todas as ações de API nos objetos em um bucket específico do S3 são registradas pelo CloudTrail.

P: O que são os eventos de dados do AWS Lambda? Como posso registrá-los?

Os eventos de dados do AWS Lambda registram as atividades de execução de funções do Lambda. Com os eventos de dados do Lambda, você pode obter detalhes sobre as execuções de funções do Lambda, como o usuário do IAM ou o serviço que executou a chamada da API Invoke, quando a chamada foi feita e qual função foi executada. Todos os eventos de dados do Lambda são entregues a um bucket do Amazon S3 e ao Amazon CloudWatch Events. Você pode ativar o registro em log de eventos de dados do AWS Lambda usando a AWS CLI ou o console do AWS CloudTrail. Para selecionar quais funções do Lambda serão registradas, crie uma nova trilha ou edite uma trilha existente.

CloudTrail Insights

P: O que são eventos do CloudTrail Insights?

Eventos do AWS CloudTrail Insights ajudam os clientes a identificar atividades incomuns em suas contas da AWS, como picos no provisionamento de recursos, explosões de ações do AWS Identity and Access Management (IAM) ou lacunas nas atividades de manutenção periódica. O CloudTrail Insights usa modelos de machine learning (ML) que monitoram continuamente os eventos de gerenciamento de gravação do CloudTrail em busca de atividades anormais.

Quando atividades anormais são detectadas, os eventos do CloudTrail Insights são exibidos no console e entregues ao Amazon CloudWatch Events, a seu bucket do Amazon S3 e, opcionalmente, a um grupo do Amazon CloudWatch Logs. Isso facilita a criação de alertas e a integração aos sistemas de gerenciamento de eventos e fluxo de trabalho existentes.

P: Que tipo de atividade o AWS CloudTrail Insights ajuda a identificar?

O CloudTrail Insights detecta atividades incomuns analisando os eventos de gerenciamento de gravação do CloudTrail em uma conta da AWS e em uma região. Um evento incomum ou anormal é definido como o volume de chamadas de API da AWS que se desvia do esperado de um padrão operacional ou linha de base previamente estabelecidos. O CloudTrail Insights se adapta às mudanças nos seus padrões operacionais normais, levando em consideração as tendências baseadas no tempo nas chamadas de API e aplicando linhas de base adaptáveis à medida que as cargas de trabalho mudam.

O CloudTrail Insights pode ajudá-lo a detectar scripts ou aplicativos que se comportam mal. Não é incomum ouvir sobre um desenvolvedor alterando um script ou aplicativo que inicia um loop de repetição ou faz um grande número de chamadas para recursos não intencionais, como bancos de dados, repositórios de dados ou outras funções. Geralmente, esse comportamento não é percebido até o ciclo de cobrança no final do mês, quando os custos aumentam inesperadamente ou ocorre uma interrupção ou interrupção real. Os eventos do CloudTrail Insights podem alertar sobre essas alterações em sua conta da AWS, para que você possa tomar ações corretivas rapidamente.

P: Como o CloudTrail Insights funciona com outros produtos da AWS que usam detecção de anomalias?

O CloudTrail Insights pode ajudá-lo a identificar atividades operacionais incomuns em suas contas da AWS, que permitem solucionar problemas operacionais, minimizando o impacto operacional e comercial. O Amazon GuardDuty se concentra em melhorar a segurança de sua conta, fornecendo detecção de ameaças ao monitorar a atividade da conta. O Amazon Macie foi desenvolvido para melhorar a proteção de dados na sua conta, descobrindo, classificando e protegendo dados sigilosos. Esses serviços oferecem proteções complementares contra diferentes tipos de problemas que podem surgir em sua conta.

P: Para que o CloudTrail Insights funcione, é necessário ter o AWS CloudTrail configurado?

Sim. Os eventos do CloudTrail Insights são configurados em trilhas individuais e, portanto, você deve ter pelo menos uma trilha configurada. Quando você ativa eventos do CloudTrail Insights para uma trilha, o CloudTrail começa a monitorar eventos de gerenciamento de gravação capturados por essa trilha em busca de padrões incomuns. Se o CloudTrail Insights detectar atividades incomuns, um evento do CloudTrail Insights será registrado no destino de entrega especificado na definição da trilha.

P: Que tipos de eventos o CloudTrail Insights monitora?

O CloudTrail Insights rastreia atividades incomuns para APIs de gerenciamento de gravação.

P: Como posso começar?

Você pode habilitar eventos do CloudTrail Insights em trilhas individuais na sua conta usando o console, a CLI ou o SDK. Você também pode habilitar os eventos do CloudTrail Insights na sua organização usando uma trilha organizacional configurada na sua conta mestra do AWS Organizations. É possível ativar eventos do CloudTrail Insights escolhendo o botão de opção em sua definição de trilha.

CloudTrail Lake

P: Por que devo usar o AWS CloudTrail Lake?

O CloudTrail Lake permite examinar incidentes consultando todas as ações registradas pelo CloudTrail. Ele simplifica o registro de incidentes ajudando a remover dependências operacionais e fornece ferramentas que podem ajudar a reduzir sua dependência de pipelines de processos de dados complexos que abrangem as equipes. O CloudTrail Lake não exige que você mova e ingira logs do CloudTrail em outro lugar, o que ajuda a manter a fidelidade dos dados e elimina lidar com limites de baixa taxa que limitam seus logs. Ele também fornece latências quase em tempo real, pois é otimizado para processar logs estruturados de alto volume, disponibilizando-os para investigação de incidentes. Além disso, o CloudTrail Lake oferece uma experiência familiar de consulta de vários atributos com SQL e é capaz de agendar e lidar com várias consultas simultâneas.

P: Como esse serviço se relaciona/funciona com outros serviços da AWS?

O AWS CloudTrail é a fonte canônica de logs para atividade do usuário e uso de API nos serviços da AWS. Você pode aproveitar o CloudTrail Lake para examinar a atividade em todos os serviços da AWS assim que os logs estiverem disponíveis no CloudTrail. Você pode consultar e analisar a atividade do usuário e os recursos afetados e usar esses dados para resolver problemas como identificar agentes mal-intencionados e permissões de linha de base.

P: Quais eventos do CloudTrail posso consultar após habilitar o recurso CloudTrail Lake?

Você pode habilitar o CloudTrail Lake para qualquer uma das categorias de eventos coletadas pelo CloudTrail, dependendo de suas necessidades internas de solução de problemas. As categorias de eventos incluem eventos de gerenciamento que capturam atividades do ambiente de gerenciamento, como CreateBucket e TerminateInstances, e eventos de dados que capturam atividades do plano de dados, como GetObject e PutObject. Você não precisa de uma assinatura de avaliação separada para nenhum desses eventos. Você pode escolher a duração da retenção do evento por até 7 anos e consultar esses dados a qualquer momento.

P: Depois de habilitar o recurso CloudTrail Lake, quanto tempo preciso esperar para começar a escrever consultas?

Você pode começar a consultar as atividades que ocorrem após ativar o recurso quase imediatamente.

P: Quais são alguns dos casos de uso operacional e de segurança comuns que posso resolver usando o CloudTrail Lake?

Os casos de uso comuns incluem a investigação de incidentes de segurança, como acesso não autorizado ou credenciais de usuário comprometidas, e o aprimoramento de seu procedimento de segurança por meio da realização de auditorias às permissões de usuário de linha de base regularmente. Você pode realizar auditorias ad-hoc para garantir que o conjunto certo de usuários esteja fazendo alterações em seus recursos, como grupos de segurança, e rastrear quaisquer alterações que não estejam de acordo com as práticas recomendadas da sua organização. Além disso, você pode acompanhar as ações realizadas em seus recursos e avaliar modificações ou exclusões, além de obter informações mais detalhadas sobre suas faturas de serviços da AWS, incluindo os usuários do IAM que assinam serviços.

P: Como posso começar?

Todos os clientes atuais e novos do AWS CloudTrail podem começar imediatamente a usar o recurso CloudTrail Lake para executar consultas habilitando o recurso por meio da API ou do console do CloudTrail. Selecione a guia Lake no painel esquerdo do console do CloudTrail e clique no botão “Create event data store” (Criar armazenamento de dados do evento para escolher a duração da retenção do evento (até 7 anos) e fazer seleções de eventos de todas as categorias de eventos registradas pelo CloudTrail (Eventos de gerenciamento e dados ) para começar.

Além disso, você pode usar consultas de exemplo para começar a escrever consultas para cenários comuns, como identificar registros de falhas de autorização para AssumeRole ou criar suas próprias consultas para iniciar sua pesquisa.

Agregação de arquivos de log

P: Tenho várias contas da AWS. Eu gostaria que os arquivos de log para todas as contas fossem entregues em um único bucket do S3. Posso fazer isso?

Sim. Você pode configurar um bucket do Amazon S3 como o destino de várias contas. Para obter instruções detalhadas, consulte a seção sobre agregar arquivos de log a um único bucket do Amazon S3 no Guia do usuário do AWS CloudTrail.

Integração com o CloudWatch Logs

P: O que é a integração do CloudTrail com o CloudWatch Logs?

A integração do CloudTrail com o CloudWatch Logs entrega eventos de gerenciamento e de dados capturados pelo CloudTrail a um fluxo de logs do CloudWatch Logs no grupo de logs especificado.

P: Quais são os benefícios da integração do CloudTrail ao CloudWatch Logs?

Essa integração permite receber notificações Amazon SNS da atividade da conta capturada pelo CloudTrail. Por exemplo, você pode criar alarmes do CloudWatch para monitorar chamadas de API que criam, modificam e excluem grupos de segurança e Access Control Lists (ACLs – Listas de controle de acesso) da rede.

P: Como faço para ativar a integração do CloudTrail com o CloudWatch Logs?

Você pode ativar a integração do CloudTrail com o CloudWatch Logs no console do CloudTrail especificando um grupo de logs do CloudWatch Logs e uma função do IAM. Também é possível usar AWS SDKs ou a AWS CLI para ativar essa integração.

P: O que acontece quando eu ativo a integração do CloudTrail com o CloudWatch Logs?

Com a integração ativada, o CloudTrail disponibiliza continuamente a atividade da conta a um stream de logs no grupo do CloudWatch Logs especificado. O CloudTrail também continua a entregar logs a seu bucket do Amazon S3, como já ocorria anteriormente.

P: Quais são as regiões da AWS são compatíveis com a integração do CloudTrail ao CloudWatch Logs?

Essa integração tem suporte nas regiões em que o CloudWatch Logs está disponível. Para obter mais informações, consulte as regiões e os endpoints na Referência geral da Amazon Web Services.

P: Como o CloudTrail entrega eventos que contêm a atividade da conta ao CloudWatch Logs?

O CloudTrail assume a função do IAM especificada para disponibilizar a atividade da conta ao CloudWatch Logs. Você limita a função do IAM para ter apenas as permissões necessárias para entregar eventos ao stream de logs do CloudWatch Logs. Para examinar a política de funções do IAM, consulte o manual do usuário na documentação do CloudTrail.

P: O que será cobrado quando eu ativar a integração do CloudTrail com o CloudWatch Logs?

Após ativar a integração do CloudTrail com o CloudWatch Logs, você passa a ser cobrado de acordo com os valores padrão do CloudWatch Logs e do CloudWatch. Para obter detalhes, acesse a página de preços do CloudWatch.

Criptografia de arquivos de log do CloudTrail usando o AWS Key Management Service (KMS)

P: Quais são os benefícios da criptografia de arquivos de log do CloudTrail usando criptografia no lado do servidor com o KMS?

A criptografia de arquivos de log do CloudTrail usando SSE-KMS permite que você adicione uma camada extra de segurança aos arquivos de log do CloudTrail distribuídos para um bucket do Amazon S3 ao fazer a criptografia de arquivos de log com uma chave do KMS. Como padrão, o CloudTrail criptografará todos os arquivos de log entregues ao bucket do Amazon S3 usando a criptografia do lado do servidor do Amazon S3.

P: Tenho uma aplicação que ingere e processa arquivos de log do CloudTrail. Preciso fazer alguma alteração no meu aplicativo?

Com o SSE-KMS, o Amazon S3 descriptografa automaticamente os arquivos de log para que você não tenha que fazer alterações nos aplicativos. Como sempre, é necessário verificar se a aplicação tem as permissões adequadas, como as permissões Amazon S3 GetObject e KMS Decrypt.

P: Como posso configurar a criptografia de arquivos de log do CloudTrail?

Você pode usar o Console de Gerenciamento da AWS, a ILC da AWS ou os SDKs da AWS para configurar a criptografia de arquivos de log. Para obter instruções detalhadas, consulte a documentação.

P: Que cobranças serão feitas após a configuração da criptografia usando o SSE-KMS?

Após a configuração da criptografia usando o SSE-KMS, serão cobradas as taxas padrão do AWS KMS. Para obter detalhes, acesse a página de preços do AWS KMS.

Validação da integridade de arquivos de log do CloudTrail

P: O que é a validação da integridade de arquivos de log do CloudTrail?

O recurso de validação da integridade de arquivos de log do CloudTrail permite determinar se um arquivo de log do CloudTrail permaneceu sem alterações, foi excluído ou modificado desde que foi entregue pelo CloudTrail ao bucket especificado do Amazon S3.

P: Qual é o benefício da validação da integridade de arquivos de log do CloudTrail?

Você pode usar a validação da integridade de arquivos de log como um auxílio em seus processos de segurança e auditoria de TI.

P: Como posso habilitar a validação da integridade de arquivos de log do CloudTrail?

Você pode habilitar o recurso de validação da integridade de arquivos de log do CloudTrail no Console de Gerenciamento da AWS, na AWS CLI ou nos AWS SDKs.

P: O que acontece quando eu ativo o recurso de validação da integridade de arquivos de log?

Quando você ativa o recurso de validação da integridade de arquivos de log, o CloudTrail entrega arquivos de resumo a cada hora. Os arquivos de resumo contêm informações sobre os arquivos de log que foram entregues ao bucket do Amazon S3, os valores hash desses arquivos de log, assinaturas digitais do arquivo de resumo anterior e a assinatura digital do arquivo de resumo atual na seção de metadados do Amazon S3. Para obter mais informações sobre os arquivos de resumo, assinaturas digitais e valores hash, acesse a documentação do CloudTrail.

P: Onde os arquivos de resumo foram entregues?

Os arquivos de resumo foram entregues no mesmo bucket do Amazon S3 em que os arquivos de log foram entregues. No entanto, eles foram entregues a uma pasta diferente para que você possa aplicar políticas de controle de acesso granular. Para obter detalhes, consulte a seção de estrutura do arquivo de resumo na documentação do CloudTrail.

P: Como posso validar a integridade de um arquivo de log ou um arquivo de resumo entregue pelo CloudTrail?

Você pode usar a AWS CLI para validar a integridade do arquivo de log ou do arquivo de resumo. Também é possível criar suas próprias ferramentas para fazer a validação. Para obter mais detalhes sobre o uso da AWS CLI para a validação da integridade de um arquivo de log, consulte a documentação do CloudTrail.

P: Eu agrego todos os meus arquivos de log em todas as regiões e em várias contas em um único bucket do Amazon S3. Os arquivos de resumo serão entregues no mesmo bucket do Amazon S3?

Sim. O CloudTrail entregará os arquivos de resumo em todas as regiões e em várias contas no mesmo bucket do Amazon S3.

AWS CloudTrail Processing Library

P: O que é a AWS CloudTrail Processing Library?

O AWS CloudTrail Processing Library é uma biblioteca Java que facilita a criação de aplicativos de leitura e processamento de arquivos de log do CloudTrail. Você pode baixar a CloudTrail Processing Library no GitHub.

P: Qual é a funcionalidade oferecida pela CloudTrail Processing Library?

A CloudTrail Processing Library fornece funcionalidade para lidar com tarefas como pesquisar continuamente uma fila SQS, ler e analisar mensagens do Amazon Simple Queue Service (SQS), baixar arquivos de log armazenados no Amazon S3, analisar e serializar eventos de arquivos de log de maneira tolerante a falhas. Para obter mais informações, consulte a seção do guia do usuário na documentação do CloudTrail.

P: Qual software é necessário para começar a usar a CloudTrail Processing Library?

Você precisa do aws-java-sdk versão 1.9.3 e do Java 1.7 ou versões superiores.

Preço

P: Como sou cobrado pelo AWS CloudTrail?

O AWS CloudTrail permite que você visualize, pesquise e baixe os últimos 90 dias de eventos de gerenciamento de sua conta gratuitamente. Você pode entregar uma cópia de seus eventos de gerenciamento em andamento para o Amazon S3 gratuitamente criando uma trilha. Após a configuração de uma trilha do CloudTrail, as taxas do Amazon S3 são aplicadas conforme o uso.

Você pode entregar cópias adicionais de eventos, incluindo eventos de dados, usando trilhas. Você será cobrado por eventos de dados ou cópias adicionais de eventos de gerenciamento. Saiba mais em nossa página de preços.

P: Serei cobrado se tiver apenas uma trilha com eventos de gerenciamento e aplicá-la a todas as regiões?

Não. A primeira cópia dos eventos de gerenciamento é entregue gratuitamente em cada região.

P: Haverá cobrança, se eu habilitar eventos de dados em uma trilha atual com eventos de gerenciamento gratuitos?

Sim. Você será cobrado apenas pelos eventos de dados. A primeira cópia dos eventos de gestão é entregue gratuitamente.

Parceiros

P: Como as soluções de parceiros da AWS me ajudam a analisar os eventos registrados pelo CloudTrail?

Vários parceiros oferecem soluções integradas para analisar arquivos de log do CloudTrail. Essas soluções incluem recursos como rastreamento de alterações, solução de problemas e análises de segurança. Para obter mais informações, consulte a seção Parceiros do CloudTrail.

Outros

P: A ativação do CloudTrail afetará a performance dos recursos da AWS ou aumentará a latência das chamadas de API?

Não. A ativação do CloudTrail não afeta a performance dos seus recursos da AWS nem a latência das chamadas de API.

Saiba mais sobre os parceiros do AWS CloudTrail

Acesse a página de parceiros
Pronto para criar?
Comece a usar o AWS CloudTrail
Tem outras dúvidas?
Entre em contato conosco