Pular para o conteúdo principal

AWS CloudTrail

Atributos do AWS CloudTrail

Tópicos da página

Visão geral

Abrir tudo

O AWS CloudTrail permite auditoria, monitoramento de segurança e solução de problemas operacionais. O CloudTrail registra a atividade do usuário e as chamadas de API nos serviços da AWS como eventos. Os eventos do CloudTrail ajudam você a responder à pergunta “Quem fez o quê, onde e quando?”

O CloudTrail registra quatro categorias de eventos:

  • Eventos de gerenciamento que capturam ações do ambiente de gerenciamento em recursos, como criar ou excluir buckets do Amazon Simple Storage Service (S3).
  • Eventos de dados que capturam ações do plano de dados em um recurso, como ler ou gravar um objeto do Amazon S3.
  • Eventos de atividade de rede que capturam as ações executadas usando endpoints da VPC de uma VPC privada para o serviço da AWS, incluindo chamadas de API da AWS cujo acesso foi negado.
  • Eventos do Insights que ajudam os usuários da AWS a identificar e responder a atividades incomuns associadas a chamadas de API e taxas de erro de API analisando continuamente os eventos do CloudTrail. 

Histórico de eventos do AWS CloudTrail

Abrir tudo

O histórico de eventos fornece um registro visível, pesquisável, disponível para download e imutável dos últimos 90 dias de eventos de gerenciamento em uma Região da AWS. Não há cobranças do CloudTrail pela visualização do histórico de eventos.

O histórico de eventos do CloudTrail está habilitado em todas as contas da AWS e eventos de gerenciamento de registros em todos os serviços da AWS, sem a necessidade de qualquer configuração manual. Com o nível gratuito da AWS, você pode visualizar, pesquisar e baixar o histórico mais recente de 90 dias dos eventos de gerenciamento da sua conta sem pagar nada, usando o console do CloudTrail ou a API lookup-events do CloudTrail. Para saber mais, consulte Visualização de eventos com o histórico de eventos do CloudTrail.

Trilhas do AWS CloudTrail

Abrir tudo

As trilhas capturam um registro das atividades da conta da AWS, entregando e armazenando esses eventos no S3, com entrega opcional para o Amazon CloudWatch Logs e o Amazon EventBridge. Esses eventos podem ser inseridos nas soluções de monitoramento de segurança. Você pode usar suas próprias soluções ou soluções de terceiros, como o Amazon Athena, para pesquisar e analisar registros capturados pelo CloudTrail. Você pode criar trilhas para uma única conta da AWS ou para várias contas da AWS usando o AWS Organizations.

Você pode entregar seus eventos do CloudTrail para o S3 e, opcionalmente, para o CloudWatch Logs criando trilhas. Ao fazer isso, você tem os detalhes completos do evento e pode exportar e armazenar eventos como quiser. Para saber mais, consulte Criação de uma trilha para a conta da AWS.

Você pode validar a integridade dos arquivos de log do CloudTrail armazenados no bucket do S3 e detectar se os arquivos de log permaneceram sem alterações, foram modificados ou excluídos desde que o CloudTrail os entregou ao bucket do S3. Você pode usar a validação de integridade de arquivos de log nos processos de segurança e auditoria de TI. Como padrão, o CloudTrail criptografa todos os arquivos de log entregues para o bucket do S3 especificado usando a SSE (Server-side encryption – Criptografia do lado do servidor) do S3. Se necessário, você também pode adicionar uma camada de segurança aos seus arquivos de log do CloudTrail criptografando os arquivos de log com a chave do AWS Key Management Service (KMS). O S3 descriptografará automaticamente os arquivos de log se você tiver permissões de descriptografia. Para mais informações, consulte Criptografia de arquivos de log do CloudTrail com chaves gerenciadas pelo AWS KMS (SSE-KMS).

Você pode configurar o CloudTrail para capturar e armazenar eventos de várias Regiões da AWS em um único local. Essa configuração certifica que todas as configurações se aplicam de forma consistente às Regiões atuais e às recém-lançadas. Para saber mais, consulte Recebimento de arquivos de log do CloudTrail de várias Regiões.

Você pode configurar o CloudTrail para capturar e armazenar eventos de várias contas da AWS em um único local. Essa configuração verifica se todas as configurações se aplicam de forma consistente a todas as contas atuais e recém-criadas. Para saber mais, consulte Criação de uma trilha para uma organização.

Com a agregação de eventos de dados do CloudTrail, você pode monitorar com eficiência padrões de acesso a dados de alto volume sem processar grandes quantidades de eventos individuais. Esse atributo consolida automaticamente os eventos de dados em resumos de 5 minutos, mostrando as principais tendências, como frequência de acesso, taxas de erro e ações mais usadas. Por exemplo, em vez de processar milhares de eventos individuais de acesso ao bucket do S3 para entender os padrões de uso, você recebe resumos consolidados mostrando os principais usuários e ações. Isso simplifica a identificação de atividades incomuns e, ao mesmo tempo, mantém o acesso a logs detalhados quando necessário para investigação. Chega de criar e manter canais de agregação complexos ou sacrificar a visibilidade devido aos altos volumes de dados.

Você pode ativar a agregação em qualquer trilha do CloudTrail com os eventos de dados ativados.

Integração direta entre AWS CloudTrail e Amazon CloudWatch

Abrir tudo

Os eventos do CloudTrail agora podem ser entregues diretamente aos logs do CloudWatch por meio de regras de habilitação de telemetria, substituindo o processo tradicional de configuração por trilha. Essa entrega simplificada usa canais seguros vinculados a serviços (SLCs), garantindo uma transmissão confiável para grupos de logs imutáveis, ao mesmo tempo em que oferece suporte ao enriquecimento de eventos e às verificações de segurança. Por exemplo, as equipes de Segurança podem coletar automaticamente eventos do CloudTrail de todas as contas que contêm dados sensíveis. Em seguida, eles podem usar uma regra de centralização para copiar esses eventos em um grupo de logs central, mantendo a visibilidade da segurança em toda a empresa por meio de um conjunto de configurações.

Você também pode importar seus dados históricos do CloudTrail Lake para o CloudWatch Logs com algumas etapas simples. No CloudWatch Logs, basta especificar o armazenamento de dados de eventos do CloudTrail Lake e o intervalo de datas dos dados que você deseja importar. 

AWS CloudTrail Lake

Abrir tudo

O CloudTrail Lake é um data lake gerenciado para capturar, armazenar, acessar e analisar atividades de usuários e APIs na AWS para fins de auditoria e segurança. Você pode agregar, visualizar, consultar e armazenar de forma imutável os logs de atividades de fontes da AWS e de fora da AWS. Os auditores de TI podem usar o CloudTrail Lake como um registro imutável de todas as atividades para atender aos requisitos de auditoria. Os administradores de segurança podem verificar se a atividade do usuário está de acordo com as políticas internas. Os engenheiros de DevOps podem solucionar problemas operacionais, como uma instância do Amazon Elastic Compute Cloud (EC2) que não responde ou o acesso negado a um recurso. 

Como o CloudTrail Lake é um data lake gerenciado de auditoria e segurança, seus eventos são armazenados dentro do data lake. O CloudTrail Lake concede acesso somente leitura para evitar alterações nos arquivos de log. O acesso somente leitura significa que os eventos são imutáveis.

O CloudTrail Lake ajuda você a obter insights mais profundos sobre seus logs de atividades da AWS por meio de uma combinação de poderosas ferramentas de consulta e visualização. Você pode executar consultas baseadas em SQL diretamente nos logs de atividades armazenados no CloudTrail Lake e, para usuários menos familiarizados com o SQL, o atributo de geração de consultas em linguagem natural com inteligência artificial simplifica a análise sem a necessidade de escrever consultas complexas.

Para simplificar ainda mais a análise, o CloudTrail Lake inclui o resumo dos resultados da consulta com tecnologia de IA (em versão prévia), que fornece resumos em linguagem natural dos principais insights dos resultados da sua consulta. Esse atributo reduz o tempo e o esforço necessários para extrair informações significativas dos seus logs de atividades da AWS. 

Para analytics mais avançadas, você pode usar o Amazon Athena para consultar interativamente os logs auditáveis do CloudTrail Lake junto com dados de outras fontes sem a complexidade operacional de mover ou replicar dados. Isso permite que engenheiros de segurança correlacionem os logs de atividades no CloudTrail Lake com logs de aplicações e de tráfego no Amazon S3 para investigações de incidentes de segurança. Os engenheiros de conformidade e operações podem visualizar ainda mais os logs de atividades usando o Amazon QuickSight e o Amazon Managed Grafana para análises e relatórios abrangentes.

Com o AWS CloudTrail Lake, você pode consolidar eventos de atividades da AWS e de fontes externas à AWS — incluindo dados de outros provedores de nuvem, aplicativos internos e aplicativos SaaS executados na nuvem ou no local — sem precisar manter vários agregadores de logs e ferramentas de relatórios. Você também pode ingerir dados de outros serviços da AWS, como itens de configuração do AWS Config ou evidências de auditoria do AWS Audit Manager. Você pode usar as APIs do CloudTrail Lake para configurar as integrações de dados e enviar eventos para o CloudTrail Lake. Para se integrar com ferramentas de terceiros, você pode começar a receber eventos de atividade dessas aplicações em algumas etapas por meio de integrações de parceiros no console do CloudTrail.

O CloudTrail Lake ajuda você a capturar e armazenar eventos de várias regiões.

Ao usar o CloudTrail Lake, você também pode capturar e armazenar eventos para contas no AWS Organizations. Além disso, você pode designar até três contas de administrador delegadas para criar, atualizar, consultar ou excluir trilhas da organização ou armazenamentos de dados de eventos do CloudTrail Lake no nível da organização.

Com o CloudTrail Lake, você pode enriquecer seus eventos de gerenciamento e dados com tags de recursos e chaves de condição globais do IAM. O enriquecimento de eventos oferece controle adicional sobre as informações que você pode anexar aos seus registros de auditoria da AWS, facilitando e agilizando a obtenção de insights acionáveis dos logs do CloudTrail. Usando consultas e painéis do CloudTrail Lake, você pode categorizar, pesquisar e analisar os logs do CloudTrail com base no contexto comercial, incluindo alocação de custos, gerenciamento financeiro, operações e requisitos de segurança de dados. Por exemplo, digamos que você use tags de recursos para marcar seus buckets de produção do S3 contendo dados críticos. Agora, você pode visualizar facilmente todos os eventos do CloudTrail que correspondem a essas tags específicas, pois essas informações são incluídas no próprio evento. Não é mais necessário fazer referências cruzadas manuais em vários sistemas para encontrar essas informações.

Com o CloudTrail Lake, você tem a opção de expandir o tamanho dos seus eventos do CloudTrail para até 1 MB, proporcionando maior visibilidade dos metadados relacionados à sua ação de API. Os eventos regulares do CloudTrail são limitados a 256 KB, e o CloudTrail segue uma lógica de truncamento estabelecida aplicada em campos específicos no evento do CloudTrail para garantir que esse limite seja atingido. Com o tamanho expandido do evento, você pode capturar detalhes mais completos do evento com menos truncamento.

AWS CloudTrail Insights

Abrir tudo

O AWS CloudTrail Insights ajuda os usuários a identificar e responder a atividades incomuns de API analisando continuamente o gerenciamento e os eventos de dados do CloudTrail. Ao estabelecer uma linha de base de volumes normais de chamadas de API e taxas de erro, o CloudTrail Insights gera um evento de insight quando a atividade fica fora dos padrões típicos. Você pode ativar o CloudTrail Insights em suas trilhas para eventos de gerenciamento e dados, ou em armazenamentos de dados de eventos para eventos de gerenciamento, para detectar comportamentos anômalos e atividades incomuns.