Recursos do AWS CloudTrail

O histórico de eventos fornece um registro visível, pesquisável, disponível para download e imutável dos últimos 90 dias de eventos de gerenciamento em uma Região AWS. Não há cobranças do CloudTrail pela visualização do histórico de eventos.

O histórico de eventos do CloudTrail está habilitado em todas as contas e eventos de gerenciamento de registros da AWS em todos os serviços da AWS, sem a necessidade de qualquer configuração manual. Com o nível gratuito da AWS, você pode visualizar, pesquisar e baixar o histórico mais recente de 90 dias dos eventos de gerenciamento da sua conta sem pagar nada, usando o console do CloudTrail ou a API lookup-events do CloudTrail. Para saber mais, consulte Visualização de eventos com o histórico de eventos do CloudTrail.

As trilhas capturam um registro das atividades da conta da AWS, entregando e armazenando esses eventos no S3, com entrega opcional para o Amazon CloudWatch Logs e o Amazon EventBridge. Esses eventos podem ser inseridos nas soluções de monitoramento de segurança. Você pode usar suas próprias soluções ou soluções de terceiros, como o Amazon Athena, para pesquisar e analisar registros capturados pelo CloudTrail. Você pode criar trilhas para uma única conta da AWS ou para várias contas da AWS usando o AWS Organizations.

Você pode entregar eventos contínuos de gerenciamento e dados ao S3 e, como opção, ao CloudWatch Logs criando trilhas. Ao fazer isso, você tem os detalhes completos do evento e pode exportar e armazenar eventos como quiser. Para saber mais, consulte Criação de uma trilha para a conta da AWS.

Você pode validar a integridade dos arquivos de log do CloudTrail armazenados no bucket do S3 e detectar se os arquivos de log permaneceram sem alterações, foram modificados ou excluídos desde que o CloudTrail os entregou ao bucket do S3. Você pode usar a validação de integridade de arquivos de log nos processos de segurança e auditoria de TI. Como padrão, o CloudTrail criptografa todos os arquivos de log entregues para o bucket do S3 especificado usando a SSE (Server-side encryption – Criptografia do lado do servidor) do S3. Se necessário, você também pode adicionar uma camada de segurança aos seus arquivos de log do CloudTrail criptografando os arquivos de log com a chave do AWS Key Management Service (KMS). O S3 descriptografará automaticamente os arquivos de log se você tiver permissões de descriptografia. Para mais informações, consulte Criptografia de arquivos de log do CloudTrail com chaves gerenciadas pelo AWS KMS (SSE-KMS).

Você pode configurar o CloudTrail para capturar e armazenar eventos de várias Regiões AWS em um único local. Essa configuração certifica que todas as configurações se aplicam de forma consistente às Regiões atuais e às recém-lançadas. Para saber mais, consulte Recebimento de arquivos de log do CloudTrail de várias Regiões.

Você pode configurar o CloudTrail para capturar e armazenar eventos de várias contas da AWS em um único local. Essa configuração verifica se todas as configurações se aplicam de forma consistente a todas as contas atuais e recém-criadas. Para saber mais, consulte Criação de uma trilha para uma organização.

O CloudTrail Lake é um data lake gerenciado para capturar, armazenar, acessar e analisar atividades de usuários e APIs na AWS para fins de auditoria e segurança. Você pode agregar, visualizar, consultar e armazenar de forma imutável os logs de atividades de fontes da AWS e de fora da AWS. Os auditores de TI podem usar o CloudTrail Lake como um registro imutável de todas as atividades para atender aos requisitos de auditoria. Os administradores de segurança podem verificar se a atividade do usuário está de acordo com as políticas internas. Os engenheiros de DevOps podem solucionar problemas operacionais, como uma instância do Amazon Elastic Compute Cloud (EC2) que não responde ou o acesso negado a um recurso. 

Como o CloudTrail Lake é um data lake gerenciado de auditoria e segurança, seus eventos são armazenados dentro do data lake. O CloudTrail Lake concede acesso somente leitura para evitar alterações nos arquivos de log. O acesso somente leitura significa que os eventos são imutáveis.

Com o CloudTrail Lake, você pode executar consultas baseadas em SQL em logs de atividades para auditoria dentro do lake ou executar consultas SQL em eventos do CloudTrail para se aprofundar nos dados dos painéis do CloudTrail Lake. Além disso, você pode usar o Amazon Athena para consultar interativamente seus logs auditáveis do CloudTrail Lake junto com dados de outras fontes sem a complexidade operacional de mover ou replicar dados. Por exemplo, engenheiros de segurança podem usar o Athena para correlacionar logs de atividades no CloudTrail Lake com registros de aplicações e de tráfego no Amazon S3 para investigações de incidentes de segurança. Engenheiros de conformidade e operação já podem visualizar logs de atividades no CloudTrail Lake com o Amazon QuickSight e o Amazon Managed Grafana para gerar relatórios de conformidade, custo e uso.

Com o AWS CloudTrail Lake, você pode consolidar eventos de atividades da AWS e de fontes externas à AWS — incluindo dados de outros provedores de nuvem, aplicativos internos e aplicativos SaaS executados na nuvem ou no local — sem precisar manter vários agregadores de logs e ferramentas de relatórios. Você também pode ingerir dados de outros serviços da AWS, como itens de configuração do AWS Config ou evidências de auditoria do AWS Audit Manager. Você pode usar as APIs do CloudTrail Lake para configurar as integrações de dados e enviar eventos para o CloudTrail Lake. Para se integrar com ferramentas de terceiros, você pode começar a receber eventos de atividade dessas aplicações em algumas etapas por meio de integrações de parceiros no console do CloudTrail.

O CloudTrail Lake ajuda você a capturar e armazenar eventos de várias regiões.

Ao usar o CloudTrail Lake, você também pode capturar e armazenar eventos para contas no AWS Organizations. Além disso, você pode designar até três contas de administrador delegadas para criar, atualizar, consultar ou excluir trilhas da organização ou armazenamentos de dados de eventos do CloudTrail Lake no nível da organização.

Os eventos do AWS CloudTrail Insights ajudam os usuários da AWS a identificar e responder a atividades incomuns associadas a chamadas de API e taxas de erro de API analisando continuamente os eventos de gerenciamento do CloudTrail. O CloudTrail Insights analisa seus padrões normais de volume de chamadas e taxas de erro de API, também chamados de linha de base e gera eventos do Insights quando o volume de chamadas ou as taxas de erro estão fora dos padrões normais. Você pode ativar o CloudTrail Insights nas suas trilhas ou armazenamentos de dados de eventos para detectar comportamentos anômalos e atividades incomuns.