Озеро CloudTrail теперь поддерживает обогащение и расширенный размер событий
Сегодня AWS объявляет о двух усовершенствованиях Озера CloudTrail: обогащении событий, которое упрощает классификацию, поиск и анализ активности AWS, и об увеличенном размере событий, который улучшает визуализацию действий API для более полного анализа безопасности. Озеро CloudTrail – это управляемое озеро данных, позволяющее агрегировать, хранить в неизменном виде и анализировать журналы активности в любом масштабе.
Благодаря обогащению событий вы можете добавлять в события управления и события данных CloudTrail дополнительную информацию, относящуюся к вашему бизнес-контексту. К событиям можно добавлять теги ресурсов, и для них можно выбирать глобальные ключи условий AWS, что упрощает классификацию, поиск и анализ AWS-активности. Используя в событиях теги ресурсов, можно легко создавать отчеты об активности конкретных приложений или просматривать действия API-интерфейсов AWS на основе свойств доверителя IAM. Например, вы можете просмотреть все действия по удалению, предпринятые доверителями с определенным тегом. Обогащение событий интегрируется с аналитическими возможностями Озера CloudTrail, в том числе с запросами на естественном языке и резюмированием на основе искусственного интеллекта (предварительная версия).
Размер событий теперь можно увеличить до 1 МБ, что значительно больше предыдущего лимита в 256 КБ. Это позволяет CloudTrail реже урезать события и предоставлять больше информации о действиях API для более комплексного анализа безопасности.
Для начала включите обогащение событий и их увеличенный размер с помощью Консоли управления AWS или API-интерфейсов AWS в хранилищах данных событий Озера CloudTrail. Эти функции предлагаются в коммерческих регионах AWS, где доступно Озеро CloudTrail. Подробности см. в документации CloudTrail.