AWS CloudTrail помогает упростить аудит соответствия требованиям путем автоматической записи и хранения журналов событий для всех действий, выполненных в аккаунте AWS. Интеграция с Amazon CloudWatch Logs обеспечивает удобный способ поиска данных в журналах, идентификации событий, не соответствующих требованиям, ускоренного расследования причин сбоев и быстрого предоставления данных по запросам аудиторов.

AWS CloudTrail улучшает контроль за действиями пользователей и работой ресурсов путем записи всех действий в Консоли управления AWS и вызовов API. Вы можете определить, какие пользователи и аккаунты выполняли вызовы API AWS, IP-адреса источников вызовов и время их совершения.

С помощью AWS CloudTrail можно находить и устранять проблемы в сфере безопасности и операционные неполадки, сохраняя запись полной истории изменений, произошедших в аккаунте AWS в течение заданного периода времени.

AWS CloudTrail позволяет отслеживать действия в аккаунте и автоматически реагировать на те из них, которые угрожают безопасности используемых ресурсов AWS. Используя интеграцию с Amazon CloudWatch Events, можно определить рабочие процессы, которые требуется запускать при обнаружении событий, способных привести к уязвимостям системы безопасности. Например, можно создать рабочий процесс, который будет добавлять определенную политику к корзине Amazon S3, когда CloudTrail обнаружит вызов API, открывающий публичный доступ к этой корзине.

AWS CloudTrail упрощает обеспечение соответствия требованиям внутренних политик и нормативных стандартов, предоставляя историю всех действий в аккаунте AWS. Чтобы узнать подробнее, загрузите техническое описание AWS по соответствию требованиям «Безопасность при любых масштабах: ведение журналов в AWS».

Выполнять анализ безопасности и определять схемы поведения пользователей можно посредством экспорта событий AWS CloudTrail в собственное решение для анализа журналов и управления ими.
 

Эксфильтрацию данных можно обнаружить путем сбора данных об активности объектов S3 через записанные CloudTrail события API на уровне объектов. После сбора данных об активности можно использовать для запуска процедур реагирования другие сервисы AWS, такие как CloudWatch Events и AWS Lambda.

Можно осуществлять поиск и устранение операционных неполадок путем использования истории вызовов API AWS, полученной сервисом AWS CloudTrail. Например, можно быстро определить, какие самые последние изменения ресурсов произошли в вашей среде, включая создание, изменение и удаление ресурсов AWS (например, инстансов Amazon EC2, групп безопасности Amazon VPC и томов Amazon EBS).