Вопросы и ответы об AWS CloudTrail

Вопрос. Что такое AWS CloudTrail?

CloudTrail обеспечивает аудит, мониторинг безопасности и устранение неполадок в процессе работы, отслеживая действия пользователей и использование API. CloudTrail регистрирует, постоянно отслеживает и хранит активность учетной записи в инфраструктуре AWS, имеющую отношение к действиям, позволяя контролировать хранение, анализ и исправления.

Вопрос. Каковы преимущества использования сервиса CloudTrail?

CloudTrail помогает вам обеспечить соответствие требованиям, укрепить безопасность и объединить записи о действиях, которые производятся в разных регионах и аккаунтах. Сервис CloudTrail позволяет осуществлять мониторинг действий пользователей в аккаунте. CloudTrail регистрирует важную информацию о каждом действии, включая имя пользователя, инициировавшего запрос, используемый сервис, выполненные действия и параметры этих действий, а также информацию о данных, возвращенных сервисом AWS. Эта информация позволяет отслеживать изменения ресурсов AWS и устранять операционные неполадки. CloudTrail упрощает обеспечение соответствия требованиям внутренних политик и нормативных стандартов. Дополнительную информацию см. в техническом описании AWS, касающемся соответствия требованиям, – «Безопасность при любых масштабах: ведение журналов в AWS».

Вопрос. Для кого предназначен сервис CloudTrail?

Пользуйтесь CloudTrail, если требуется проводить аудит активности, отслеживать события, связанные с безопасностью, или устранять текущие неисправности.

Вопрос. Если я являюсь новым пользователем AWS или мною не выполнялась настройка CloudTrail, нужно ли мне что-либо настраивать, чтобы просматривать историю аккаунта?

Нет. Для просмотра истории аккаунта ничего настраивать не требуется. Историю аккаунта за последние 90 дней можно посмотреть в консоли AWS CloudTrail или с помощью интерфейса командной строки AWS.

Вопрос. В журнале событий CloudTrail отображается вся история моего аккаунта?

AWS CloudTrail показывает только журнал событий CloudTrail за последние 90 дней для текущего региона и поддерживает некоторые сервисы AWS. Этот журнал событий включает только события управления, выполненные посредством вызовов API create, modify и delete, а также историю аккаунта. Для записи полной истории аккаунта, включая события управления, события, связанные с данными, и события чтения, необходимо настроить отслеживание в CloudTrail.

Вопрос. Какие поисковые фильтры доступны при просмотре истории аккаунта?

Можно задать интервал времени и следующие атрибуты: event name, user name, resource name, event source, event ID и resource type.

Вопрос. Можно ли использовать операторы поиска в интерфейсе командной строки, если отслеживание событий не настроено?

Да. Чтобы просмотреть историю аккаунта за последние 90 дней, перейдите в консоль CloudTrail или используйте API CloudTrail/интерфейс командной строки.

Вопрос. Какие дополнительные возможности станут доступны для создания отслеживания событий?

Настройте конфигурацию отслеживания событий в CloudTrail, чтобы сохранять события CloudTrail в Простом сервисе хранения данных Amazon (Amazon S3), журналах Amazon CloudWatch и событиях Amazon CloudWatch. Это помогает анализировать изменения доступных ресурсов AWS, реагировать на изменения и сохранять архив событий.

Вопрос. Можно ли ограничить доступ пользователей к просмотру журнала событий CloudTrail?

Да. CloudTrail интегрирован с AWS Identity and Access Management (IAM). Это позволяет управлять доступом к CloudTrail и другим ресурсам AWS, которые необходимы для работы CloudTrail, включая возможность ограничить просмотр истории аккаунта и поиск по ней. Удалите строку «cloudtrail:LookupEvents» из политики пользователя IAM, чтобы запретить ему просматривать журнал действий в аккаунте.

Вопрос. Взимается ли плата за включение журнала событий CloudTrail при создании аккаунта?

За использование журнала событий CloudTrail плата не начисляется.

Вопрос. Можно ли отключить в своем аккаунте журнал событий CloudTrail?

Можно останавливать ведение журналов и удалять любые отслеживания. Также будет остановлена передача действий в аккаунте в корзину Amazon S3, которую вы включили в конфигурацию отслеживания, а также передача в журналы CloudWatch, если она была настроена. История аккаунта за последние 90 дней будет собираться в любом случае; журнал будет доступен для просмотра в консоли CloudTrail или с помощью интерфейса командной строки AWS (AWS CLI).

Вопрос. Какие сервисы поддерживает CloudTrail?

CloudTrail регистрирует историю аккаунта и сервисные события большинства сервисов AWS. Перечень поддерживаемых сервисов см. в разделе Сервисы, поддерживаемые CloudTrail руководства пользователя CloudTrail.

Вопрос. Записываются ли вызовы API, выполненные из консоли управления AWS?

Да. CloudTrail записывает вызовы API, выполненные из любого клиента. Консоль управления AWS, пакеты AWS SDK, инструменты командной строки и сервисы AWS более высокого уровня выполняют вызовы API, поэтому они записываются.

Вопрос. Где сохраняются и обрабатываются файлы журналов перед их сохранением в корзине S3?

Информация о действиях для сервисов с региональными адресами (например, Эластичное вычислительное облако Amazon [Amazon EC2] или Служба реляционных баз данных Amazon [Amazon RDS]) собирается и обрабатывается в том же регионе, где совершается действие. Затем оно доставляется в регион, связанный с вашей корзиной S3. Информация об активности для сервисов с отдельными адресами, таких как IAM и Сервис токенов безопасности AWS (AWS STS), захватывается в регионе, где находится адрес, и обрабатывается в регионе, для которого настроено отслеживание CloudTrail, и сохраняется в том регионе, к которому привязана соответствующая корзина S3.

Вопрос. Что означает настройка отслеживания во всех регионах AWS?

Настройка отслеживания во всех регионах AWS означает создание конфигурации отслеживания, которая будет регистрировать историю аккаунта AWS во всех регионах, где хранятся ваши данные. Эта настройка также применяется к новым добавляемым регионам. Подробнее о регионах и разделах описано на странице об именах ресурсов Amazon и пространствах имен сервисов AWS.

Вопрос. Каковы преимущества применения отслеживания ко всем регионам?

Чтобы создать отслеживание по всем регионам раздела и управлять им, достаточно сделать всего один вызов API или несколько щелчков мышью. История аккаунта AWS для всех регионов будет сохраняться в одной корзине S3 или в группе журналов CloudWatch. При запуске нового региона AWS пользователь получает файлы журналов с записями действий для нового региона, не выполняя дополнительных настроек.

Вопрос. Как применить отслеживание ко всем регионам?

Чтобы применить отслеживание ко всем регионам, на странице настройки отслеживания в консоли CloudTrail выберите «да» для параметра применения ко всем регионам. При работе с SDK или командной строкой AWS задайте для параметра IsMultiRegionTrail значение true.

Вопрос. Что произойдет при применении отслеживания ко всем регионам?

При применении отслеживания ко всем регионам сервис CloudTrail создаст новое отслеживание для всех регионов путем репликации конфигурации отслеживания. CloudTrail будет записывать и обрабатывать файлы журналов в каждом из регионов и загружать эти файлы с историей аккаунта по всем регионам в одну корзину S3 и одну группу журналов CloudWatch. При дополнительном указании темы в Простом сервисе уведомлений Amazon (Amazon SNS) сервис CloudTrail будет осуществлять доставку оповещений SNS для всех файлов журналов, доставленных в отдельную тему SNS.

Вопрос. Можно ли применить существующее отслеживание ко всем регионам?

Да. Вы можете применить существующее отслеживание ко всем регионам. В этом случае CloudTrail создает для каждого региона новое отслеживание. Если до этого момента вы создавали варианты отслеживания в других регионах, их можно просматривать, редактировать и удалять в консоли CloudTrail.

Вопрос. Сколько времени занимает репликация настроек отслеживания CloudTrail во все регионы?

Репликация настроек отслеживания во все регионы обычно занимает не более 30 секунд.

Вопрос. Сколько вариантов отслеживания можно создать в одном регионе?

В регионе можно создать до пяти вариантов отслеживания. Отслеживание, примененное ко всем регионам, существует в каждом из регионов и считается одним отслеживанием в каждом из них.

Вопрос. Каковы преимущества создания множества вариантов отслеживания в регионе?

Использование множества вариантов отслеживания позволяет разным заинтересованным сторонам (например, администраторам систем безопасности, разработчикам ПО и ИТ-аудиторам) создавать и использовать собственные варианты отслеживания. Например, администратор систем безопасности может создать отслеживание, применить его ко всем регионам и настроить шифрование с помощью одного ключа в Сервисе управления ключами Amazon (Amazon KMS). Разработчик может создать отслеживание для устранения ошибок в работе и применить его в одном регионе.

Вопрос. Поддерживает ли сервис CloudTrail разрешения на уровне ресурсов?

Да. Используя разрешения на уровне ресурсов, вы можете создать подробные политики управления доступом для разрешения или запрещения определенным пользователям доступа к конкретному отслеживанию. Подробнее описано в документации по CloudTrail.

Вопрос. Как обеспечить безопасность файлов журналов CloudTrail?

По умолчанию файлы журнала CloudTrail зашифрованы с помощью шифрования на стороне сервера S3 (SSE) и хранятся в корзине S3. Вы можете управлять доступом к файлам журнала с помощью политик корзин IAM или S3. Вы можете создать дополнительный уровень безопасности, включив функцию удаления с использованием многофакторной аутентификации (MFA) в корзине S3. Дополнительную информацию о создании и обновлении отслеживания см. в документации по CloudTrail.

Вопрос. Где можно загрузить образец политики для корзины S3 или темы SNS?

Образец политики корзины S3 и политики темы SNS можно загрузить из корзины CloudTrail S3. Вам нужно добавить свою информацию в образцы политик, прежде чем применять их к корзине S3 или теме SNS.

Вопрос. В течение какого времени можно хранить файлы журналов с записью моих действий?

Вы управляете политиками хранения для файлов журнала CloudTrail. По умолчанию срок хранения файлов журнала не ограничен. Для определения собственной политики хранения можно воспользоваться правилами управления жизненным циклом объектов для S3. Например, старые файлы журнала можно удалять или архивировать в Простом сервисе хранения данных Amazon Glacier (Amazon S3 Glacier).

Вопрос. Какая именно информация о событии доступна?

Событие содержит информацию о соответствующем действии, то есть определяются имя пользователя, инициировавшего запрос, используемый сервис, выполненное действие и параметры этого действия, а также информация о данных, возвращенных сервисом AWS. Дополнительную информацию см. в справочной информации о событиях CloudTrail в руководстве пользователя.

Вопрос. Сколько времени занимает сохранение сервисом CloudTrail события, связанного с вызовом API?

Как правило, CloudTrail сохраняет информацию о событии в течение 5 минут после вызова API. Подробную информацию о работе CloudTrail см. здесь.  

Вопрос. С какой периодичностью CloudTrail доставляет файлы журнала в корзину Amazon S3?

CloudTrail доставляет файлы журнала в корзину S3 приблизительно каждые 5 минут. CloudTrail не доставляет файлы журнала, если в случае вашего аккаунта не выполнены вызовы API.

Вопрос. Можно ли настроить получение оповещений о доставке новых файлов журналов в корзину S3?

Да. Вы можете включить оповещения Amazon SNS, чтобы сразу реагировать на доставку новых файлов журнала.

Вопрос. Я считаю, что в одном из моих файлов журнала есть несколько повторяющихся событий. Как узнать, какие события уникальны?

Хотя это редкость, вы можете получать файлы журналов, содержащие одно или несколько повторяющихся событий. Такие события будут иметь один и тот же идентификатор eventID. Дополнительные сведения о поле eventID см. в этом разделе.

Вопрос. Что произойдет, если включить сервис CloudTrail для аккаунта, но не настроить корзину S3 в соответствии с корректной политикой?

Сохранение файлов журналов CloudTrail выполняется в соответствии с действующими политиками корзины S3. Если политики корзины настроены некорректно, CloudTrail не сможет сохранить файлы журнала.

Вопрос. Можно ли получать повторяющиеся события?

Сервис CloudTrail разработан для поддержки как минимум одной доставки событий по подписке в корзины S3 клиента. В некоторых ситуациях CloudTrail может доставить одно и то же событие несколько раз. В результате клиенты могут заметить повторяющиеся события.

Вопрос. Что такое события, связанные с данными?

События, связанные с данными, содержат сведения об операциях («плоскость данных»), выполненных с ресурсом или в рамках ресурса. Такие события часто бывают крупномасштабными и включают такие операции, как API уровня объектов S3 и API вызова функций AWS Lambda. При настройке отслеживания события, связанные с данными, по умолчанию отключены. Для регистрации событий CloudTrail, связанных с изменением данных, необходимо явным образом добавить поддерживаемые ресурсы или типы ресурсов, события в которых необходимо регистрировать. В отличие от событий управления, поддержка событий, связанных с данными, влечет за собой дополнительные расходы. Подробнее описано на странице цен на CloudTrail.

Вопрос. Как можно использовать события, связанные с данными?

События, связанные с данными, которые регистрируются в CloudTrail, сохраняются в S3 аналогично событиям управления. После включения регистрации эти события также будут доступны в событиях Amazon CloudWatch.

Вопрос. Что такое события, связанные с изменением данных в S3? Как обеспечить их запись?

События, связанные с изменением данных в S3, представляют собой операции API над объектами S3. Чтобы сервис CloudTrail регистрировал эти действия, при создании новой или изменении существующей конфигурации отслеживания событий необходимо задать корзину S3 в разделе событий, связанных с данными. Любые действия API над объектами в указанной корзине S3 будут регистрироваться сервисом CloudTrail.

Вопрос. Что такое события, связанные с данными в Lambda? Как обеспечить их запись?

События, связанные с данными в Lambda, регистрируют операции по выполнению функций Lambda. С помощью событий данных Lambda вы можете получить подробную информацию о времени выполнения функции Lambda. Примеры времени выполнения функции Lambda показывают, какой пользователь или сервис IAM выполнил вызов Invoke API, когда был выполнен вызов и какая функция была применена. Сведения о всех событиях, связанных с данными Lambda, доставляются в корзину S3 и события CloudWatch. Включить регистрацию событий, связанных с данными в Lambda, можно с помощью интерфейса командной строки или консоли CloudTrail, а при создании новой или изменении существующей конфигурации отслеживания событий можно указать, какие функции Lambda должны регистрироваться.

Вопрос. Можно ли добавить в свою организацию делегированного администратора?

Да. Теперь CloudTrail поддерживает добавление до трех делегированных администраторов на каждую организацию.

Вопрос. Кто является владельцем данных отслеживания организации или хранилища данных событий на уровне организации, созданной делегированным администратором?

Управляющий аккаунт останется владельцем любых данных отслеживания организации или хранилищ данных событий, созданных на уровне организации, независимо от того, создан ли он аккаунтом делегированного администратора или управляющим аккаунтом.

Вопрос. В каких регионах доступен делегированный администратор?

На данный момент поддержка делегированного администратора для CloudTrail есть во всех регионах, где доступен сервис AWS CloudTrail. Дополнительные сведения см. в таблице регионов AWS.

Вопрос. Что такое события CloudTrail Insights?

События CloudTrail Insights помогают определять необычные действия в ваших аккаунтах AWS, например пиковые нагрузки при выделении ресурсов, всплески действий в сервисе Управления идентификацией и доступом AWS (IAM) или пробелы в периодическом обслуживании. CloudTrail Insights использует модели машинного обучения (ML), которые постоянно отслеживают события управления записью CloudTrail на предмет нетипичной активности.

При обнаружении нетипичной активности события CloudTrail Insights отображаются в консоли и передаются в события CloudWatch, корзину S3 и дополнительно – в группу журналов CloudWatch. Это упрощает создание предупреждений и интеграцию с существующими системами управления событиями и рабочими процессами.

Вопрос. Какой тип действий помогает определить CloudTrail Insights?

CloudTrail Insights обнаруживает необычную активность, анализируя события управления записью CloudTrail в аккаунте AWS и регионе. Необычное или нетипичное событие определяется как том вызовов API AWS, который отличается от того, что ожидается от ранее установленного рабочего шаблона или базового уровня. CloudTrail Insights адаптируется к изменениям в ваших обычных рабочих шаблонах, принимая во внимание хронологические тренды в вызовах API и применяя адаптивные базовые показатели при изменении рабочих нагрузок.

CloudTrail Insights может помочь обнаружить неправильно работающие скрипты или приложения. Иногда разработчик меняет скрипт или приложение, которое запускает повторяющийся цикл или выполняет большое количество вызовов непреднамеренных ресурсов, таких как базы данных и хранилища данных, или другие функции. Зачастую такое поведение остается незамеченным до расчетного периода пользования в конца месяца, когда обнаруживается, что расходы неожиданно увеличились либо произошло отключение или сбой. События CloudTrail Insights могут сообщить вам об этих изменениях в вашем аккаунте AWS, чтобы вы могли быстро предпринять корректирующие меры.

Вопрос. Как CloudTrail Insights работает с другими сервисами AWS, которые используют обнаружение аномалий?

CloudTrail Insights определяет необычную рабочую активность в ваших аккаунтах AWS, что позволяет устранять операционные неполадки, сводя к минимуму их влияние на работу и коммерческие процессы. Amazon GuardDuty направлен на повышение безопасности вашего аккаунта, обеспечивая обнаружение угроз путем мониторинга его активности. Amazon Macie разработан для улучшения защиты данных в вашем аккаунте путем обнаружения, классификации и защиты конфиденциальных данных. Эти сервисы обеспечивают дополнительную защиту от различных типов проблем, которые могут возникнуть в вашем аккаунте.

Вопрос. Нужно ли настраивать CloudTrail для работы CloudTrail Insights?

Да. События CloudTrail Insights настраиваются в отдельных отслеживаниях, поэтому необходимо настроить хотя бы одно отслеживание. Когда вы включаете события CloudTrail Insights для отслеживания, CloudTrail начинает отслеживать события управления записью, фиксированные этим отслеживанием, на наличие необычных схем. Если CloudTrail Insights обнаруживает необычную активность, событие CloudTrail Insights регистрируется в пункте назначения доставки, указанном в определении отслеживания.

Вопрос. Какие события отслеживает CloudTrail Insights?

CloudTrail Insights отслеживает необычную активность для API управления записью.

Вопрос. Как начать работу с симулятором политик?

Вы можете включить события CloudTrail Insights в отдельных отслеживаниях в своем аккаунте, используя консоль, интерфейс командной строки (CLI) или SDK. Вы также можете включить события CloudTrail Insights в рамках своей организации, используя отслеживание для организации, настроенное в вашем аккаунте управления Организаций AWS. Вы можете включить события CloudTrail Insights, выбрав опцию в определении отслеживания.

Вопрос. В каких случаях рекомендуется использовать озеро CloudTrail?

Озеро CloudTrail помогает изучать инциденты путем запроса всех действий, зарегистрированных CloudTrail, элементов конфигурации, записанных AWS Config, доказательств от Диспетчера аудита или событий из источника, не относящегося к AWS. Благодаря этому можно устранить операционные зависимости, а следовательно проще вести журнал проблем. Кроме того, сервис предоставляет инструменты, которые помогают меньше полагаться на сложные конвейеры обработки данных для разных команд. Для озера CloudTrail не требуется перемещать или загружать журналы CloudTrail куда бы то ни было, а значит поддерживается точность данных и отсутствуют ограничения скорости, влияющие на журналы. Сервис также оптимизирован для обработки больших структурированных журналов, за счет чего обеспечивает более легкий доступ к изучению проблем и близкую к реальному времени задержку. И, наконец, озеро CloudTrail позволяет привычно выполнять запросы с несколькими атрибутами с SQL, а также планировать и обрабатывать несколько запросов одновременно.

Вопрос. Как этот сервис связан и взаимодействует с другими сервисами AWS?

CloudTrail – это стандартный источник журналов активности пользователей и использования API в сервисах AWS. Как только журналы становятся доступны в CloudTrail, с помощью озера CloudTrail можно проверять активность в сервисах AWS. Возможно отправлять запросы и анализировать активность пользователей и затронутые ресурсы, а также использовать эти данные для решения таких задач, как выявление злоумышленников и определение основных разрешений.

Вопрос. Как получать события из источников за пределами AWS, таких как пользовательские или сторонние приложения либо другие публичные облака?

Вы можете найти и добавить партнерские интеграции, чтобы начать получать события активности из этих приложений за несколько шагов с помощью консоли CloudTrail, без необходимости создавать и поддерживать пользовательские интеграции. Для источников, отличных от доступных партнерских интеграций, вы можете использовать новые API-интерфейсы CloudTrail Lake для настройки собственных интеграций и отправки событий в CloudTrail Lake. Чтобы начать работу, см. Working with CloudTrail Lake (Работа с озером CloudTrail) в руководстве пользователя CloudTrail.

Вопрос. Когда рекомендуется использовать расширенный запрос AWS Config вместо озера CloudTrail для запроса единиц конфигурации из AWS Config?

Расширенный запрос AWS Config рекомендуется для клиентов, которые хотят объединять и запрашивать текущее состояние единиц конфигурации (CI) AWS Config. Благодаря этому клиенты могут управлять запасами, обеспечивать безопасность и оперативную аналитику, оптимизировать затраты и получать данные о соответствии нормативным требованиям. Расширенный запрос AWS Config предоставляется бесплатно, если вы являетесь клиентом AWS Config. 

Озеро CloudTrail поддерживает выполнение запросов для единиц конфигурации AWS Config, включая конфигурацию ресурсов и историю соответствия. Анализ истории конфигурации и соответствия для ресурсов с соответствующими событиями CloudTrail помогает сделать вывод о том, кто, когда и что изменил на этих ресурсах. Такой подход помогает проводить анализ первопричин инцидентов, связанных с угрозой безопасности или несоответствием требованиям. Озеро CloudTrail рекомендуется, если вам необходимо объединять и запрашивать данные по событиям CloudTrail и историческим единицам конфигурации. 

Вопрос. Если я разрешу загрузку элементов конфигурации из AWS Config сегодня в озеро CloudTrail, будет ли оно загружать мои исторические элементы конфигурации (созданные до формирования озера AWS CloudTrail) или собирать только недавно записанные элементы конфигурации?

Озеро CloudTrail не будет загружать единицы конфигурации AWS Config, которые были созданы до того, как оно было настроено. Вновь записанные единицы конфигурации из AWS Config на уровне аккаунта или организации будут доставлены в указанное хранилище данных событий озера CloudTrail. Эти единицы конфигурации будут доступны в озере для запроса в течение указанного периода хранения и могут быть использованы для анализа исторических данных. 

Вопрос. Могу ли я всегда знать, какой пользователь внес определенное изменение в конфигурацию, запросив озеро CloudTrail?

Если несколько пользователей быстро пытаются изменить конфигурацию одного ресурса, может быть создана только одна единица конфигурации, которая будет соответствовать конфигурации конечного состояния ресурса. В этом и подобных сценариях может оказаться невозможным обеспечить 100 % соответствие того, какой пользователь внес какие изменения в конфигурацию, путем запроса CloudTrail и единиц конфигурации для определенного временного интервала и идентификатора ресурса.

Вопрос. Если я раньше уже использовал отслеживания, могу ли я перенести имеющиеся журналы CloudTrail в свое существующее или новое хранилище данных о событиях озера CloudTrail?

Да. Возможность импорта озера CloudTrail поддерживает копирование журналов CloudTrail из корзины S3, в которой хранятся журналы из разных аккаунтов (отслеживание организации) и регионов AWS. Кроме того, вы можете импортировать журналы из индивидуальных аккаунтов и отслеживаний одного региона. Возможность импорта также позволяет указать диапазон дат импорта, благодаря чему вы можете импортировать только те подмножества журналов, которые необходимы для долгосрочного хранения и анализа в озере CloudTrail. После объединения журналов вы сможете запускать к ним запросы, начиная с самых недавних событий, собранных после подключения озера CloudTrail, и заканчивая предыдущими событиями, перенесенными из ваших отслеживаний.

Вопрос. Влияет ли возможность импорта на оригинальное отслеживание в S3? 

Возможность импорта позволяет копировать сведения журналов из S3 в озеро CloudTrail и оставлять оригинальные копии в S3 в прежнем виде.

Вопрос. К каким событиям CloudTrail можно отправлять запросы после подключения возможности озера CloudTrail?

Озеро CloudTrail можно подключить для любой категории событий, собранных CloudTrail, в зависимости от индивидуальных потребностей. В перечень категорий событий входят события управления, которые фиксируют действия плоскости управления (например, CreateBucket и TerminateInstances), и события данных, фиксирующие действия плоскости данных (например, GetObject и putObject). Отдельная подписка на отслеживание этих событий не требуется. При использовании озера CloudTrail вам необходимо выбрать между сроком хранения на один год с возможностью продления или сроком на семь лет. Это повлияет на стоимость и продолжительность хранения событий. Запросить данные можно в любое время. На панелях управления озера CloudTrail мы поддерживаем запросы к событиям CloudTrail.

Вопрос. Через какое время после подключения озера CloudTrail можно начать писать запросы?

Запросы к действиям, произошедшим после включения озера CloudTrail, можно отправлять почти мгновенно.

Вопрос. Каковы стандартные примеры использования озера CloudTrail в системах безопасности и операционных процессах?

В число распространенных примеров использования входит изучение проблем безопасности, таких как несанкционированный доступ или скомпрометированные учетные данные пользователя, а также повышение уровня безопасности за счет регулярных проверок базовых пользовательских разрешений. Можно выполнять необходимые проверки, чтобы убедиться, что правки в таких ресурсах, как группы безопасности, вносят только уполномоченные пользователи, и отслеживать любые изменения, не соответствующие рекомендациям организации. Кроме того, можно отслеживать действия, произошедшие с ресурсами, и проводить оценку изменений или удалений, а также получать более подробную информацию о платежах за сервисы AWS, включая подписавшихся на сервисы пользователей IAM.

Вопрос. Как начать работать с Озером CloudTrail?

Если вы текущий или новый пользователь CloudTrail, то можете немедленно начать выполнять запросы с помощью озера CloudTrail, включив его через API или консоль CloudTrail. Выберите вкладку CloudTrail Lake (Озеро CloudTrail) на левой панели консоли CloudTrail и нажмите кнопку Create Event Data Store (Создать хранилище данных событий). При создании такого хранилища вы выбираете вариант ценообразования, который хотите использовать. Вариант ценообразования определяет стоимость загрузки событий, а также максимальный срок хранения и срок хранения по умолчанию для хранилища данных событий. Затем, чтобы начать работу, выберите события из всех категорий событий, регистрируемых CloudTrail (события управления и данные).

Кроме того, чтобы визуализировать основные события озера CloudTrail, можно начать использовать панели управления озера CloudTrail. Панели управления озера CloudTrail – это готовые панели управления, которые предоставляют предопределенную визуализацию и ценную информацию на основе данных аудита и безопасности прямо в консоли CloudTrail.

Вопрос. Если создать хранилище данных о событиях с оплатой хранения в течение семи лет. Смогу ли я перенести одно и то же хранилище данных о событиях на вариант с возможностью продления срока хранения на один год? Что происходит с моими существующими данными в хранилище данных о событиях, которые были загружены в соответствии с тарифами на хранение в течение семи лет?

Да. Вы можете изменить ценовой вариант с семилетнего срока хранения на один год с возможностью продления срока в рамках конфигурации хранилища данных событий. Существующие данные останутся доступными в хранилище данных событий в течение выбранного периода хранения. Плата за длительное хранение таких данных взиматься не будет. Однако все вновь введенные данные будут облагаться тарифами на продление срока хранения на один год как при приеме, так и при длительном хранении.

Вопрос. Если создать хранилище данных о событиях с возможностью продления срока хранения на один год. Смогу ли я перенести одно и то же хранилище данных о событиях на вариант с семилетним сроком хранения?

Нет. В настоящее время мы не предоставляем переход от цены хранения данных о событиях с возможностью продления срока хранения на один год к цене хранения на семь лет. Однако вы сможете отключить ведение журнала в текущем хранилище данных событий и создать новое с оплатой хранения вновь поступивших данных в течение семи лет. Вы по-прежнему сможете хранить и анализировать данные в обоих хранилищах, используя соответствующий вариант ценообразования и настроенный период хранения.

Вопрос. Почему срок хранения озера CloudTrail рассчитывается, исходя из времени события, а не загрузки в озеро?

CloudTrail – это озеро аудита, которое помогает клиентам удовлетворить свои потребности в сценариях использования, связанных с соблюдением нормативных требований и аудитом. Согласно требованиями программы соответствия заказчики должны хранить журналы аудита в течение определенного периода с момента их создания, независимо от того, когда они были загружены в озеро CloudTrail.

Вопрос. Если я перенесу историческое событие CloudTrail из S3 в озеро CloudTrail и срок сбережения в хранилище данных событий настроен на 1 год, всегда ли это событие будет храниться в озере CloudTrail в течение 1 года с момента получения?

Нет. Поскольку это историческое событие, которое посвящено прошлому, оно будет храниться в озере CloudTrail в течение 1 года, начиная с момента проведения мероприятия, то есть менее 1 года.

Вопрос. Какие события из озера CloudTrail можно визуализировать на панелях управления сегодня?

Сегодня панели управления Озера CloudTrail поддерживают управление CloudTrail и события данных.

Вопрос. Включены ли панели управления на уровне аккаунта или хранилища данных событий?

Сегодня панели управления доступны на уровне аккаунта и будут применяться ко всем хранилищам данных событий, активным в этом аккаунте, в которых включено управление CloudTrail или события данных.

Вопрос. Какая плата взимается при включении панелей управления Озера CloudTrail?

Панели управления Озера CloudTrail работают на основе запросов Озера CloudTrail. При включении панелей управления Озера CloudTrail будет взиматься плата за считанные данные. Подробнее см. на странице цен.

Вопрос. Можно ли создавать собственные панели управления уже сегодня?

Нет. Сегодня все панели управления Озера CloudTrail тщательно подобраны и предварительно определены. Их невозможно настроить.

Вопрос. Какие варианты использования поддерживают панели управления Озера CloudTrail?

Инженеры по аудиту и соблюдению нормативных требований могут использовать панели управления Озера CloudTrail, чтобы отслеживать выполнение требований по соблюдению нормативных требований, таких как переход на TLS 1.2 и более поздние версии. Панели управления Озера CloudTrail помогут инженерам по безопасности внимательно отслеживать конфиденциальные действия пользователей, такие как удаление отслеживаний или повторные ошибки отказа в доступе. Инженеры по облачным операциям могут отслеживать такие проблемы, как ошибки регулирования основных сервисов, с помощью специально подобранной панели управления.

Вопрос. У меня есть несколько аккаунтов AWS. Мне хотелось бы настроить доставку файлов журнала всех аккаунтов в одну корзину S3. Это возможно?

Да. Вы можете настроить одну корзину S3 для доставки файлов для множества аккаунтов. Подробные инструкции см. в разделе об агрегации файлов журнала в одну корзину S3 руководства пользователя CloudTrail.

Вопрос. В чем заключается интеграция CloudTrail с журналами CloudWatch?

Интеграция сервиса CloudTrail с журналами CloudWatch позволяет доставлять регистрируемые сервисом CloudTrail события, связанные с данными и управлением, в поток журналов CloudWatch указанной группы.

Вопрос. Каковы преимущества интеграции сервиса CloudTrail с журналами CloudWatch?

Эта интеграция позволяет получать оповещения SNS об истории аккаунта, зарегистрированной сервисом CloudTrail. Например, можно создать предупреждения CloudWatch для отслеживания вызовов API, посредством которых создаются, изменяются и удаляются группы безопасности и списки контроля доступа сети (ACL).

Вопрос. Как включить интеграцию сервиса CloudTrail с журналами CloudWatch?

Вы можете включить интеграцию CloudTrail с журналами CloudWatch из консоли CloudTrail, указав группу журналов CloudWatch и роль IAM. Кроме того, чтобы включить интеграцию, вы можете использовать пакеты SDK AWS и интерфейс командной строки AWS.

Вопрос. Что произойдет при включении интеграции сервиса CloudTrail с журналами CloudWatch?

После включения интеграции сервис CloudTrail будет постоянно доставлять историю аккаунта в поток журналов CloudWatch указанной группы. При этом, как и ранее, CloudTrail продолжит доставлять журналы в корзину S3.

Вопрос. В каких регионах AWS поддерживается интеграция сервиса CloudTrail с журналами CloudWatch?

Интеграция обеспечена в регионах, где поддерживаются журналы CloudWatch. См. регионы и адреса серверов в общих справочных материалах по AWS.

Вопрос. Каким образом CloudTrail сохраняет события, содержащие действия в аккаунте, в журналы CloudWatch Logs?

Сервис CloudTrail доставляет историю аккаунта в журналы CloudWatch от имени указанной вами роли IAM. Следует ограничить роль IAM, указав лишь разрешения, необходимые для доставки событий в поток журнала CloudWatch Logs. Обзор политики роли IAM см. в руководстве пользователя из документации по CloudTrail.

Вопрос. Какие расходы влечет за собой включение интеграции сервиса CloudTrail с журналами CloudWatch?

После включения интеграции CloudTrail с журналами CloudWatch Logs вы оплачиваете журналы CloudWatch и сервис CloudWatch по стандартным тарифам. Подробнее описано на странице цен на CloudWatch.

Вопрос. Каковы преимущества шифрования файлов журнала CloudTrail на стороне сервера с помощью AWS KMS?

Шифрование файлов журналов CloudTrail с помощью SSE-KMS (с использованием ключа KMS) обеспечивает дополнительный уровень безопасности лог-файлов CloudTrail, доставляемых в корзину S3. По умолчанию CloudTrail шифрует файлы журналов, доставляемые в корзину S3, посредством шифрования S3 на стороне сервера.

Вопрос. У меня есть приложение для импорта и обработки лог-файлов CloudTrail. Понадобится ли вносить в него изменения?

При использовании шифрования SSE-KMS сервис S3 автоматически дешифрует файлы журнала, поэтому вносить изменения в приложение не придется. Как и всегда, необходимо убедиться, что приложение обладает соответствующими разрешениями, т. е. разрешениями S3 GetObject и AWS KMS Decrypt.

Вопрос. Как настроить шифрование файлов журнала CloudTrail?

Чтобы настроить шифрование файлов журнала, воспользуйтесь консолью управления AWS, интерфейсом командной строки AWS или AWS SDK. Подробные инструкции см. в документации.

Вопрос. Какая плата взимается за использование шифрования на стороне сервера с помощью KMS?

За использование шифрования на стороне сервера с помощью KMS взимается плата по стандартным тарифам сервиса AWS KMS. Подробнее описано на странице цен на AWS KMS.

Вопрос. Что представляет собой проверка целостности файлов журнала CloudTrail?

Возможность проверки целостности файлов журнала CloudTrail позволяет определить, остались ли журналы CloudTrail, сохраненные в определенной корзине S3, без изменений или же были изменены или удалены.

Вопрос. Для чего нужна проверка целостности файлов журнала CloudTrail?

Возможность проверки целостности файлов журнала является вспомогательным средством в процессах ИТ-безопасности и аудита.

Вопрос. Как включить проверку целостности файлов журнала CloudTrail?

Чтобы включить проверку целостности файлов журнала CloudTrail, воспользуйтесь консолью, интерфейсом командной строки AWS или AWS SDK.

Вопрос. Что происходит при включении проверки целостности файлов журнала?

После включения функции проверки целостности файлов журнала CloudTrail начнет каждый час формировать файл дайджеста. Файлы дайджеста содержат информацию о файлах журнала, которые были доставлены в вашу корзину S3, и хэш-значения для этих файлов журнала. Они также содержат цифровые подписи для предыдущего файла дайджеста и цифровую подпись для текущего файла дайджеста в разделе метаданных S3. Подробнее о файлах дайджеста, цифровых подписях и хэш-значениях описано в документации по CloudTrail.

Вопрос. Куда доставляются файлы дайджеста?

Файлы дайджеста доставляются в ту же корзину S3, что и файлы журнала. Но при этом они доставляются в другую папку, что позволяет точно настраивать политики доступа. Подробнее описано в разделе о структуре файлов дайджеста документации по CloudTrail.

Вопрос. Как проверить целостность файла журнала или файла дайджеста, сохраненного CloudTrail?

Чтобы проверить целостность файла журнала или файла дайджеста, воспользуйтесь интерфейсом командной строки AWS. Вы также можете создать собственные инструменты проверки. Подробнее о проверке целостности файлов журнала или файлов дайджеста с помощью интерфейса командной строки AWS см. в документации по CloudTrail.

Вопрос. Я собираю все свои файлов журнала из всех регионов и аккаунтов в одной корзине S3. Будут ли файлы дайджеста доставляться в ту же корзину S3?

Да. CloudTrail доставляет файлы дайджеста из всех регионов и аккаунтов в одну и ту же корзину S3.

Вопрос. Что такое библиотека обработки CloudTrail?

Библиотека обработки CloudTrail – это библиотека Java, которая упрощает создание приложений для считывания и обработки файлов журнала CloudTrail. Библиотеку обработки CloudTrail можно загрузить на GitHub.

Вопрос. Какие функциональные возможности предоставляет библиотека обработки CloudTrail?

Библиотека обработки CloudTrail обеспечивает выполнение таких задач, как постоянный опрос очереди SQS, чтение и анализ сообщений Простого сервиса очередей Amazon (Amazon SQS), загрузка журналов, сохраненных в хранилище S3, отказоустойчивый анализ и последовательная обработка событий в файле журнала. Дополнительную информацию см. в соответствующем руководстве пользователя, приведенном в документации по CloudTrail.

Вопрос. Какое программное обеспечение потребуется для работы с библиотекой обработки CloudTrail?

Вам потребуется пакет aws-java-sdk версии 1.9.3 и Java 1.7 или более поздних версий.

Вопрос. Как начисляется плата за использование отслеживаний AWS CloudTrail?

CloudTrail дает возможность просматривать, находить и загружать историю событий за последние 90 дней бесплатно. Вы можете бесплатно доставить один экземпляр текущих событий управлений в S3, создавая отслеживание. После настройки отслеживания CloudTrail будет начисляться плата за хранилище S3 по факту использования.

Вы можете доставлять дополнительные копии событий, в том числе событий данных, с помощью отслеживаний. Плата начисляется за каждое событие, связанное с данными, или за дополнительные копии событий управления. Подробные сведения см. на странице цен.

Вопрос. Будет ли начисляться плата, если использовать одну конфигурацию отслеживания событий управления и применять ее ко всем регионам?

Нет. Первая копия событий, связанных с управлением, в каждом регионе предоставляется бесплатно.

Вопрос. Будет ли начисляться плата, если в существующей конфигурации, в которой бесплатно отслеживаются события управления, включить регистрацию событий, связанных с данными?

Да. Плата будет начисляться только за события, связанные с изменением данных. Первая копия событий, связанных с управлением, предоставляется бесплатно.

Вопрос. Как начисляется плата за использование озера AWS CloudTrail?

Пользуясь озером CloudTrail, вы платите и за прием, и за хранение данных, а счета выставляются в зависимости от количества принятых несжатых и хранимых сжатых данных. При создании такого хранилища вы выбираете вариант ценообразования, который хотите использовать. Вариант ценообразования определяет стоимость загрузки событий, а также максимальный срок хранения и срок хранения по умолчанию для хранилища данных событий. Стоимость запросов зависит от выбранных для анализа сжатых данных. Подробные сведения см. на странице цен.

Вопрос. Можно ли рассчитать примерное использование озера CloudTrail, если я знаю историю использования CloudTrail в отслеживаниях?

Да. Каждое событие CloudTrail в среднем занимает около 1500 байт. Применяя данное сопоставление, вы сможете оценить потребление озера CloudTrail на основе его использования в отслеживаниях в прошлом месяце по количеству событий.
 

Вопрос. Каким образом решения, предоставляемые партнерами AWS, помогают выполнять анализ событий, записанных сервисом CloudTrail?

Множество партнеров предлагают интегрированные решения для анализа файлов журнала CloudTrail. Эти решения включают такие возможности, как отслеживание изменений, устранение неполадок и анализ безопасности. Дополнительную информацию см. в разделе партнеров CloudTrail.

Вопрос. Как подключить интеграцию к озеру CloudTrail в качестве доступного источника?

Чтобы начать интеграцию, см. руководство по регистрации партнеров. Свяжитесь со своей командой разработчиков партнера или архитектором партнерских решений, чтобы обратиться к команде управления озером CloudTrail для получения дополнительной информации или ответов на дополнительные вопросы.

Вопрос. Отражается ли использование сервиса CloudTrail на производительности ресурсов AWS и может ли оно увеличить время задержки при выполнении вызовов API?

Нет. Включение CloudTrail не влияет на производительность ресурсов AWS или задержку при выполнении вызовов API.