Возможности AWS CloudTrail

История событий – это доступная для просмотра, поиска и загрузки неизменная запись событий управления в регионе AWS за последние 90 дней. CloudTrail не взимает плату за просмотр истории событий.

История событий CloudTrail доступна для всех аккаунтов AWS и событий управления записями в сервисах AWS без необходимости настройки вручную. Уровень бесплатного пользования AWS позволяет без дополнительной платы просматривать, искать и загружать актуальную 90-дневную историю событий управления вашим аккаунтом, используя консоль CloudTrail или API поиска событий CloudTrail. Дополнительные сведения см. в разделе Просмотр событий с помощью истории событий CloudTrail.

Отслеживание фиксирует действия в аккаунтах AWS, доставляет и сохраняет эти события в Amazon S3 с возможностью доставки в Журналы Amazon CloudWatch и Amazon EventBridge. Эти события можно использовать в ваших решениях по мониторингу безопасности. Для поиска и анализа журналов, собранных CloudTrail, можно использовать собственные сторонние решения или решения, подобные Amazon Athena. Отслеживания можно создавать для отдельного аккаунта AWS или для нескольких аккаунтов AWS с помощью Организаций AWS.

Вы можете передавать события CloudWatch в S3 и, если будет такая необходимость, в Журналы CloudWatch, создавая отслеживания. Таким образом вы получите полную информацию о событии, а также сможете экспортировать и хранить события так, как вам удобно. Подробнее см. в разделе Создание отслеживания для аккаунтов AWS.

Можно проверить целостность файлов журналов CloudTrail, хранящихся в бакете S3, и удостовериться в том, что никакие файлы журналов не были изменены или удалены после того, как сервис CloudTrail доставил их в бакет S3. Проверка целостности файлов журналов может использоваться в технологиях по обеспечению ИТ-безопасности и аудита. По умолчанию CloudTrail шифрует все файлы журналов, доставляемые в указанный вами бакет S3, с помощью шифрования S3 на стороне сервера (SSE). При необходимости можно защитить файлы журналов CloudTrail с помощью дополнительного уровня безопасности, шифруя файлы журналов с использованием ключа Сервиса управления ключами AWS (AWS KMS). Если у вас есть разрешения на дешифрование, S3 автоматически расшифровывает файлы журналов. Дополнительные сведения см. в разделе Шифрование файлов журналов CloudTrail с помощью ключей, управляемых AWS KMS (SSE-KMS).

CloudTrail можно настроить для сбора и хранения событий из нескольких регионов AWS в одном месте. Такая конфигурация обеспечивает единообразное применение настроек к существующим и вновь запускаемым регионам. Дополнительные сведения см. в разделе Получение файлов журналов CloudTrail из нескольких регионов.

CloudTrail можно настроить для сбора и хранения событий из нескольких аккаунтов AWS в одном месте. Такая конфигурация обеспечивает единообразное применение настроек к существующим и вновь создаваемым аккаунтам. Дополнительные сведения см. в разделе Создание отслеживания для организации.

Озеро CloudTrail – это управляемое озеро данных для сбора, хранения и анализа активности пользователей и API в AWS, а также доступа к ним в целях аудита и безопасности. Вы можете собирать, визуализировать, запрашивать и сохранять в неизменном формате журналы активности как с AWS, так и с других источников. Озеро CloudTrail дает ИТ-аудиторам возможность постоянно записывать всю активность в соответствии с требованиями аудита. Администраторы безопасности могут проверить, соответствует ли активность пользователей внутренним политикам. Инженеры DevOps могут устранять эксплуатационные проблемы, такие как перебои в работе инстанса Amazon Elastic Compute Cloud (EC2) или отказы в доступе к ресурсу. 

Поскольку Озеро CloudTrail – это управляемое озеро аудита и безопасности, ваши события хранятся в озере. Озеро CloudTrail предоставляет доступ только для чтения, чтобы предотвратить внесение изменений в файлы журналов. Доступ только для чтения означает, что события неизменны.

Озеро CloudTrail помогает глубже анализировать журналы активности AWS благодаря сочетанию мощных инструментов для запросов и визуализации. Запросы на основе SQL можно выполнять непосредственно в журналах активности, хранящихся в Озере CloudTrail. Для пользователей, которые не очень хорошо знают SQL, функция генерации запросов на естественном языке на основе искусственного интеллекта упрощает анализ и устраняет необходимость в написании сложных запросов.

Для дальнейшей оптимизации анализа в Озере CloudTrail реализована функция обобщения результатов запросов на основе искусственного интеллекта (в предварительной версии), которая предоставляет краткие отчеты на естественном языке с основными выводами по результатам ваших запросов. Эта функция позволяет сократить время и усилия, необходимые для извлечения значимой информации из журналов активности AWS. 

Для более углубленной аналитики можно использовать сервис Amazon Athena, чтобы интерактивно запрашивать проверяемые журналы Озера CloudTrail вместе с данными из других источников без операционных сложностей, связанных с перемещением или репликацией данных. Инженеры по безопасности могут использовать этот сервис для сопоставления журналов активности в Озере CloudTrail с журналами приложений и трафика в Amazon S3, чтобы расследовать инциденты безопасности. Инженеры по соблюдению нормативных требований и эксплуатации могут еще больше визуализировать журналы активности в Озере CloudTrail с помощью сервиса Amazon QuickSight и Управляемой Amazon Grafana для всестороннего анализа и отчетности.

С помощью Озера AWS CloudTrail можно консолидировать события активности из AWS и источников за пределами AWS, включая данные других поставщиков облачных услуг, собственных приложений и приложений SaaS, работающих в облаке или локальной среде, без необходимости поддерживать несколько агрегаторов журналов и инструментов отчетности. Можно также получать данные из других сервисов AWS, например элементы конфигурации из AWS Config или данные аудиторской проверки из Диспетчера аудита AWS. API-интерфейсы озера CloudTrail можно использовать для настройки интеграции данных и отправки событий в Озеро CloudTrail. Для интеграции со сторонними инструментами можно настроить получение события активности из этих приложений всего за несколько шагов с помощью интеграции партнеров в консоли CloudTrail.

Озеро CloudTrail также помогает фиксировать и хранить события из множества регионов.

Используя озеро CloudTrail, вы также можете собирать и сохранять события для аккаунтов своих Организаций AWS. Кроме того, можно назначить до трех аккаунтов делегированных администраторов для создания, обновления, запроса или удаления отслеживаний организации или хранилищ данных о событиях этого озера на уровне организации.