AWS CloudTrail Lake ประกาศเปิดตัวการกรองเหตุการณ์ที่ได้รับการปรับปรุง
AWS ปรับปรุงการกรองเหตุการณ์ใน AWS CloudTrail Lake ซึ่งเป็น Data Lake ที่มีการจัดการและช่วยให้คุณบันทึก จัดเก็บโดยไม่เปลี่ยนรูปแบบ เข้าถึง รวมถึงวิเคราะห์ข้อมูลบันทึกกิจกรรมของคุณ ตลอดจนรายการการกำหนดค่า AWS Config การกรองเหตุการณ์ที่ได้รับการปรับปรุงจะขยายตามความสามารถการกรองที่มีอยู่ ซึ่งช่วยให้คุณควบคุมได้ดียิ่งขึ้นว่าเหตุการณ์ CloudTrail ใดบ้างที่จะนำเข้าไปยังคลังข้อมูลเหตุการณ์ของคุณ การปรับปรุงนี้จะช่วยเพิ่มประสิทธิภาพและความแม่นยำของการตรวจสอบด้านความปลอดภัย การปฏิบัติตามข้อกำหนด และการดำเนินงาน พร้อมทั้งช่วยลดค่าใช้จ่ายอีกด้วย
ตอนนี้คุณสามารถกรองได้ทั้งเหตุการณ์การจัดการและเหตุการณ์ข้อมูลโดยใช้แอตทริบิวต์ใหม่ ๆ ดังต่อไปนี้
- eventSource: บริการที่มีการส่งคำขอ
- eventType: ประเภทของเหตุการณ์ที่สร้างบันทึกเหตุการณ์ (เช่น AWSApiCall, AWSServiceEvent ฯลฯ)
- userIdentity.arn: เอนทิตี IAM ที่ทำการส่งคำขอ
- sessionCredentialFromConsole: เหตุการณ์นั้นเกิดขึ้นจากเซสชันคอนโซลการจัดการของ AWS หรือไม่ก็ตาม
สำหรับเหตุการณ์การจัดการ คุณสามารถกรองเพิ่มเติมตาม eventName ซึ่งระบุการดำเนินการ API ที่ส่งคำขอได้
สำหรับแอตทริบิวต์แต่ละรายการเหล่านี้ คุณสามารถระบุค่าที่ต้องการให้รวมหรือยกเว้นได้ ตัวอย่างเช่น ตอนนี้คุณสามารถกรองเหตุการณ์ CloudTrail ตามแอตทริบิวต์ userIdentity.arn เพื่อยกเว้นเหตุการณ์ที่สร้างจากบทบาทใน IAM หรือผู้ใช้จำเพาะ คุณสามารถยกเว้นบทบาทใน IAM เฉพาะซึ่งบริการนำมาใช้และดำเนินการเรียกใช้ API บ่อยครั้งเพื่อวัตถุประสงค์ในการตรวจติดตามได้ วิธีนี้ช่วยให้คุณลดปริมาณเหตุการณ์ CloudTrail ที่นำเข้าไปยัง CloudTrail Lake ได้อย่างมาก ซึ่งจะทำให้ลดค่าใช้จ่ายในขณะที่ยังคงสามารถมองเห็นกิจกรรมที่เกี่ยวข้องของผู้ใช้และระบบได้
การกรองเหตุการณ์ที่ได้รับการปรับปรุงพร้อมใช้งานใน AWS Region ทุกแห่งที่รองรับ AWS CloudTrail Lake โดยไม่มีค่าใช้จ่ายเพิ่มเติม หากต้องการเรียนรู้เพิ่มเติม โปรดไปที่เอกสารประกอบ AWS CloudTrail