คุณสมบัติของ AWS CloudTrail

ประวัติเหตุการณ์ให้บันทึกที่สามารถดู ค้นหา ดาวน์โหลดได้ ทั้งนี้จะไม่มีการเปลี่ยนแปลงเหตุการณ์ด้านการจัดการใน 90 วันที่ผ่านมาใน AWS Region การดูประวัติของเหตุการณ์ใน CloudTrail จะไม่มีค่าบริการใด ๆ ทั้งสิ้น

ประวัติเหตุการณ์ CloudTrail จะเปิดใช้งานในบัญชี AWS ทั้งหมด และบันทึกเหตุการณ์ด้านการจัดการทุกรายการในบริการของ AWS โดยไม่จําเป็นต้องตั้งค่าด้วยตนเอง ด้วย AWS Free Tier คุณสามารถดู ค้นหา และดาวน์โหลดประวัติของเหตุการณ์ด้านการจัดการของบัญชีของคุณในช่วง 90 วันหลังสุดได้โดยไม่มีค่าใช้จ่ายใดๆ โดยใช้คอนโซล CloudTrail หรือใช้ API ค้นหาเหตุการณ์ใน CloudTrail หากต้องการเรียนรู้เพิ่มเติม โปรดดูที่การดูเหตุการณ์ด้วยประวัติของ CloudTrail Event

Trails จะบันทึกกิจกรรมและการส่งมอบในบัญชี AWS รวมถึงจัดเก็บเหตุการณ์เหล่านี้ใน Amazon S3 พร้อมตัวเลือกการจัดส่งเพิ่มเติมไปยัง Amazon CloudWatch Logs และ Amazon EventBridge เหตุการณ์เหล่านี้สามารถป้อนลงในโซลูชันการติดตามความปลอดภัยของคุณได้ คุณสามารถใช้โซลูชันของบริษัทอื่นที่คุณเป็นเจ้าของ หรือโซลูชัน เช่น Amazon Athena สําหรับการค้นหาและวิเคราะห์บันทึกที่ CloudTrail บันทึกไว้ คุณสามารถสร้างเส้นทางสำหรับบัญชี AWS เดียว หรือบัญชี AWS แบบหลายบัญชีได้โดยใช้ AWS Organizations

คุณสามารถส่งเหตุการณ์ CloudTrail ของคุณไปยัง S3 และทางเลือกไปยังข้อมูลบันทึก CloudWatch โดยการสร้างเส้นทาง เมื่อทําเช่นนี้ คุณจะได้รับรายละเอียดเหตุการณ์ที่สมบูรณ์ และคุณสามารถส่งออกและจัดเก็บเหตุการณ์ได้ตามที่คุณต้องการ หากต้องการเรียนรู้เพิ่มเติม โปรดดูการสร้าง Trail สําหรับบัญชี AWS ของคุณ

คุณสามารถตรวจสอบความสมบูรณ์ของไฟล์ข้อมูลบันทึก CloudTrail ที่จัดเก็บไว้ในบัคเก็ต S3 และตรวจสอบว่าไฟล์บันทึกนั้นไม่มีการเปลี่ยนแปลง แก้ไข หรือลบ นับตั้งแต่ CloudTrail ส่งไฟล์ดังกล่าวไปยังบัคเก็ต S3 ของคุณ คุณสามารถใช้การตรวจสอบความสมบูรณ์ของไฟล์ข้อมูลบันทึกในกระบวนการรักษาความปลอดภัยและการตรวจสอบด้านไอทีของคุณได้ CloudTrail จะเข้ารหัสไฟล์ข้อมูลบันทึกทั้งหมดที่ส่งไปยังบัคเก็ต S3 ที่คุณระบุโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE) ของ S3 ตามค่าเริ่มต้น คุณสามารถเพิ่มชั้นความปลอดภัยให้กับไฟล์บันทึก CloudTrail โดยการเข้ารหัสไฟล์บันทึกด้วยคีย์ AWS Key Management Service (KMS) ของคุณได้ตามความจำเป็น หากคุณมีสิทธิ์ถอดรหัส S3 จะถอดรหัสไฟล์ข้อมูลบันทึกของคุณโดยอัตโนมัติ สําหรับข้อมูลเพิ่มเติม โปรดดูที่การเข้ารหัสไฟล์ข้อมูลบันทึก CloudTrail ด้วย AWS KMS–Managed Keys (SSE-KMS)

คุณสามารถกําหนดค่า CloudTrail เพื่อบันทึกและจัดเก็บเหตุการณ์จาก AWS Regions ในหลาย ๆ แห่งได้ในที่เดียว การกําหนดค่านี้รับรองว่าการตั้งค่าทั้งหมดจะมีการปรับใช้อย่างสม่ำเสมอใน Region เดิมที่มีและที่เพิ่งเปิดตัวใหม่ หากต้องการเรียนรู้เพิ่มเติม โปรดดูที่การรับไฟล์ข้อมูลบันทึก CloudTrail จากรีเจี้ยนต่าง ๆ

คุณสามารถกําหนดค่า CloudTrail เพื่อบันทึกและจัดเก็บเหตุการณ์จากบัญชี AWS หลายบัญชีได้ในที่เดียว การกําหนดค่านี้จะตรวจสอบว่าการตั้งค่าทั้งหมดมีการปรับใช้อย่างสม่ำเสมอในบัญชีที่มีอยู่และบัญชีที่สร้างขึ้นใหม่ทั้งหมด หากต้องการเรียนรู้เพิ่มเติม โปรดดูการสร้าง Trail สําหรับองค์กร

CloudTrail Lake คือ Data Lake ที่มีการจัดการสําหรับการบันทึก จัดเก็บ เข้าถึง และวิเคราะห์กิจกรรมของผู้ใช้และ API บน AWS เพื่อวัตถุประสงค์ในการตรวจสอบและความปลอดภัย คุณสามารถรวบรวม แสดงภาพ สืบค้น และจัดเก็บข้อมูลบันทึกกิจกรรมของคุณจากทั้งแหล่งข้อมูล AWS และที่ไม่ใช่ AWS ได้โดยไม่ต้องทำการเปลี่ยนแปลงใด ๆ ผู้ตรวจสอบไอทีสามารถใช้ CloudTrail Lake เป็นบันทึกกิจกรรมทั้งหมดที่ไม่สามารถเปลี่ยนแปลงได้เพื่อให้เป็นไปตามข้อกำหนดในการตรวจสอบ ผู้ดูแลระบบด้านความปลอดภัยสามารถตรวจสอบว่ากิจกรรมของผู้ใช้เป็นไปตามนโยบายภายในหรือไม่ วิศวกร DevOps สามารถแก้ไขปัญหาด้านการดําเนินงาน เช่น อินสแตนซ์ Amazon Elastic Compute Cloud (EC2) ที่ไม่ตอบสนอง หรือทรัพยากรที่ถูกปฏิเสธการเข้าถึง 

เนื่องจาก CloudTrail Lake เป็น Lake การตรวจสอบและการรักษาความปลอดภัยที่ได้รับการจัดการ เหตุการณ์ของคุณจึงถูกจัดเก็บไว้ใน Lake ดังกล่าว CloudTrail Lake ให้สิทธิ์การเข้าถึงแบบอ่านอย่างเดียวเพื่อป้องกันการเปลี่ยนแปลงไฟล์บันทึก การเข้าถึงแบบอ่านอย่างเดียวหมายความว่าเหตุการณ์จะไม่สามารถเปลี่ยนแปลงได้

CloudTrail Lake ช่วยให้คุณได้รับข้อมูลเชิงลึกมากขึ้นเกี่ยวกับข้อมูลบันทึกกิจกรรมของ AWS ผ่านการผสมผสานระหว่างเครื่องมือสืบค้นและการแสดงภาพอันทรงพลัง คุณสามารถเรียกใช้การสืบค้นแบบ SQL ได้โดยตรงบนข้อมูลบันทึกกิจกรรมที่จัดเก็บไว้ใน CloudTrail Lake และสำหรับผู้ใช้ที่ไม่ค่อยคุ้นเคยกับ SQL ฟีเจอร์การสร้างการสืบค้นข้อมูลด้วยภาษาธรรมชาติที่ขับเคลื่อนโดย AI จะทำให้การวิเคราะห์ง่ายขึ้นโดยไม่จำเป็นต้องเขียนการสืบค้นที่ซับซ้อน

เพื่อปรับปรุงการวิเคราะห์ให้ดียิ่งขึ้น CloudTrail Lake จะรวมการสรุปผลลัพธ์การสืบค้นที่ขับเคลื่อนด้วย AI (ตัวอย่าง) ซึ่งให้ข้อมูลสรุปในภาษาที่เป็นธรรมชาติของข้อมูลเชิงลึกที่สำคัญจากผลลัพธ์การสืบค้นของคุณ ฟีเจอร์นี้จะช่วยลดเวลาและความพยายามในการดึงข้อมูลที่มีความหมายจากข้อมูลบันทึกกิจกรรม AWS ของคุณ 

สำหรับการวิเคราะห์ขั้นสูง คุณยังสามารถใช้ Amazon Athena สืบค้นข้อมูลบันทึกแบบตรวจสอบได้ของ CloudTrail Lake ของคุณในแบบอินเทอร์แอคทีฟ ควบคู่ไปกับข้อมูลจากแหล่งอื่น ๆ ได้โดยปราศจากความซับซ้อนในการดำเนินการย้ายหรือจำลองข้อมูล ซึ่งช่วยให้วิศวกรด้านความปลอดภัยสามารถเชื่อมโยงข้อมูลบันทึกกิจกรรมใน CloudTrail Lake กับแอปพลิเคชันและข้อมูลบันทึกการรับส่งข้อมูลใน Amazon S3 เพื่อการสืบหาเหตุการณ์ด้านความปลอดภัยได้ วิศวกรด้านการปฏิบัติตามกฎระเบียบและการปฏิบัติงานสามารถดูข้อมูลบันทึกกิจกรรมเพิ่มเติมได้โดยใช้ Amazon QuickSight และ Amazon Managed Grafana เพื่อการวิเคราะห์และการรายงานที่ครอบคลุม

AWS CloudTrail Lake ช่วยให้คุณสามารถรวมเหตุการณ์กิจกรรมจาก AWS และแหล่งที่มาภายนอก AWS ได้ รวมถึงข้อมูลจากผู้ให้บริการระบบคลาวด์รายอื่น แอปพลิเคชันภายในองค์กร และแอปพลิเคชัน SaaS ที่ทํางานในระบบคลาวด์หรือในองค์กรได้โดยไม่ต้องรักษาเครื่องมือรวบรวมข้อมูลบันทึกและเครื่องมือการรายงานหลายรายการ นอกจากนี้ คุณยังสามารถนำเข้าข้อมูลจากบริการอื่น ๆ ของ AWS ได้ เช่น รายการการกำหนดค่าจาก AWS Config หรือหลักฐานการตรวจสอบจาก AWS Audit Manager คุณสามารถใช้ API ของ CloudTrail Lake เพื่อตั้งค่าการผสานการทำงานข้อมูลและพุชเหตุการณ์ไปยัง CloudTrail Lake ได้ หากต้องการผสานการทำงานกับเครื่องมือของบริษัทภายนอก คุณสามารถเริ่มรับเหตุการณ์กิจกรรมจากแอปพลิเคชันเหล่านี้ได้ในไม่กี่ขั้นตอน ผ่านการผสานการทำงานกับพาร์ทเนอร์ในคอนโซล CloudTrail

CloudTrail Lake ช่วยให้คุณบันทึกและจัดเก็บกิจกรรมจากหลายรีเจี้ยน

เมื่อใช้ CloudTrail Lake คุณจะสามารถบันทึกและจัดเก็บเหตุการณ์สําหรับบัญชีทั่วทั้ง AWS Organizations ของคุณได้ นอกจากนี้ คุณสามารถกําหนดบัญชีผู้ดูแลระบบที่ได้รับมอบสิทธิ์ได้สูงสุดสามบัญชีเพื่อสร้าง อัปเดต สืบค้น หรือลบ Trail ขององค์กร หรือส่วนที่จัดเก็บข้อมูลเหตุการณ์ CloudTrail Lake ในระดับองค์กรได้