- Produtos›
- Ferramentas de gerenciamento›
- AWS CloudTrail›
- Recursos do AWS CloudTrail
Recursos do AWS CloudTrail
Visão geral
Visão geral
O AWS CloudTrail permite auditoria, monitoramento de segurança e solução de problemas operacionais. O CloudTrail registra a atividade do usuário e as chamadas de API nos serviços da AWS como eventos. Os eventos do CloudTrail ajudam você a responder à pergunta “Quem fez o quê, onde e quando?”
O CloudTrail registra três tipos de eventos:
- Eventos de gerenciamento que capturam ações do ambiente de gerenciamento em recursos, como criar ou excluir buckets do Amazon Simple Storage Service (S3).
- Eventos de dados que capturam ações do plano de dados em um recurso, como ler ou escrever um objeto do Amazon S3.
- Eventos do Insights que ajudam os usuários da AWS a identificar e responder a atividades incomuns associadas a chamadas de API e taxas de erro de API analisando continuamente os eventos de gerenciamento do CloudTrail.
Histórico de eventos do AWS CloudTrail
Visão geral
O histórico de eventos fornece um registro visível, pesquisável, disponível para download e imutável dos últimos 90 dias de eventos de gerenciamento em uma Região AWS. Não há cobranças do CloudTrail pela visualização do histórico de eventos.
Sempre ligado
O histórico de eventos do CloudTrail está habilitado em todas as contas e eventos de gerenciamento de registros da AWS em todos os serviços da AWS, sem a necessidade de qualquer configuração manual. Com o nível gratuito da AWS, você pode visualizar, pesquisar e baixar o histórico mais recente de 90 dias dos eventos de gerenciamento da sua conta sem pagar nada, usando o console do CloudTrail ou a API lookup-events do CloudTrail. Para saber mais, consulte Visualização de eventos com o histórico de eventos do CloudTrail.
Trilhas do AWS CloudTrail
Visão geral
As trilhas capturam um registro das atividades da conta da AWS, entregando e armazenando esses eventos no S3, com entrega opcional para o Amazon CloudWatch Logs e o Amazon EventBridge. Esses eventos podem ser inseridos nas soluções de monitoramento de segurança. Você pode usar suas próprias soluções ou soluções de terceiros, como o Amazon Athena, para pesquisar e analisar registros capturados pelo CloudTrail. Você pode criar trilhas para uma única conta da AWS ou para várias contas da AWS usando o AWS Organizations.
Armazenamento e monitoramento
Você pode entregar eventos contínuos de gerenciamento e dados ao S3 e, como opção, ao CloudWatch Logs criando trilhas. Ao fazer isso, você tem os detalhes completos do evento e pode exportar e armazenar eventos como quiser. Para saber mais, consulte Criação de uma trilha para a conta da AWS.
Logs de atividades criptografadas
Você pode validar a integridade dos arquivos de log do CloudTrail armazenados no bucket do S3 e detectar se os arquivos de log permaneceram sem alterações, foram modificados ou excluídos desde que o CloudTrail os entregou ao bucket do S3. Você pode usar a validação de integridade de arquivos de log nos processos de segurança e auditoria de TI. Como padrão, o CloudTrail criptografa todos os arquivos de log entregues para o bucket do S3 especificado usando a SSE (Server-side encryption – Criptografia do lado do servidor) do S3. Se necessário, você também pode adicionar uma camada de segurança aos seus arquivos de log do CloudTrail criptografando os arquivos de log com a chave do AWS Key Management Service (KMS). O S3 descriptografará automaticamente os arquivos de log se você tiver permissões de descriptografia. Para mais informações, consulte Criptografia de arquivos de log do CloudTrail com chaves gerenciadas pelo AWS KMS (SSE-KMS).
Multirregião
Você pode configurar o CloudTrail para capturar e armazenar eventos de várias Regiões AWS em um único local. Essa configuração certifica que todas as configurações se aplicam de forma consistente às Regiões atuais e às recém-lançadas. Para saber mais, consulte Recebimento de arquivos de log do CloudTrail de várias Regiões.
Várias contas
Você pode configurar o CloudTrail para capturar e armazenar eventos de várias contas da AWS em um único local. Essa configuração verifica se todas as configurações se aplicam de forma consistente a todas as contas atuais e recém-criadas. Para saber mais, consulte Criação de uma trilha para uma organização.
AWS CloudTrail Lake
Visão geral
O CloudTrail Lake é um data lake gerenciado para capturar, armazenar, acessar e analisar atividades de usuários e APIs na AWS para fins de auditoria e segurança. Você pode agregar, visualizar, consultar e armazenar de forma imutável os logs de atividades de fontes da AWS e de fora da AWS. Os auditores de TI podem usar o CloudTrail Lake como um registro imutável de todas as atividades para atender aos requisitos de auditoria. Os administradores de segurança podem verificar se a atividade do usuário está de acordo com as políticas internas. Os engenheiros de DevOps podem solucionar problemas operacionais, como uma instância do Amazon Elastic Compute Cloud (EC2) que não responde ou o acesso negado a um recurso.
Armazenamento imutável
Como o CloudTrail Lake é um data lake gerenciado de auditoria e segurança, seus eventos são armazenados dentro do data lake. O CloudTrail Lake concede acesso somente leitura para evitar alterações nos arquivos de log. O acesso somente leitura significa que os eventos são imutáveis.
Consultas e análises
Com o CloudTrail Lake, você pode executar consultas baseadas em SQL em logs de atividades para auditoria dentro do lake ou executar consultas SQL em eventos do CloudTrail para se aprofundar nos dados dos painéis do CloudTrail Lake. Você também pode usar a geração de consultas de linguagem natural no CloudTrail Lake (em preview) para analisar de forma mais simples seus eventos de atividades da AWS no CloudTrail Lake sem precisar escrever consultas SQL complexas. Além disso, você pode usar o Amazon Athena para consultar interativamente seus logs auditáveis do CloudTrail Lake junto com dados de outras fontes sem a complexidade operacional de mover ou replicar dados. Por exemplo, engenheiros de segurança podem usar o Athena para correlacionar logs de atividades no CloudTrail Lake com registros de aplicações e de tráfego no Amazon S3 para investigações de incidentes de segurança. Engenheiros de conformidade e operação já podem visualizar logs de atividades no CloudTrail Lake com o Amazon QuickSight e o Amazon Managed Grafana para gerar relatórios de conformidade, custo e uso.
Multinuvem e várias origens
Com o AWS CloudTrail Lake, você pode consolidar eventos de atividades da AWS e de fontes externas à AWS — incluindo dados de outros provedores de nuvem, aplicativos internos e aplicativos SaaS executados na nuvem ou no local — sem precisar manter vários agregadores de logs e ferramentas de relatórios. Você também pode ingerir dados de outros serviços da AWS, como itens de configuração do AWS Config ou evidências de auditoria do AWS Audit Manager. Você pode usar as APIs do CloudTrail Lake para configurar as integrações de dados e enviar eventos para o CloudTrail Lake. Para se integrar com ferramentas de terceiros, você pode começar a receber eventos de atividade dessas aplicações em algumas etapas por meio de integrações de parceiros no console do CloudTrail.
Multirregião
O CloudTrail Lake ajuda você a capturar e armazenar eventos de várias regiões.
Várias contas
Ao usar o CloudTrail Lake, você também pode capturar e armazenar eventos para contas no AWS Organizations. Além disso, você pode designar até três contas de administrador delegadas para criar, atualizar, consultar ou excluir trilhas da organização ou armazenamentos de dados de eventos do CloudTrail Lake no nível da organização.
AWS CloudTrail Insights
AWS CloudTrail Insights
Os eventos do AWS CloudTrail Insights ajudam os usuários da AWS a identificar e responder a atividades incomuns associadas a chamadas de API e taxas de erro de API analisando continuamente os eventos de gerenciamento do CloudTrail. O CloudTrail Insights analisa seus padrões normais de volume de chamadas e taxas de erro de API, também chamados de linha de base e gera eventos do Insights quando o volume de chamadas ou as taxas de erro estão fora dos padrões normais. Você pode ativar o CloudTrail Insights nas suas trilhas ou armazenamentos de dados de eventos para detectar comportamentos anômalos e atividades incomuns.