Fonctionnalités d'AWS CloudTrail

Présentation

AWS CloudTrail permet l'audit, la surveillance de la sécurité et le dépannage opérationnel. CloudTrail enregistre l'activité des utilisateurs et les appels d'API sur l'ensemble des services AWS sous forme d'événements. Les événements CloudTrail vous aident à répondre à la question « Qui a fait quoi, où et quand ? »

CloudTrail enregistre trois types d'événements :

  • Événements de gestion qui capturent les actions du plan de contrôle sur les ressources, telles que la création ou la suppression de compartiments Amazon Simple Storage Service (S3).
  • Événements de données qui capturent les actions du plan de données au sein d'une ressource, telles que la lecture ou l'écriture d'un objet Amazon S3.
  • Des événements Insights qui aident les utilisateurs d'AWS à identifier et à répondre aux activités inhabituelles associées aux appels d'API et aux taux d'erreur des API en analysant en permanence les événements de gestion CloudTrail. 

Historique des événements AWS CloudTrail

L'historique des événements fournit un enregistrement consultable, consultable, téléchargeable et immuable des événements de gestion des 90 derniers jours dans une région AWS. CloudTrail n'entraîne aucuns frais pour consulter l'historique des événements.

L'historique des événements CloudTrail est activé sur tous les comptes AWS et les événements de gestion des enregistrements sur l'ensemble des services AWS sans qu'aucune configuration manuelle ne soit nécessaire. Avec l'offre gratuite d'AWS, vous pouvez consulter, rechercher et télécharger gratuitement l'historique le plus récent des événements de gestion de votre compte sur 90 jours à l'aide de la console CloudTrail ou de l'API CloudTrail lookup-events. Pour en savoir plus, consultez la section Affichage des événements avec l'historique des événements CloudTrail.

Journaux d'activité AWS CloudTrail

Les suivis enregistrent les activités du compte AWS, diffusent et stockent ces événements dans Amazon S3, avec une transmission facultative vers Amazon CloudWatch Logs et Amazon EventBridge. Ces événements peuvent être intégrés à vos solutions de surveillance de la sécurité. Vous pouvez utiliser vos propres solutions tierces ou des solutions telles qu'Amazon Athena pour rechercher et analyser les journaux capturés par CloudTrail. Vous pouvez créer des traces pour un seul compte AWS ou pour plusieurs comptes AWS à l'aide d'AWS Organizations.

Vous pouvez transmettre vos événements de gestion et de données continus à S3 et éventuellement à CloudWatch Logs en créant des pistes. Ce faisant, vous obtenez les détails complets de l'événement et vous pouvez exporter et stocker des événements comme vous le souhaitez. Pour en savoir plus, consultez Création d'un suivi pour votre compte AWS.

Vous pouvez valider l'intégrité des fichiers journaux CloudTrail stockés dans votre compartiment S3 et détecter s'ils sont restés inchangés, modifiés ou supprimés depuis que CloudTrail les a fournis à votre compartiment S3. Vous pouvez utiliser la validation de l'intégrité des fichiers journaux dans vos processus de sécurité informatique et d'audit. Par défaut, CloudTrail chiffre tous les fichiers journaux envoyés dans le compartiment S3 que vous avez spécifié à l'aide du chiffrement côté serveur (SSE) S3. Si nécessaire, vous pouvez également ajouter une couche de sécurité à vos fichiers journaux CloudTrail en chiffrant les fichiers journaux avec votre clé AWS Key Management Service (KMS). Si vous avez des autorisations de déchiffrement, S3 déchiffre automatiquement vos fichiers journaux. Pour plus d'informations, consultez la section Chiffrement des fichiers journaux CloudTrail à l'aide de clés gérées par AWS KMS (SSE-KMS).

Vous pouvez configurer CloudTrail pour capturer et stocker les événements de plusieurs régions AWS en un seul endroit. Cette configuration certifie que tous les paramètres s'appliquent de manière cohérente dans les régions existantes et récemment lancées. Pour en savoir plus, consultez la section Réception de fichiers journaux CloudTrail en provenance de plusieurs régions.

Vous pouvez configurer CloudTrail pour capturer et stocker les événements de plusieurs comptes AWS au même endroit. Cette configuration permet de vérifier que tous les paramètres s'appliquent de manière cohérente à tous les comptes existants et nouvellement créés. Pour en savoir plus, voir Création d'un suivi pour une organisation.

AWS CloudTrail Lake

CloudTrail Lake est un lac de données géré permettant de capturer, de stocker, d'accéder et d'analyser l'activité des utilisateurs et des API sur AWS à des fins d'audit et de sécurité. Vous pouvez agréger, visualiser, interroger et stocker de manière immuable vos journaux d'activité provenant de sources AWS et non AWS. Les auditeurs informatiques peuvent utiliser CloudTrail Lake en tant qu'enregistrement inaltérable de l'ensemble des activités afin de répondre aux exigences d'audit. Les administrateurs de sécurité peuvent vérifier que l'activité des utilisateurs est conforme aux politiques internes. Les ingénieurs DevOps peuvent résoudre des problèmes opérationnels tels qu'une instance Amazon Elastic Compute Cloud (EC2) qui ne répond pas ou un accès refusé à une ressource. 

CloudTrail Lake étant un lac d'audit et de sécurité géré, vos événements sont stockés dans le lac. CloudTrail Lake accorde un accès en lecture seule pour empêcher toute modification des fichiers journaux. L'accès en lecture seule signifie que les événements sont immuables.

Avec CloudTrail Lake, vous pouvez exécuter des requêtes SQL sur les journaux d'activité à des fins d'audit dans le lac ou vous pouvez exécuter des requêtes SQL sur vos événements CloudTrail pour approfondir les données des tableaux de bord CloudTrail Lake. Vous pouvez également utiliser la génération de requêtes en langage naturel dans CloudTrail Lake (en version préliminaire) pour analyser plus simplement vos événements d’activité AWS dans CloudTrail Lake sans avoir à écrire de requêtes SQL complexes. En outre, vous pouvez utiliser Amazon Athena pour interroger de manière interactive vos journaux auditables CloudTrail Lake ainsi que des données provenant d'autres sources, sans la complexité opérationnelle liée au déplacement ou à la réplication des données. Par exemple, les ingénieurs en sécurité peuvent utiliser Athena pour corréler les journaux d'activité dans CloudTrail Lake avec les journaux d'application et de trafic dans Amazon S3 pour les enquêtes sur les incidents de sécurité. Les ingénieurs de conformité et d'exploitation peuvent désormais visualiser les journaux d'activité dans CloudTrail Lake avec Amazon QuickSight et Amazon Managed Grafana pour générer des rapports sur la conformité, les coûts et l'utilisation.

Avec AWS CloudTrail Lake, vous pouvez consolider les événements d'activité provenant d'AWS et de sources extérieures à AWS, y compris les données d'autres fournisseurs de cloud, les applications internes et les applications SaaS exécutées dans le cloud ou sur site, sans avoir à gérer plusieurs agrégateurs de journaux et outils de reporting. Vous pouvez également ingérer des données provenant d'autres services AWS, comme des éléments de configuration provenant d'AWS Config ou des preuves d'audit provenant d'AWS Audit Manager. Vous pouvez utiliser les API CloudTrail Lake pour configurer vos intégrations de données et envoyer des événements à CloudTrail Lake. Pour intégrer des outils tiers, vous pouvez commencer à recevoir des événements d'activité provenant de ces applications en quelques étapes grâce à des intégrations partenaires dans la console CloudTrail.

CloudTrail Lake vous permet de capturer et de stocker des événements provenant de plusieurs régions.

En utilisant CloudTrail Lake, vous pouvez capturer et stocker des événements pour les comptes dans vos AWS Organizations. En outre, vous pouvez désigner jusqu'à trois comptes d'administrateur délégué pour créer, mettre à jour, interroger ou supprimer des suivis d'organisation ou des banques de données d'événements CloudTrail Lake au niveau de l'organisation.

AWS CloudTrail Insights

Les événements AWS CloudTrail Insights aident les utilisateurs d'AWS à identifier et à répondre aux activités inhabituelles associées aux appels d'API et aux taux d'erreur des API en analysant en permanence les événements de gestion CloudTrail. CloudTrail Insights analyse vos modèles normaux de volume d'appels d'API et de taux d'erreur d'API, également appelés référence, et génère des événements Insights lorsque le volume d'appels ou les taux d'erreur dépassent les modèles normaux. Vous pouvez activer CloudTrail Insights dans vos suivis ou magasins de données d'événements afin de détecter les comportements anormaux et les activités inhabituelles.