- Gerenciamento e governança›
- AWS CloudTrail›
- Perguntas frequentes
Perguntas frequentes sobre o AWS CloudTrail
Tópicos da página
GeralGeral
O que é o AWS CloudTrail?
O CloudTrail permite fazer auditoria, monitoramento de segurança e solucionar problemas operacionais rastreando a atividade do usuário e o uso da API. O CloudTrail registra, monitora continuamente e retém a atividade da conta relacionada às ações em sua infraestrutura AWS, dando a você controle sobre armazenamento, análise e ações de correção.
Quais são os benefícios do CloudTrail?
O CloudTrail ajuda você a comprovar a conformidade, melhorar o procedimento de segurança e consolidar registros de atividades em regiões e contas. O CloudTrail proporciona visibilidade sobre as atividades de usuários por meio do registro das ações executadas na sua conta. O CloudTrail registra informações importantes sobre cada ação, como quem fez a solicitação, quais serviços foram usados, quais ações foram executadas, quais os parâmetros da ação e quais elementos da resposta foram retornados pelo serviço da AWS. Essas informações ajudam você a rastrear as alterações feitas nos seus recursos da AWS e a solucionar problemas operacionais. O CloudTrail facilita a garantia da conformidade com políticas e padrões normativos internos. Para obter mais detalhes, consulte o whitepaper de compatibilidade da AWS Segurança em escala: registro em log na AWS.
Quem deve usar o CloudTrail?
Use o CloudTrail se precisar auditar a atividade, monitorar a segurança ou solucionar problemas operacionais.
Conceitos básicos
Se eu for um novo cliente da AWS ou um cliente existente e não tiver o CloudTrail instalado, precisarei habilitar e configurar alguma coisa para ver a atividade da conta?
Não será necessária nenhuma ação de sua parte para que você possa ver a atividade da conta. Acesse o console do AWS CloudTrail ou a AWS CLI e comece a ver a atividade da conta nos últimos 90 dias.
O histórico de eventos do CloudTrail mostra toda a atividade da conta dentro de minha conta?
O AWS CloudTrail mostrará apenas os resultados do histórico de eventos do CloudTrail da região atual que você está visualizando nos últimos 90 dias e oferecerá suporte a uma variedade de serviços da AWS. Esses eventos são limitados aos eventos de gerenciamento com as chamadas das APIs create, modify e delete, e à atividade da conta. Para um registro completo da atividade da conta, incluindo todos os eventos de gerenciamento, eventos de dados e atividade somente leitura, você deve configurar uma trilha do CloudTrail.
Que filtros de pesquisa posso usar para ver a atividade da conta?
Você pode especificar o intervalo de tempo e um dos seguintes atributos: nome do evento, nome do usuário, nome do recurso, origem do evento, ID do evento e tipo de recurso.
Posso usar o comando lookup-events da CLI, mesmo se não houver uma trilha configurada?
Sim. Acesse o console do CloudTrail ou use a API/CLI do CloudTrail e comece a visualizar a atividade da conta nos últimos 90 dias.
Quais atributos adicionais do CloudTrail estão disponíveis após a criação de uma trilha?
Configure uma trilha do CloudTrail para disponibilizar seus eventos do CloudTrail ao Amazon Simple Storage Service (Amazon S3), ao Amazon CloudWatch Logs e ao Amazon CloudWatch Events. Isso ajuda você a usar recursos para arquivar, analisar e responder a alterações em seus recursos da AWS.
Posso restringir o acesso do usuário à visualização do histórico de eventos do CloudTrail?
Sim. O CloudTrail integra-se ao AWS Identity and Access Management (IAM). Isso ajuda a controlar o acesso ao CloudTrail e a outros recursos da AWS que o CloudTrail exige. Isso inclui a capacidade de restringir as permissões para visualizar e pesquisar a atividade da conta. Remova "cloudtrail:LookupEvents" da política do IAM dos usuários para impedir que o usuário do IAM visualize a atividade da conta.
Há algum custo associado a habilitar o histórico de eventos do CloudTrail em minha conta durante a criação?
Não há custo associado à visualização ou à pesquisa de atividade da conta usando o histórico de eventos do CloudTrail.
Posso desativar o histórico de eventos do CloudTrail de minha conta?
Para quaisquer trilhas do CloudTrail criadas, você pode parar de registrar ou excluir as trilhas. Isso também interromperá a disponibilização da atividade da conta para o bucket do Amazon S3 que você designou como parte da configuração da trilha e a disponibilização para o CloudWatch Logs, se configurada. A atividade da conta durante os últimos 90 dias ainda será coletada e permanecerá visível no console do CloudTrail e por meio da AWS Command Line Interface (AWS CLI).
Serviços e suporte regional
Quais serviços são compatíveis com o CloudTrail?
O CloudTrail registra a atividade da conta e os eventos de serviços da maioria dos serviços da AWS. Consulte os serviços compatíveis com o CloudTrail no Manual do usuário do CloudTrail.
As chamadas de API feitas pelo Console de Gerenciamento da AWS são registradas?
Sim. O CloudTrail registra chamadas de API realizadas por qualquer cliente. O Console de Gerenciamento da AWS, os AWS SDKs, as ferramentas de linha de comando e os serviços de nível superior da AWS chamam operações de API da AWS. Portanto, essas chamadas são registradas.
Onde os arquivos de log são armazenados e processados antes de serem disponibilizados ao meu bucket do S3?
As informações de atividades para serviços com endpoints regionais (como o Amazon Elastic Compute Cloud [Amazon EC2] ou o Amazon Relational Database Service [Amazon RDS]) são registradas e processadas na mesma região em que a ação é realizada. Em seguida, as informações são disponibilizadas à região associada ao seu bucket do S3. As informações de atividades para serviços com endpoints únicos, como o IAM e o AWS Security Token Service (AWS STS), são registradas na região em que o endpoint está localizado. Em seguida, as informações são processadas na região em que a trilha do CloudTrail está configurada e são disponibilizadas à região associada ao seu bucket do S3.
Aplicar uma trilha a todas as regiões
O que significa aplicar uma trilha a todas as regiões da AWS?
A aplicação de uma trilha a todas as regiões da AWS significa criar uma trilha que registrará a atividade da conta da AWS em todas as regiões em que seus dados estão armazenados. Essa configuração também se aplica a qualquer nova região adicionada. Para obter mais detalhes sobre as regiões e partições, consulte a página dos nomes de recursos da Amazon e do AWS Service Namespaces.
Quais são os benefícios de aplicar uma trilha a todas as regiões?
É possível criar e gerenciar uma trilha em todas as regiões da partição em uma única chamada de API ou com algumas seleções. Você receberá um registro da atividade da conta realizada em sua conta da AWS referente a todas as regiões em um único bucket do S3 ou grupo do CloudWatch Logs. Quando a AWS lançar uma nova região, você receberá os arquivos de log contendo o histórico de eventos da nova região sem precisar executar nenhuma ação.
Como faço para aplicar uma trilha a todas as regiões?
No console do CloudTrail, selecione Yes para aplicar a todas as regiões na página de configuração da trilha. Se você estiver usando os SDKs ou a AWS CLI, defina IsMultiRegionTrail como true.
O que acontece quando aplico uma trilha a todas as regiões?
Depois que você aplicar uma trilha a todas as regiões, o CloudTrail criará uma nova trilha em todas as regiões, replicando a configuração da trilha. O CloudTrail registrará e processará os arquivos de log em cada região e disponibilizará os arquivos de log que contém a atividade da conta em todas as regiões para um único bucket do S3 e um único grupo de logs do CloudWatch Logs. Se você especificou um tópico opcional do Amazon Simple Notification Service (Amazon SNS), o CloudTrail disponibilizará notificações do Amazon SNS de todos os arquivos de log a um único tópico do SNS.
É possível aplicar uma trilha existente a todas as regiões?
Sim. Você pode aplicar uma trilha atual a todas as regiões. Ao aplicar uma trilha atual a todas as regiões, o CloudTrail criará para você uma nova trilha em todas as regiões. Se você já criou trilhas em outras regiões, será possível visualizá-las, editá-las e excluí-las usando o console do CloudTrail.
Quanto tempo o CloudTrail levará para replicar a configuração da trilha para todas as regiões?
Normalmente, levará menos de 30 segundos para replicar a configuração da trilha para todas as regiões.
Várias trilhas
Quantas trilhas posso criar em uma região?
Você pode criar até cinco trilhas em uma região. Uma trilha que se aplica a todas as regiões existe em cada uma delas e é contada como uma trilha em cada região.
Qual é o benefício de criar várias trilhas em uma região?
Com várias trilhas, diferentes interessados, como administradores de segurança, desenvolvedores de software e auditores de TI, podem criar e gerenciar as próprias trilhas. Por exemplo, um administrador de segurança pode criar uma trilha que se aplique a todas as regiões e configurar a criptografia usando uma chave do Amazon Key Management Service (Amazon KMS). Um desenvolvedor pode criar uma trilha que se aplique a uma única região para solucionar problemas operacionais.
O CloudTrail oferece suporte a permissões por recurso?
Sim. Ao usar permissões no nível dos recursos, você pode criar políticas granulares de controle de acesso para permitir ou negar acesso a usuários específicos para uma determinada trilha. Para obter mais detalhes, consulte a documentação do CloudTrail.
Segurança e expiração
Como posso proteger os arquivos de log do CloudTrail?
Por padrão, os arquivos de log do CloudTrail são criptografados usando criptografia do lado do servidor (SSE) do S3 e colocados no seu bucket do S3. Você pode controlar o acesso aos arquivos de log aplicando políticas do IAM ou de buckets do S3. É possível acrescentar uma camada adicional de segurança habilitando a exclusão da autenticação multifator (MFA) do S3 no seu bucket do S3. Para obter mais detalhes sobre como criar e atualizar uma trilha, consulte a documentação do CloudTrail.
Onde posso fazer download de um exemplo de política para buckets do S3 e de política de tópicos do SNS?
Você pode baixar um exemplo de política de bucket do S3 e de política de tópico de SNS no bucket do CloudTrail no S3. É necessário atualizar os exemplos de políticas com suas informações antes de aplicá-las ao bucket do S3 ou ao tópico do SNS.
Por quanto tempo posso armazenar os arquivos de log de atividades?
Você controla as políticas de retenção dos arquivos de log do CloudTrail. Por padrão, os arquivos de log são armazenados indefinidamente. É possível usar as regras de gerenciamento do ciclo de vida de objetos do S3 para definir sua própria política de retenção. Por exemplo, você pode desejar excluir arquivos de log antigos ou arquivá-los na classe Amazon Simple Storage Service Glacier (Amazon S3 Glacier).
Mensagem, pontualidade e frequência de entrega do evento
Quais informações estão disponíveis em um evento?
Um evento contém informações sobre a atividade associada: quem fez a solicitação, quais serviços foram usados, quais ações foram executadas e quais os parâmetros da ação, bem como quais elementos da resposta foram retornados pelo Serviço da AWS. Para obter mais detalhes, consulte a seção Referência de evento do CloudTrail no manual do usuário.
Quanto tempo o CloudTrail demora para entregar um evento de uma chamada de API?
Normalmente, o CloudTrail entrega um evento em até 5 minutos após a chamada de API. Para mais informações sobre como o CloudTrail funciona, consulte aqui.
Com que frequência o CloudTrail entrega arquivos de log ao bucket do S3?
O CloudTrail entrega arquivos de log ao bucket do S3 em intervalos aproximados de cinco minutos. O CloudTrail não entrega arquivos de log se nenhuma chamada de API for feita na sua conta.
Posso ser notificado quando arquivos de log novos forem entregues ao bucket do S3?
Sim. Você pode ativar as notificações do Amazon SNS para executar ações imediatas na entrega de novos arquivos de log.
Acredito que um dos meus arquivos de log tenha vários eventos duplicados. Como é possível saber quais eventos são exclusivos?
Embora seja incomum, você pode receber arquivos de log que contenham um ou mais eventos duplicados. Eventos duplicados terão um eventID semelhante. Para obter mais informações sobre o campo eventID, consulte o conteúdo do registro do CloudTrail.
O que acontece se o CloudTrail for ativado para minha conta, mas meu bucket do S3 não estiver configurado com a política correta?
Os arquivos de log do CloudTrail são entregues de acordo com as políticas implementadas do bucket do S3. Se as políticas do bucket estiverem mal configuradas, o CloudTrail não conseguirá disponibilizar os arquivos de log.
É possível receber eventos duplicados?
O CloudTrail foi projetado para oferecer suporte a pelo menos uma entrega de eventos assinados para buckets S3 do cliente. Em algumas situações, é possível que o CloudTrail possa entregar o mesmo evento mais de uma vez. Como resultado, os clientes podem notar eventos duplicados.
Eventos de dados
O que são eventos de dados?
Os Eventos de dados oferecem insights sobre as operações de recursos (plano de dados) executadas com o recurso ou dentro do próprio recurso. Muitas vezes, os eventos de dados são atividades de alto volume e incluem operações como as de APIs de objetos do S3 e API de invocação de funções do AWS Lambda. Por padrão, os eventos de dados são desativados quando você configura uma trilha. Para registrar eventos de dados do CloudTrail, você deve adicionar explicitamente os recursos ou os tipos de recursos para os quais quer registrar as atividades. Ao contrário dos eventos de gerenciamento, os eventos de dados incorrem em custos adicionais. Para obter mais informações, consulte os preços do CloudTrail.
Como posso consumir eventos de dados?
Os eventos de dados registrados pelo CloudTrail são disponibilizados para o S3, de modo similar aos eventos de gerenciamento. Depois de habilitados, esses eventos também são disponibilizados no Amazon CloudWatch Events.
O que são eventos de dados do S3? Como posso registrá-los?
Os eventos de dados do S3 representam atividades de API nos objetos do S3. Para que o CloudTrail registre essas ações, você especifica um bucket do S3 na seção de eventos de dados durante a criação de uma nova trilha ou a modificação de uma trilha existente. Todas as ações de API nos objetos em um bucket específico do S3 são registradas pelo CloudTrail.
O que são os eventos de dados do Lambda? Como posso registrá-los?
Os eventos de dados do Lambda registram as atividades de tempo de execução de funções do Lambda. Com eventos de dados do Lambda, você pode obter detalhes sobre o tempo de execução da função do Lambda. Exemplos de tempo de execução da função do Lambda incluem qual usuário ou serviço do IAM fez a chamada da API Invoke, quando a chamada foi feita e qual função foi aplicada. Todos os eventos de dados do Lambda são entregues a um bucket do S3 e ao CloudWatch Events. É possível ativar o registro em log de eventos de dados do Lambda usando a CLI ou o console do CloudTrail e selecionar quais funções do Lambda serão registradas ao criar uma nova trilha ou ao editar uma trilha existente.
Eventos de atividades de redes (em pré-visualização)
O que são eventos de atividade de rede (em pré-visualização)?
Os eventos de atividade de rede registram ações de API da AWS feitas usando endpoints da VPC de uma VPC privada para o serviço da AWS e ajudam você a atender seus casos de uso de investigações de segurança de rede. Isso inclui chamadas de API da AWS que foram aprovadas com sucesso pela política de endpoint da VPC e aquelas cujo acesso foi negado. Diferentemente dos eventos de gerenciamento e dados que são entregues tanto ao chamador de API quanto ao proprietário do recurso, os eventos de atividade de rede são entregues somente ao proprietário do endpoint da VPC. Para registrar eventos de atividades de redes, você deve habilitá-los explicitamente ao configurar seu local de armazenamento de trilhas ou de dados de eventos e escolher a(s) fonte(s) de eventos dos serviços da AWS nos quais você deseja coletar atividades. Também é possível incluir filtros, como filtrar por ID de endpoint da VPC ou registrar somente os erros de Acesso negado. Os eventos de atividades de redes incorrem em cobranças adicionais. Para obter mais informações, consulte os Preços do CloudTrail.
Como os eventos de atividade de rede para endpoints da VPC são diferentes dos registros de fluxo da VPC?
Os logs de fluxo da VPC capturam informações sobre o tráfego IP que percorre as interfaces de rede na VPC. Os dados de logs de fluxos podem ser publicados nos seguintes locais: Amazon CloudWatch Logs, Amazon S3 ou Amazon Data Firehose. Eventos de atividade de rede para endpoints da VPC capturam as ações de API da AWS feitas usando endpoints da VPC de uma VPC privada para o serviço da AWS. Isso fornece detalhes de quem está acessando os recursos em sua rede e, junto a isso, maior capacidade de identificar e responder a ações não intencionais em seu perímetro de dados. Você pode visualizar logs de ações que foram negadas devido às políticas do endpoint da VPC ou usar esses eventos para validar o impacto da atualização das políticas existentes.
Administrador delegado
É possível adicionar um administrador delegado à minha organização?
Sim. O CloudTrail passou a oferecer suporte para a adição de até três administradores delegados por organização.
Quem é o proprietário de uma trilha da organização ou de um armazenamento de dados de eventos em nível organizacional criados por um administrador delegado?
A conta de gerenciamento permanecerá como proprietária de qualquer trilha da organização ou de datastores de eventos criados no nível da organização, independentemente se ela foi criada por uma conta de administrador delegado ou por uma conta de gerenciamento.
Em quais regiões o suporte ao administrador delegado está disponível?
No momento, o suporte aos administradores delegados para o CloudTrail está disponível em todas as regiões nas quais o AWS CloudTrail está disponível. Para obter mais informações, consulte a tabela Regiões da AWS.
CloudTrail Insights
O que são eventos do CloudTrail Insights?
Eventos do CloudTrail Insights ajudam você a identificar atividades incomuns em suas contas da AWS, como picos no provisionamento de recursos, explosões de ações do AWS Identity and Access Management (IAM) ou lacunas nas atividades de manutenção periódica. O CloudTrail Insights usa modelos de machine learning (ML) que monitoram continuamente os eventos de gerenciamento de gravação do CloudTrail em busca de atividades anormais.
Quando atividades anormais são detectadas, os eventos do CloudTrail Insights são exibidos no console e entregues ao CloudWatch Events, a seu bucket do S3 e, opcionalmente, ao grupo do CloudWatch Logs. Isso facilita a criação de alertas e a integração aos sistemas de gerenciamento de eventos e fluxo de trabalho existentes.
Que tipo de atividade o CloudTrail Insights ajuda a identificar?
O CloudTrail Insights detecta atividades incomuns analisando os eventos de gerenciamento de gravação do CloudTrail em uma conta da AWS e em uma região. Um evento incomum ou anormal é definido como o volume de chamadas de API da AWS que se desvia do esperado de um padrão operacional ou linha de base previamente estabelecidos. O CloudTrail Insights se adapta às mudanças nos seus padrões operacionais normais, considerando as tendências baseadas no tempo nas chamadas de API e aplicando linhas de base adaptáveis à medida que as workloads mudam.
O CloudTrail Insights pode ajudar a detectar scripts ou aplicativos que se comportam mal. Às vezes um desenvolvedor altera um script ou aplicação que inicia um loop de repetição ou faz um grande número de chamadas para recursos não intencionais, como bancos de dados, repositórios de dados ou outras funções. Geralmente, esse comportamento não é percebido até o ciclo de cobrança no final do mês, quando os custos aumentam inesperadamente ou ocorre uma interrupção ou interrupção real. Os eventos do CloudTrail Insights podem alertar sobre essas alterações em sua conta da AWS, para que você possa tomar ações corretivas rapidamente.
Como o CloudTrail Insights funciona com outros produtos da AWS que usam detecção de anomalias?
O CloudTrail Insights identifica atividades operacionais incomuns em suas contas da AWS, o que ajuda a solucionar problemas operacionais, minimizando o impacto operacional e comercial. O Amazon GuardDuty se concentra em melhorar a segurança de sua conta, fornecendo detecção de ameaças ao monitorar a atividade da conta. O Amazon Macie foi desenvolvido para melhorar a proteção de dados na sua conta, descobrindo, classificando e protegendo dados sigilosos. Esses serviços oferecem proteções complementares contra diferentes tipos de problemas que podem surgir em sua conta.
Para que o CloudTrail Insights funcione, é necessário ter o CloudTrail configurado?
Sim. Os eventos do CloudTrail Insights são configurados em trilhas individuais e, portanto, você deve ter pelo menos uma trilha configurada. Quando você ativa eventos do CloudTrail Insights para uma trilha, o CloudTrail começa a monitorar eventos de gerenciamento de gravação capturados por essa trilha em busca de padrões incomuns. Se o CloudTrail Insights detectar atividades incomuns, um evento do CloudTrail Insights será registrado no destino de entrega especificado na definição da trilha.
Que tipos de eventos o CloudTrail Insights monitora?
O CloudTrail Insights rastreia atividades incomuns para operações de APIs de gerenciamento de gravação.
Como faço para começar?
Você pode habilitar eventos do CloudTrail Insights em trilhas individuais na sua conta usando o console, a CLI ou o SDK. Você também pode habilitar os eventos do CloudTrail Insights na sua organização usando uma trilha organizacional configurada na sua conta de gerenciamento do AWS Organizations. É possível ativar eventos do CloudTrail Insights escolhendo o botão de opção em sua definição de trilha.
CloudTrail Lake
Por que devo usar o CloudTrail Lake?
O CloudTrail Lake ajuda você a examinar os incidentes consultando todas as ações registradas pelo CloudTrail, itens de configuração registrados pelo AWS Config, evidências do Audit Manager ou eventos de uma origem que não seja da AWS. Ele simplifica o registro em log de incidentes ajudando a remover dependências operacionais e fornece ferramentas que podem ajudar a reduzir sua dependência de pipelines de processos de dados complexos que abrangem as equipes. O CloudTrail Lake não exige que você mova e ingira logs do CloudTrail em outro lugar, o que ajuda a manter a fidelidade dos dados e reduz o tratamento de limites de baixa taxa que limitam seus logs. Ele também fornece latências quase em tempo real, pois é ajustado para processar logs estruturados de alto volume, disponibilizando-os para investigação de incidentes. Por fim, o CloudTrail Lake oferece uma experiência familiar de consulta de vários atributos com SQL e é capaz de agendar e lidar com várias consultas simultâneas. Você também pode usar a geração de consultas em linguagem natural (em preview) para ajudar a analisar seus eventos, capacitando os usuários que não são especialistas em escrever consultas SQL ou que não têm um conhecimento profundo dos eventos do CloudTrail.
Como esse atributo se relaciona/funciona com outros serviços da AWS?
O CloudTrail é a fonte canônica de logs para atividade do usuário e uso de API nos serviços da AWS. Você pode usar o CloudTrail Lake para examinar a atividade em serviços da AWS assim que os logs estiverem disponíveis no CloudTrail. Você pode consultar e analisar a atividade do usuário e os recursos afetados e usar esses dados para resolver problemas, como identificar agentes mal-intencionados e permissões de linha de base.
Como posso ingerir eventos de origens de fora da AWS, como aplicações personalizadas, aplicações de terceiros ou outras nuvens públicas?
É possível encontrar e adicionar integrações de parceiros para começar a receber eventos de atividades dessas aplicações com apenas algumas etapas, usando o console do CloudTrail, sem precisar desenvolver e manter integrações personalizadas. Para fontes diferentes das integrações de parceiros disponíveis, você pode usar as novas APIs do CloudTrail Lake para definir suas próprias integrações e impulsionar eventos para o CloudTrail Lake. Para começar, consulte Trabalhar com o CloudTrail Lake no Guia do Usuário do CloudTrail.
Quando você recomenda usar a consulta avançada do AWS Config em vez do CloudTrail Lake para consultar itens de configuração do AWS Config?
A consulta avançada do AWS Config é recomendada para clientes que desejam agregar e consultar Configuration Items (CI – Itens de configuração) do AWS Config no estado atual. Isso ajuda os clientes com gerenciamento de inventário, segurança e inteligência operacional, otimização de custos e dados de conformidade. A consulta avançada do AWS Config é gratuita se você for um cliente do AWS Config.
O CloudTrail Lake oferece suporte à cobertura de consulta para itens de configuração do AWS Config, incluindo configuração de recursos e histórico de conformidade. A análise do histórico de configuração e conformidade para recursos com eventos CloudTrail relacionados ajuda a inferir quem, quando e o que mudou nesses recursos. Isso ajuda na análise da causa raiz de incidentes relacionados à exposição de segurança ou não conformidade. O CloudTrail Lake é recomendado caso tenha a necessidade de agregar e consultar dados em eventos do CloudTrail e em itens de configuração históricos.
Se eu habilitar a ingestão de itens de configuração do AWS Config hoje no CloudTrail Lake, o CloudTrail Lake ingerirá meus itens de configuração históricos (que são gerados antes de sua criação) ou coletará somente os itens de configuração recém-registrados?
O CloudTrail Lake não ingerirá itens de configuração do AWS Config que foram gerados antes da configuração do CloudTrail Lake. Itens de configuração recém-gravados do AWS Config, em nível de conta ou organização, serão entregues ao armazenamento de dados de eventos do CloudTrail Lake especificado. Esses itens de configuração estarão disponíveis no Lake para consulta pelo período de retenção especificado e podem ser usados para análise de dados de históricos.
Posso sempre saber qual usuário fez uma determinada alteração de configuração consultando o CloudTrail Lake?
Se várias alterações de configuração forem tentadas em um único recurso por vários usuários em rápida sucessão, apenas um item de configuração poderá ser criado para mapear a configuração do estado final do recurso. Neste e em cenários semelhantes, pode não ser possível fornecer 100% de correlação sobre qual usuário fez quais alterações de configuração consultando o CloudTrail e os itens de configuração referentes a um período e ID de recurso específicos.
Se eu já usei trilhas antes, posso trazer os logs do CloudTrail existentes para meu datastore de eventos do CloudTrail Lake existente ou novo?
Sim. O recurso de importação do CloudTrail Lake oferece suporte à cópia de logs do CloudTrail de um bucket do S3 que armazena logs de várias contas (de uma trilha da organização) e várias regiões da AWS. Você também pode importar logs de contas individuais e trilhas de região única. O recurso de importação também permite especificar um intervalo de datas de importação, para que você importe apenas o subconjunto de logs necessários para armazenamento e análise de longo prazo no CloudTrail Lake. Depois de consolidar os logs, você pode executar consultas neles, desde os eventos mais recentes coletados após a ativação do CloudTrail Lake até eventos históricos trazidos de suas trilhas.
Esse recurso de importação afeta a trilha original no S3?
O recurso de importação copia as informações de log do S3 para o CloudTrail Lake e mantém a cópia original no S3 como está.
Quais eventos do CloudTrail posso consultar após habilitar o atributo CloudTrail Lake?
Você pode habilitar o CloudTrail Lake para qualquer uma das categorias de eventos coletadas pelo CloudTrail, dependendo de suas necessidades internas de solução de problemas. As categorias de eventos incluem eventos de gerenciamento que capturam atividades do ambiente de gerenciamento, como CreateBucket e TerminateInstances, e eventos de dados que capturam atividades do plano de dados, como GetObject e PutObject, e eventos de atividade de rede (em pré-visualização) que capturam ações de API feitas usando endpoints da VPC de uma VPC privada para o serviço da AWS. Você não precisa de uma assinatura de avaliação separada para nenhum desses eventos. Para o CloudTrail Lake, você precisará escolher entre as opções de retenção extensível de um ano e de preços de retenção de sete anos, o que afetará o seu custo, bem como a duração da retenção do evento. Você pode consultar os dados a qualquer momento. Nos painéis do CloudTrail Lake, oferecemos suporte à consulta de eventos do CloudTrail.
Depois de habilitar o atributo CloudTrail Lake, quanto tempo preciso esperar para começar a escrever consultas?
Você pode começar a consultar as atividades que ocorrem após ativar o recurso quase imediatamente.
Quais são alguns dos casos de uso operacional e de segurança comuns que posso resolver usando o CloudTrail Lake?
Os casos de uso comuns incluem a investigação de incidentes de segurança, como acesso não autorizado ou credenciais de usuário comprometidas, e o aprimoramento de seu procedimento de segurança por meio da realização de auditorias às permissões de usuário de linha de base regularmente. Você pode realizar auditorias necessárias para garantir que o conjunto certo de usuários esteja fazendo alterações em seus recursos, como grupos de segurança, e rastrear quaisquer alterações que não estejam de acordo com as práticas recomendadas da sua organização. Além disso, você pode acompanhar as ações realizadas nos recursos e avaliar modificações ou exclusões, além de obter insights mais detalhados sobre suas faturas de serviços da AWS, incluindo os usuários do IAM que assinam serviços.
Como posso começar a usar o CloudTrail Lake?
Se você for um cliente atual ou novo do CloudTrail, pode começar a usar a funcionalidade do CloudTrail Lake imediatamente para executar consultas ao habilitar o atributo por meio da API ou do console do CloudTrail. Selecione a guia CloudTrail Lake no painel esquerdo do console do CloudTrail e selecione o botão Criar armazenamento de dados de eventos. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo da ingestão de eventos e o período de retenção máximo e padrão para o armazenamento de dados de eventos. Em seguida, faça seleções de eventos de todas as categorias de eventos registradas pelo CloudTrail (eventos de gerenciamento e de dados) para começar.
Além disso, para ajudar na visualização dos seus principais eventos do CloudTrail Lake, você pode começar a usar os painéis do CloudTrail Lake. Os painéis do CloudTrail Lake são painéis predefinidos que fornecem visibilidade imediata e os principais insights dos seus dados de auditoria e segurança diretamente no console do CloudTrail.
Eu criei um armazenamento de dados de eventos com preços de retenção de sete anos. Poderei migrar o mesmo armazenamento de dados de eventos para a opção de preço de retenção prorrogável de um ano? O que acontece com meus dados existentes no armazenamento de dados de eventos que foram ingeridos com base no preço de retenção de sete anos?
Sim. Você pode atualizar a opção do preço de retenção de sete anos para o de retenção prorrogável de um ano, como parte da configuração do armazenamento de dados de eventos. Seus dados existentes permanecerão disponíveis no armazenamento de dados de eventos durante o período de retenção configurado. Esses dados não incorrerão em qualquer taxa de retenção estendida. No entanto, todos os dados recém-ingeridos seguirão as cobranças de preços de retenção prorrogáveis de um ano, tanto para a ingestão quanto para a retenção estendida.
Eu criei um armazenamento de dados de eventos com preços de retenção prorrogáveis por um ano. Poderei migrar o mesmo armazenamento de dados de eventos para a opção de preço de retenção de sete anos?
Não. Atualmente, não oferecemos suporte à migração de um armazenamento de dados de eventos de preços de retenção prorrogáveis de um ano para a retenção de sete anos. No entanto, você poderá desativar o registro do armazenamento de dados de eventos atual e, ao mesmo tempo, criar um novo armazenamento de dados de eventos com preços de retenção de sete anos para os dados recém-ingeridos. Você ainda poderá reter e analisar os dados nos dois armazenamentos dados de eventos com a respectiva opção de preço e o período de retenção configurado.
Por que o período de retenção do CloudTrail Lake é calculado com base no momento do evento e não com base no momento de ingestão do CloudTrail Lake?
O CloudTrail Lake é um lake de auditoria que ajuda os clientes a atender às necessidades de seus casos de uso em relação à conformidade e à auditoria. Com base nas exigências do programa de conformidade, os clientes precisam reter os logs de auditoria por um período específico a partir do momento em que os logs foram gerados, independentemente de quando foram ingeridos no CloudTrail Lake.
Se eu ingerir um evento histórico do CloudTrail do S3 para o CloudTrail Lake e o período de retenção do armazenamento de dados de eventos estiver configurado como um ano, esse evento sempre será armazenado no CloudTrail Lake por um ano a partir do momento da ingestão?
Não. Como esse foi um evento histórico com o momento do evento no passado, ele será mantido no CloudTrail Lake por um período de retenção de um ano a partir do momento em que ocorreu. Portanto, a duração do armazenamento desse evento no CloudTrail Lake será menor que um ano.
Atualmente, que tipo de eventos do CloudTrail Lake posso visualizar nos painéis?
Atualmente, os painéis do CloudTrail Lake oferecem suporte a eventos de gerenciamento e dados do CloudTrail.
Os painéis estão habilitados no nível da conta ou no nível do armazenamento de dados de eventos?
Atualmente, os painéis estão habilitados no nível da conta e se aplicarão a todos os armazenamentos de dados de eventos ativos nesta conta que tenham eventos de gerenciamento ou de dados do CloudTrail habilitados.
Que cobranças são geradas quando habilito painéis do CloudTrail Lake?
Os painéis do CloudTrail Lake são acionados por consultas do CloudTrail Lake. Ao habilitar os painéis do CloudTrail Lake, serão geradas cobranças pelos dados verificados. Consulte a página de preços para obter mais detalhes.
Posso criar painéis personalizados, atualmente?
Não. Atualmente, todos os painéis do CloudTrail Lake são selecionados e predefinidos e não podem ser personalizados.
Que casos de uso são compatíveis com os painéis do CloudTrail Lake?
Os engenheiros de auditoria e conformidade podem usar os painéis do CloudTrail Lake para acompanhar o progresso dos mandatos de conformidade, como a migração para o TLS 1.2 e versões posteriores. Os painéis do CloudTrail Lake ajudarão os engenheiros de segurança a monitorar de perto as atividades confidenciais do usuário, como exclusão de trilhas ou erros repetidos de acesso negado. Os engenheiros de operação da nuvem podem obter visibilidade de problemas como os principais erros de controle de utilização de serviços no painel selecionado.
Agregação de arquivos de log
Tenho várias contas da AWS. Eu gostaria que os arquivos de log para todas as contas fossem entregues em um único bucket do S3. Posso fazer isso?
Sim. Você pode configurar um bucket do S3 como o destino de várias contas. Para obter instruções detalhadas, consulte a seção sobre agregar arquivos de log a um único bucket do S3 no guia do usuário do CloudTrail.
Integração com o CloudWatch Logs
O que é a integração do CloudTrail com o CloudWatch Logs?
A integração do CloudTrail com o CloudWatch Logs entrega eventos de gerenciamento e de dados capturados pelo CloudTrail a um stream de logs do CloudWatch Logs no grupo de logs especificado.
Quais são os benefícios da integração do CloudTrail ao CloudWatch Logs?
Essa integração ajuda a receber notificações SNS da atividade da conta capturada pelo CloudTrail. Por exemplo, você pode criar alarmes do CloudWatch para monitorar chamadas de API que criam, modificam e excluem grupos de segurança e listas de controle de acesso (ACLs) da rede.
Como faço para ativar a integração do CloudTrail com o CloudWatch Logs?
Você pode ativar a integração do CloudTrail com o CloudWatch Logs no console do CloudTrail especificando um grupo de logs do CloudWatch Logs e um perfil do IAM. Também é possível usar AWS SDKs ou a AWS CLI para ativar essa integração.
O que acontece quando eu ativo a integração do CloudTrail com o CloudWatch Logs?
Com a integração ativada, o CloudTrail disponibiliza continuamente a atividade da conta a um fluxo de logs no grupo de logs do CloudWatch Logs especificado. O CloudTrail também continua a entregar logs a seu bucket do S3, como já ocorria anteriormente.
Quais são as regiões da AWS são compatíveis com a integração do CloudTrail ao CloudWatch Logs?
Essa integração tem suporte nas regiões em que o CloudWatch Logs está disponível. Para obter mais informações, consulte Regiões e Endpoints na Referência geral da AWS.
Como o CloudTrail disponibiliza eventos que contêm atividades da conta para meu CloudWatch Logs?
O CloudTrail assume o perfil do IAM que você especifica para disponibilizar a atividade da conta ao CloudWatch Logs. Você limita a função do IAM para ter apenas as permissões necessárias para entregar eventos ao stream de logs do CloudWatch Logs. Para examinar a política de perfis do IAM, consulte o manual do usuário na documentação do CloudTrail.
O que será cobrado quando eu ativar a integração do CloudTrail com o CloudWatch Logs?
Após ativar a integração do CloudTrail com o CloudWatch Logs, você passa a ser cobrado de acordo com os valores padrão do CloudWatch Logs e do CloudWatch. Para obter detalhes, acesse a página de preços do CloudWatch.
Criptografia de arquivos de log do CloudTrail usando o AWS KMS
Quais são os benefícios da criptografia de arquivos de log do CloudTrail usando a criptografia do lado do servidor com o AWS KMS?
A criptografia de arquivos de log do CloudTrail usando SSE-KMS ajuda a adicionar uma camada extra de segurança aos arquivos de log do CloudTrail entregues a um bucket do S3 ao fazer a criptografia de arquivos de log com uma chave do KMS. Como padrão, o CloudTrail criptografará todos os arquivos de log entregues ao bucket do S3 usando a criptografia do lado do servidor do S3.
Eu tenho um aplicativo que consome e processa arquivos de log do CloudTrail. Preciso fazer alguma alteração no meu aplicativo?
Com o SSE-KMS, o S3 descriptografa automaticamente os arquivos de log para que você não tenha que fazer alterações nos aplicativos. Como sempre, é necessário verificar se a aplicação tem as permissões adequadas, como as permissões GetObject do S3 e Decrypt do AWS KMS.
Como posso configurar a criptografia de arquivos de log do CloudTrail?
Você pode usar o Console de Gerenciamento da AWS, a AWS CLI ou os SDKs da AWS para configurar a criptografia de arquivos de log. Para obter instruções detalhadas, consulte a documentação.
Que cobranças serão feitas após a configuração da criptografia usando o SSE-KMS?
Após a configuração da criptografia usando o SSE-KMS, serão cobradas as taxas padrão do AWS KMS. Para obter detalhes, acesse a página de preços do AWS KMS.
Validação da integridade de arquivos de log do CloudTrail
O que é a validação da integridade de arquivos de log do CloudTrail?
O recurso de validação da integridade de arquivos de log do CloudTrail ajuda você a determinar se um arquivo de log do CloudTrail permaneceu sem alterações, foi excluído ou modificado desde que foi entregue pelo CloudTrail ao bucket especificado do S3.
Qual é o benefício da validação da integridade de arquivos de log do CloudTrail?
Você pode usar a validação da integridade de arquivos de log como um auxílio nos seus processos de segurança e auditoria de TI.
Como posso habilitar a validação da integridade de arquivos de log do CloudTrail?
Você pode habilitar o recurso de validação da integridade de arquivos de log do CloudTrail no console, na AWS CLI ou nos AWS SDKs.
O que acontece quando eu ativo o atributo de validação da integridade de arquivos de log?
Quando você ativa o recurso de validação da integridade de arquivos de log, o CloudTrail entrega arquivos de resumo a cada hora. Os arquivos resumidos contêm informações sobre os arquivos de log que foram entregues ao seu bucket do S3 e valores de hash para esses arquivos de log. Eles também contêm assinaturas digitais para o arquivo de resumo anterior e a assinatura digital para o arquivo de resumo atual na seção de metadados do S3. Para obter mais informações sobre os arquivos de resumo, assinaturas digitais e valores hash, acesse a documentação do CloudTrail.
Onde os arquivos de resumo foram entregues?
Os arquivos de resumo foram entregues no mesmo bucket do S3 em que os arquivos de log foram entregues. No entanto, eles foram entregues a uma pasta diferente para que você possa aplicar políticas de controle de acesso granular. Para obter detalhes, consulte a seção de estrutura do arquivo de resumo na documentação do CloudTrail.
Como posso validar a integridade de um arquivo de log ou um arquivo de resumo entregue pelo CloudTrail?
Você pode usar a AWS CLI para validar a integridade do arquivo de log ou do arquivo de resumo. Também é possível criar suas próprias ferramentas para fazer a validação. Para obter mais detalhes sobre o uso da AWS CLI para a validação da integridade de um arquivo de log, consulte a documentação do CloudTrail.
Eu agrego todos os meus arquivos de log em todas as regiões e em várias contas em um único bucket do S3. Os arquivos de resumo serão entregues no mesmo bucket do S3?
Sim. O CloudTrail disponibilizará os arquivos de resumo em todas as regiões e em várias contas no mesmo bucket do S3.
CloudTrail Processing Library
O que é a CloudTrail Processing Library?
A CloudTrail Processing Library é uma biblioteca Java que facilita o desenvolvimento de uma aplicação que realiza a leitura e o processamento de arquivos de log do CloudTrail. É possível fazer download da CloudTrail Processing Library no GitHub.
Qual a funcionalidade oferecida pela CloudTrail Processing Library?
A CloudTrail Processing Library fornece funcionalidades para que você lide com tarefas como a sondagem contínua de uma fila do SQS e a leitura e a análise de mensagens do Amazon Simple Queue Service (Amazon SQS). Ela também pode fazer download de arquivos de log armazenados no S3, e analisar e serializar eventos de arquivos de log de maneira tolerante a falhas. Para obter mais informações, acesse o guia do usuário na documentação do CloudTrail.
Qual software é necessário para começar a usar a CloudTrail Processing Library?
Você precisa do aws-java-sdk versão 1.9.3 e do Java 1.7 ou versões superiores.
Preços
Como sou cobrado pelas trilhas do CloudTrail?
O CloudTrail ajuda você a visualizar, pesquisar e baixar os últimos 90 dias de eventos de gerenciamento de sua conta gratuitamente. Você pode entregar uma cópia de seus eventos de gerenciamento em andamento para o S3 gratuitamente criando uma trilha. Após a configuração de uma trilha do CloudTrail, as taxas do S3 são aplicadas conforme o uso.
Você pode fornecer cópias adicionais de eventos, incluindo eventos de dados e eventos de atividades de redes (em pré-visualização), usando trilhas. Você receberá uma cobrança pelos eventos de dados, eventos de atividades de rede e cópias adicionais de eventos de gerenciamento. Saiba mais na página de preços.
Serei cobrado se tiver apenas uma trilha com eventos de gerenciamento e aplicá-la a todas as regiões?
Não. A primeira cópia dos eventos de gerenciamento é entregue gratuitamente em cada região.
Haverá cobrança, se eu habilitar eventos de dados em uma trilha atual com eventos de gerenciamento gratuitos?
Sim. Você será cobrado apenas pelos eventos de dados. A primeira cópia dos eventos de gestão é entregue gratuitamente.
Como sou cobrado pelo CloudTrail Lake?
Quando você usa o CloudTrail Lake, paga pela ingestão e pelo armazenamento juntos, em que o faturamento é baseado na quantidade de dados não compactados ingeridos e a quantidade de dados ingeridos armazenados. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo da ingestão de eventos e o período de retenção máximo e padrão para o armazenamento de dados de eventos. As cobranças de consulta são baseadas nos dados compactados que você opta por analisar. Saiba mais na página de preços.
Posso calcular meu uso estimado de ingestão do CloudTrail Lake se eu souber meu uso histórico do CloudTrail em trilhas?
Sim. Cada evento do CloudTrail, em média, tem cerca de 1.500 bytes. Usando esse mapeamento, você poderá estimar a ingestão do CloudTrail Lake com base no uso do CloudTrail em trilhas no mês passado por número de eventos.
Parceiros
Como as soluções de parceiros da AWS me ajudam a analisar os eventos registrados pelo CloudTrail?
Vários parceiros oferecem soluções integradas para analisar arquivos de log do CloudTrail. Essas soluções incluem recursos como rastreamento de alterações, solução de problemas e análises de segurança. Para obter mais informações, consulte a seção de parceiros do CloudTrail.
Como posso habilitar uma integração no CloudTrail Lake como uma fonte disponível?
Para começar sua integração, você pode consultar o Guia de integração de parceiros. Interaja com sua equipe parceiras de desenvolvimento ou arquitetos de soluções para poder se conectar com a equipe do CloudTrail Lake e aprofundar seus conhecimentos ou tirar dúvidas.
Outros
A ativação do CloudTrail afetará a performance dos recursos da AWS ou aumentará a latência das chamadas de API?
Não. A ativação do CloudTrail não afeta a performance dos seus recursos da AWS nem a latência das chamadas de API.