As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Validar a integridade dos arquivos de log do CloudTrail
Para determinar se um arquivo de log foi modificado, excluído permaneceu ou inalterado depois que o CloudTrail o forneceu, você pode usar a validação de integridade dos arquivos de log do CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações. Você pode usar a AWS CLI para validar os arquivos no local em que o CloudTrail os forneceu.
Por que usá-la?
Os arquivos de log validados são valiosíssimos para segurança e investigações forenses. Por exemplo, um arquivo de log validado permite que você declare positivamente que o arquivo de log não foi alterado ou que determinadas credenciais de usuário realizaram atividades específicas de API. O processo de validação da integridade dos arquivos de log do CloudTrail também permite que você saiba se um arquivo de log foi excluído ou alterado ou declare positivamente que nenhum arquivo de log foi fornecido à sua conta durante um determinado período.
Como funciona
Quando você habilita a validação da integridade de arquivos de log, o CloudTrail cria um hash para cada arquivo de log que fornece. A cada hora, o CloudTrail também cria e fornece um arquivo que faz referência aos arquivos de log da última hora e contém um hash de cada um. Esse arquivo se chama arquivo de resumo. O CloudTrail assina cada arquivo de resumo usando a chave privada de um par de chaves públicas e privadas. Após o fornecimento, você pode usar a chave pública para validar o arquivo de resumo. O CloudTrail usa diferentes pares de chaves para cada Região da AWS.
Os arquivos de resumo são fornecidos ao mesmo bucket do Amazon S3 associado à sua trilha que os arquivos de log CloudTrail. Se seus arquivos de log forem fornecidos de todas as regiões ou de várias contas para um único bucket do Amazon S3, o CloudTrail fornecerá os arquivos de resumo dessas regiões e contas para o mesmo bucket.
Os arquivos de resumo são colocados em uma pasta separada dos arquivos de log. Essa separação de arquivos de resumo e de log permite que você aplique as políticas de segurança granulares e que as soluções de processamento de log existentes continuem a operar sem modificação. Cada arquivo de resumo também contém a assinatura digital do arquivo de resumo anterior, se existir. A assinatura do arquivo de resumo atual está nas propriedades de metadados do objeto do Amazon S3 do arquivo de resumo. Para obter mais informações sobre o conteúdo do arquivo de resumo, consulte Estrutura de arquivo de resumo do CloudTrail.
Armazenar arquivos de log e de compilação
Você pode armazenar os arquivos de log e de resumo do CloudTrail no Amazon S3 ou no S3 Glacier de maneira segura, durável e econômica por um período indefinido. Para aumentar a segurança do arquivos de resumo armazenados no Amazon S3, você pode usar o Amazon S3 MFA Delete.
Habilitar a validação e validar arquivos
Para habilitar a validação da integridade dos arquivos de log, você pode usar o AWS Management Console, a AWS CLI ou a API do CloudTrail. Habilitar a validação de integridade do arquivo de log permite que o CloudTrail entregue arquivos de log de resumo para seu bucket do Amazon S3, mas não valida a integridade dos arquivos. Para obter mais informações, consulte Habilitar a validação da integridade dos arquivos de log para o CloudTrail.
Para validar a integridade dos arquivos de log do CloudTrail, você pode usar a AWS CLI ou criar a sua própria solução. A AWS CLI validará os arquivos no local em que CloudTrail os forneceu. Se você desejar validar logs que foram movidos para outro local, como o Amazon S3 ou outro local, poderá criar suas próprias ferramentas de validação.
Para obter informações sobre como validar logs usando AWS CLI, consulte Validar a integridade dos arquivos de log do CloudTrail com a AWS CLI. Para obter informações sobre como desenvolver implementações personalizadas de validação de arquivos de log do CloudTrail, consulte Implementações personalizadas da validação da integridade do arquivo de CloudTrail log.
