Überprüfen der Integrität der CloudTrail Protokolldatei

Um festzustellen, ob eine Protokolldatei nach CloudTrail der Übermittlung geändert, gelöscht oder unverändert wurde, können Sie die Integritätsprüfung der CloudTrail Protokolldatei verwenden. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hashfunktion und SHA-256 mit RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, CloudTrail Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen. Sie können den verwenden AWS CLI , um die Dateien an dem Ort zu validieren, an dem sie CloudTrail geliefert wurden.

Warum sollten Sie diese Funktion nutzen?

Validierte Protokolldateien sind bei Sicherheits- und kriminaltechnischen Ermittlungen unersetzlich. Beispiel: Mit einer validierten Protokolldatei können Sie bestätigen, dass die Protokolldatei selbst nicht geändert wurde oder dass mit bestimmten Benutzeranmeldeinformationen spezifische API-Aktivitäten ausgeführt wurden. Der Prozess zur Überprüfung der Integrität von CloudTrail Protokolldateien informiert Sie auch darüber, ob eine Protokolldatei gelöscht oder geändert wurde, oder bestätigt, dass in einem bestimmten Zeitraum keine Protokolldateien an Ihr Konto übermittelt wurden.

Funktionsweise

Wenn Sie die Überprüfung der Integrität von Protokolldateien aktivieren, CloudTrail wird für jede übermittelte Protokolldatei ein Hash erstellt. CloudTrail Außerdem wird jede Stunde eine Datei erstellt und bereitgestellt, die auf die Protokolldateien der letzten Stunde verweist und jeweils einen Hash enthält. Diese Datei wird als Digest-Datei bezeichnet. CloudTrail signiert jede Digest-Datei mit dem privaten Schlüssel eines öffentlichen und privaten key pair. Nach der Lieferung können Sie den öffentlichen Schlüssel verwenden, um die Digest-Datei zu validieren. CloudTrail verwendet jeweils AWS-Region unterschiedliche Schlüsselpaare.

Die Digest-Dateien werden an denselben Amazon S3 S3-Bucket übermittelt, der mit Ihrem Trail verknüpft ist wie Ihre CloudTrail Protokolldateien. Wenn Ihre Protokolldateien aus allen Regionen oder von mehreren Konten in einen einzigen Amazon S3 S3-Bucket geliefert CloudTrail werden, werden die Digest-Dateien aus diesen Regionen und Konten in denselben Bucket übertragen.

Die Digest-Dateien werden in einem anderen Ordner gespeichert als die Protokolldateien. Diese Trennung von Digest- und Protokolldateien ermöglicht Ihnen das Erzwingen der differenzierten Sicherheitsrichtlinien und stellt sicher, dass eine vorhandene Protokollverarbeitung ohne Änderung lauffähig bleibt. Jede Digest-Datei enthält außerdem die digitale Signatur der vorherigen Digest-Datei, sofern eine vorhanden ist. Die Signatur für die aktuelle Digest-Datei ist in den Metadaten-Eigenschaften des Amazon-S3-Objekts der Digest-Datei gespeichert. Weitere Informationen über Inhalte von Digest-Dateien finden Sie unter CloudTrail Struktur der Digest-Datei.

Speichern von Protokoll- und Digest-Dateien

Sie können die CloudTrail Protokolldateien und Digest-Dateien auf unbestimmte Zeit sicher, dauerhaft und kostengünstig in Amazon S3 oder S3 Glacier speichern. Zur Verbesserung der Sicherheit der Digest-Dateien, die in Amazon S3 gespeichert sind, können Sie Amazon S3 MFA Delete verwenden.

Aktivieren der Validierung und Validieren der Dateien

Um die Integritätsprüfung der Protokolldatei zu aktivieren, können Sie die API AWS Management Console, die oder verwenden. AWS CLI CloudTrail Wenn Sie die Integritätsprüfung für Protokolldateien aktivieren CloudTrail , können Sie Digest-Protokolldateien an Ihren Amazon S3 S3-Bucket senden, die Integrität der Dateien wird jedoch nicht überprüft. Weitere Informationen finden Sie unter Aktivierung der Integritätsprüfung der Protokolldatei für CloudTrail.

Um die Integrität von CloudTrail Protokolldateien zu überprüfen, können Sie die Lösung verwenden AWS CLI oder eine eigene Lösung erstellen. Die AWS CLI validiert Dateien an dem Ort, CloudTrail an dem sie geliefert wurden. Wenn Sie Protokolle validieren möchten, die Sie an einen anderen Speicherort, entweder in Amazon S3 oder außerhalb, verschoben haben, können Sie eigene Validierungstools entwickeln.

Informationen zur Validierung von Protokollen mithilfe von finden Sie AWS CLI unterÜberprüfen der Integrität der CloudTrail Protokolldatei mit dem AWS CLI. Hinweise zur Entwicklung benutzerdefinierter Implementierungen der CloudTrail Protokolldateiüberprüfung finden Sie unter. Benutzerdefinierte Implementierungen der CloudTrail Integritätsprüfung von Protokolldateien