Anwendungsprotokollierung und Überwachung mit AWS CloudTrail - AWS Präskriptive Leitlinien
mithilfe von CloudTrailAnwendungsfälle für CloudTrailBewährte Methoden für CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anwendungsprotokollierung und Überwachung mit AWS CloudTrail

AWS CloudTrail ist ein AWS-Service, der Ihnen hilft, Betriebs- und Risikoprüfungen, Verwaltung und Konformität Ihrem AWS-Konto zu aktivieren. Aktionen, die von einem Benutzer, eine Rolle oder einem AWS-Service ausgeführt werden, werden als Ereignisse in CloudTrail aufgezeichnet. Ereignisse können ausgeführte Aktionen in der AWS Management Console, AWS Command Line Interface (AWS CLI) und AWS-SDKs und -APIs umfassen.

mithilfe von CloudTrail

CloudTrail wird beim Erstellen Ihres AWS-Konto-Kontos für Sie aktiviert. Erfolgen Aktivitäten in Ihrem AWS-Konto-Konto, werden diese als CloudTrail-Ereignisse erfasst. Sie können die neuesten Ereignisse in der CloudTrail-Konsole einfach über den Ereignisverlauf anzeigen.

Für einen fortlaufenden Datensatz zu Aktivitäten und Ereignissen in Ihrem AWS-Konto können Sie einen Trail erstellen. Sie können Trails für eine einzelne AWS-Region erstellen oder für alle Regionen. Trails zeichnet Protokolldateien in jeder Region auf, und CloudTrail kann die Protokolldateien an einen einzigen, konsolidierten Amazon Simple Storage Service (Amazon S3)-Bucket liefern.

Sie können Trails unterschiedlich konfigurieren, sodass der Trail nur die von Ihnen angegebenen Ereignisse protokolliert. Dies kann nützlich sein, wenn Sie Ereignisse, die in Ihrem AWS-Konto auftreten, mit Ereignissen, die in Ihrer Anwendung auftreten, abgleichen möchten.

Anmerkung

CloudTrail verfügt über ein Validierungsfeature, mit dem Sie feststellen können, ob eine Protokolldatei nach der Übermittlung durch CloudTrail verändert oder gelöscht wurde oder unverändert ist. Dieses Feature wurde mit dem Branchenstandard entsprechenden Algorithmen entwickelt: SHA-256 für die Hash-Funktion und SHA-256 mit RSA für digitale Signaturen. Dadurch ist es computertechnisch nicht möglich, CloudTrail-Protokolldateien unerkannt zu ändern, zu löschen oder zu fälschen. Sie können die AWS CLI zur Validierung der Dateien an dem Speicherort verwenden, an den CloudTrail sie übermittelt hat. Weitere Informationen zu diesem Feature und wie Sie es aktivieren, finden Sie unter Validieren der Integrität von CloudTrail-Protokolldateien (CloudTrail-Dokumentation).

Anwendungsfälle für CloudTrail

  • Hilfe bei der Einhaltung – Die Verwendung von CloudTrail kann Ihnen helfen, interne Richtlinien und regulatorische Standards einzuhalten, indem es eine Historie der Ereignisse in Ihrem AWS-Konto liefert.

  • Sicherheitsanalyse – Sie können Sicherheitsanalysen durchführen und Benutzerverhaltensmuster erkennen, indem Sie CloudTrail-Protokolldateien in Protokollverwaltungs- und Analyselösungen wie CloudWatch Logs, Amazon EventBridge, Amazon Athena, Amazon OpenSearch Service oder eine andere Drittanbieterlösung aufnehmen.

  • Exfiltration von Daten – Sie können Datenexfiltration erkennen, indem Sie Aktivitätsdaten zu Amazon-S3-Objekten mithilfe von API-Ereignissen auf Objektebene sammeln, die in CloudTrail aufgezeichnet wurden. Nachdem die Aktivitätsdaten erfasst wurden, können Sie andere AWS-Services verwenden, wie beispielsweise EventBridge und AWS Lambda, um eine automatische Reaktion auszulösen.

  • Behebung von Betriebsproblemen – Sie können betriebliche Probleme mithilfe der CloudTrail-Protokolldateien beheben. So können Sie beispielsweise schnell die neuesten Änderungen identifizieren, die an den Ressourcen in Ihrer Umgebung vorgenommen wurden, einschließlich Erstellung, Änderung und Löschung von AWS-Ressourcen.

Bewährte Methoden für CloudTrail

  • Aktivieren Sie CloudTrail in allen AWS-Regionen.

  • Aktivieren Sie die Integritätsvalidierung für Protokolldateien.

  • Verschlüsseln Sie Protokolle.

  • Nehmen Sie CloudTrail-Protokolldateien in CloudWatch Logs auf.

  • Zentralisieren Sie die Protokolle aller AWS-Konten und Regionen.

  • Wenden Sie Lebenszyklusrichtlinien auf S3-Buckets an, die Protokolldateien enthalten.

  • Verhindern Sie, dass Benutzer die Protokollierung in CloudTrail deaktivieren können. Wenden Sie die folgende Service-Kontrollrichtlinie (SCP) in AWS Organizations an. Diese SCP legt eine explizite Ablehnungsregel fest für StopLogging- und DeleteTrail-Aktionen in der gesamten Organisation.

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}