Tutorial de introducción a AWS CloudTrail - AWS CloudTrail

Tutorial de introducción a AWS CloudTrail

Si es la primera vez que trabaja con AWS CloudTrail, este tutorial le enseñará a utilizarlo. En este tutorial, revisará la actividad reciente de la cuenta de AWS en la consola de CloudTrail y examinará un evento. A continuación, creará un registro de seguimiento, que es un registro continuo de actividad de los eventos de administración que se almacena en un bucket de Amazon S3. A diferencia del historial de eventos, este registro continuo no se limita a 90 días, registra los eventos de todas las regiones de AWS y puede ayudarlo a satisfacer sus necesidades de auditoría y seguridad con el paso del tiempo.

Prerequisites

Antes de comenzar, debe completar los requisitos previos y la configuración que se indican a continuación:

  • Cree una cuenta de AWS si todavía no posee una.

    Si no dispone de una Cuenta de AWS , siga los pasos que figuran a continuación para crear una.

    Para registrarse en Cuenta de AWS

    1. Abra https://portal.aws.amazon.com/billing/signup.

    2. Siga las instrucciones en línea.

      Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

  • Cree un usuario de IAM para administrar CloudTrail. Para obtener más información, consulte Concesión de permisos para la administración de CloudTrail.

Paso 1: Revisar la actividad de la cuenta de AWS en el historial de eventos

CloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce una actividad en cualquier servicio de AWS que admita CloudTrail, dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demás servicios de AWS en Event history (Historial de eventos). En otras palabras, puede ver, buscar y descargar los últimos eventos de su cuenta de AWS antes de crear un registro de seguimiento, aunque la creación de un registro de seguimiento es importante para los registros a largo plazo y de auditoría de la actividad de su cuenta de AWS. A diferencia del registro de seguimiento, el historial de eventos solo muestra eventos que sucedieron en los últimos 90 días.

  1. Inicie sesión en la AWS Management Console con el usuario de IAM que ha configurado para la administración de CloudTrail. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/home/.

  2. Examine la información del panel sobre los últimos eventos que se han producido en su cuenta de AWS. Un evento reciente debería ser un evento ConsoleLogin, que demuestre que acaba de iniciar sesión en la AWS Management Console.

    
      El panel de CloudTrail con los últimos eventos
  3. Para obtener más información sobre un evento, amplíelo.

    
      El panel de CloudTrail con información ampliada sobre un evento
  4. En el panel de navegación, elija Event history (Historial de eventos). Verá una lista filtrada de eventos, con los últimos eventos en primer lugar. El filtro predeterminado de eventos es Read only (Solo lectura), con el valor false. Puede borrar ese filtro, al elegir X a la derecha del filtro.

    
      La página Event history (Historial de eventos) de CloudTrail con el filtro Read-only (Solo lectura) resaltado
  5. Si se quita el filtro predeterminado, se muestran muchos más eventos. Puede filtrar los eventos de muchas formas. Por ejemplo, para ver todos los eventos de inicio de sesión en la consola, puede elegir el filtro Event name (Nombre del evento) y especificar ConsoleLogin. Elija los filtros que desee.

    
      La página del historial de eventos de CloudTrail con el filtro predeterminado quitado y con una lista parcial de opciones de filtro
  6. Puede guardar el historial de eventos descargándolo como un archivo con formato CSV o JSON. Descargar el historial de eventos puede demorar unos minutos.

    
      La página del historial de eventos de CloudTrail con las opciones de descarga

Para obtener más información, consulte Ver eventos con el historial de eventos de CloudTrail.

Paso 2: Crear el primer registro de seguimiento

Aunque los eventos que pueden verse en el historial de eventos de la consola de CloudTrail son útiles para revisar la actividad reciente, se limitan a esta y no incluyen todos los eventos que CloudTrail es capaz de registrar. Además, en la consola solo se ven los eventos de la región de AWS en la que se ha iniciado la sesión. Para crear un registro continuo de actividad de una cuenta de AWS que capture información de todas las regiones de AWS, cree un registro de seguimiento. De forma predeterminada, cuando se crea un registro de seguimiento en la consola de CloudTrail, este registra eventos en todas las regiones. Registrar eventos en todas las regiones de su cuenta es una práctica recomendada.

Para su primer registro de seguimiento, le recomendamos crear uno que registre todos los eventos de administración de todas las regiones de AWS y que no registre ningún evento de datos. Por ejemplo, son eventos de administración los eventos de seguridad, como CreateUser y AttachRolePolicy de IAM, los eventos de recursos como RunInstances y CreateBucket, etc. Creará un bucket de Amazon S3 en el que almacenará los archivos de registros para el registro de seguimiento como parte de la creación del registro de seguimiento en la consola de CloudTrail.

nota

En este tutorial, se presupone que está creando su primer registro de seguimiento. En función del número de registros de seguimiento que tenga en su cuenta de AWS y cómo estén configurados, el siguiente procedimiento podría generar cargos o no. CloudTrail almacena archivos de registros en un bucket de Amazon S3, lo que supone costos. Para obtener más información sobre los precios, consulte Precios de AWS CloudTrail y Precios de Amazon S3.

  1. Inicie sesión en la AWS Management Console con el usuario de IAM que ha configurado para la administración de CloudTrail. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/home/. En la selección de Region (Región), elija la región de AWS en la que desea que se cree el registro de seguimiento. Esta es la región principal del registro de seguimiento.

    nota

    La región principal es la única región de AWS en la que puede ver y actualizar el registro de seguimiento una vez que se haya creado, incluso si el registro de seguimiento registra los eventos de todas las regiones de AWS.

  2. En la página de inicio del servicio CloudTrail, la página Trails (Registros de seguimiento), o la sección Trails (Registros de seguimiento) en la página Dashboard (Panel), elija Create trail (Crear registro de seguimiento).

  3. En Trail name (Nombre del registro de seguimiento), indique el nombre del registro de seguimiento, como, por ejemplo, My-Management-Events-Trail. Como práctica recomendada, utilice un nombre que identifique rápidamente el propósito del registro de seguimiento. En este caso, está creando un registro de seguimiento que registra eventos de administración.

  4. Mantenga la configuración predeterminada para los registros de seguimiento de AWS Organizations Organizations. No podrá cambiar esta opción a menos que tenga cuentas configuradas en Organizations.

  5. En Storage location (Ubicación del almacenamiento), elija Create new S3 bucket (Crear un bucket de S3 nuevo) para crear un bucket. Cuando se crea un bucket, CloudTrail crea y aplica las políticas de buckets necesarias. Especifique un nombre para el bucket, como, por ejemplo, my-bucket-for-storing-cloudtrail-logs.

    Para facilitar la búsqueda de registros, cree una carpeta nueva (también conocida como prefijo) en un bucket existente a fin de almacenar los registros de CloudTrail. Ingrese el prefijo en Prefix (Prefijo).

    nota

    El nombre del bucket de Amazon S3 debe ser único de forma global. Para obtener más información, consulte Requisitos de nomenclatura para buckets de Amazon S3.

    
      La página Crear registro de seguimiento
  6. Desactive la casilla de verificación para deshabilitar el cifrado con SSE-KMS del archivo de registros. De forma predeterminada, los archivos de registros se cifran con el SSE de S3. Para obtener más información sobre esta configuración, consulte Protección de los datos mediante el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3).

  7. Mantenga la configuración predeterminada de los Ajustes adicionales.

  8. Por el momento, no envíe registros a Amazon CloudWatch Logs.

  9. En Tags (Etiquetas), agregue una o más etiquetas personalizadas (pares clave-valor) a su registro de seguimiento. Las etiquetas pueden ayudarlo a identificar los registros de seguimiento de CloudTrail y otros recursos, como los buckets de Amazon S3 que contienen archivos de registros de CloudTrail. Por ejemplo, podría adjuntar una etiqueta con el nombre Compliance y el valor Auditing.

    nota

    Aunque puede agregar etiquetas a los registros de seguimiento al crearlos en la consola de CloudTrail y puede crear un bucket de Amazon S3 para almacenar los archivos de registros en la consola de CloudTrail, no puede agregar etiquetas al bucket de Amazon S3 desde la consola de CloudTrail. Para obtener más información sobre cómo ver y cambiar las propiedades de un bucket de Amazon S3, incluida la adición de etiquetas a un bucket, consulte la Guía del usuario de Amazon S3.

    
      La página Crear registro de seguimiento, configuración de Amazon CloudWatch Logs y Etiquetas

    Cuando haya terminado de crear las etiquetas, seleccione Next (Siguiente).

  10. En la página Choose log events (Elegir eventos de registro), seleccione los tipos de eventos que desea registrar. Para este registro de seguimiento mantenga el valor predeterminado, Eventos de administración. En la zona de Management events (Eventos de administración), elija registrar tanto los eventos de Read (Lectura) como los eventos de Write (Escritura), si aún no están seleccionados. Para registrar todos los eventos, deje sin marcar las casillas de verificación para Exclude AWS KMS Events (Excluir eventos de KMS) y Exclude Amazon RDS Data API events (Excluir eventos de la API de datos de Amazon RDS).

    
      La página Crear registro de seguimiento, configuración de Tipo de evento
  11. Mantenga la configuración predeterminada para Data events (Eventos de datos) e Insights events (Eventos de Insights). Este registro de seguimiento no registrará ningún evento de datos ni eventos de Insights de CloudTrail. Elija Next (Siguiente).

  12. En la página Review and create (Revisar y crear), revise la configuración que ha elegido para el registro de seguimiento. Elija Edit (Editar) para una sección a fin de retroceder y realizar cambios. Cuando esté listo para crear el registro de seguimiento, elija Create trail (Crear registro de seguimiento).

  13. La página Trails (Registros de seguimiento) muestra el nuevo registro de seguimiento en la tabla. Tenga en cuenta que el registro de seguimiento está establecido de forma predeterminada como Multi-region trail (Registro de seguimiento de varias regiones) y está activado para el registro de seguimiento de forma predeterminada.

    
      La página Crear registro de seguimiento, configuración de Tipo de evento

Paso 3: Ver los archivos de registro

Pasados unos 15 minutos en promedio desde la creación del primer registro de seguimiento, CloudTrail envía el primer conjunto de archivos de registros al bucket de Amazon S3 del registro de seguimiento. Puede ver estos archivos y analizar la información que contienen.

nota

En general, CloudTrail envía registros en un plazo de 15 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicios de AWS CloudTrail.

  1. En el panel de navegación, seleccione Trails. En la página Trails (Registros de seguimiento), busque el nombre del registro de seguimiento que acaba de crear (en el ejemplo, My-Management-Events-Trail).

    nota

    Asegúrese de que sigue teniendo iniciada la sesión con el usuario de IAM que ha configurado para la administración de CloudTrail. De lo contrario, es posible que no tenga permisos suficientes para ver los registros de seguimiento en la consola de CloudTrail o el bucket de Amazon S3 que contiene los archivos de registros de ese registro de seguimiento.

  2. En la fila del registro de seguimiento, elija el valor del bucket de S3 (en el ejemplo, aws-cloudtrail-logs-08132020-mytrail).

  3. La consola de Amazon S3 se abre y muestra ese bucket, en el nivel superior de los archivos de registro. Como ha creado un registro de seguimiento que registra los eventos de todas las regiones de AWS, la pantalla se abre en el nivel que muestra la carpeta de cada región. La jerarquía de navegación del bucket de Amazon S3 en este nivel es nombre-del-bucket/Registros deAWS/id-de-cuenta/CloudTrail. Elija la carpeta correspondiente a la región de AWS cuyos archivos de registro desea examinar. Por ejemplo, si desea examinar los archivos de registros de la región EE. UU. Este (Ohio), elija us-east-2.

    
      Un bucket de Amazon S3 para un registro de seguimiento, que muestra la estructura de los archivos de registros en las regiones de AWS
  4. Desplácese por la estructura de carpetas del bucket hasta el año, el mes y el día cuyos registros de actividad desea examinar en esa región. En ese día, hay una serie de archivos. Los nombres de los archivos comienzan por el ID de la cuenta de AWS y terminan por la extensión .gz. Por ejemplo, si el ID de la cuenta es 123456789012, vería los archivos con nombres similares a este: 123456789012_CloudTrail_us-east-2_20190610T1255abcdeEXAMPLE.json.gz.

    Para ver estos archivos, puede descargarlos, descomprimirlos y, a continuación, verlos en un editor de texto sin formato o en un visor de archivos JSON. Algunos navegadores también permiten visualizar archivos .gz y JSON directamente. Recomendamos que utilice un lector de archivos JSON, ya que facilita la labor de analizar la información de los archivos de registros de CloudTrail.

    A medida que examine el contenido del archivo, puede comenzar a hacerse preguntas sobre lo que observa. CloudTrail registra eventos para cada servicio de AWS que tuvo actividad en esa región de AWS en el momento en que ocurrió ese evento. En otras palabras, los eventos de los distintos servicios de AWS están mezclados teniendo en cuenta únicamente el momento en que se produjeron. Para obtener más información sobre lo que un servicio específico de AWS registra en CloudTrail y ver ejemplos de entradas de archivos de registros de llamadas a la API de ese servicio, consulte la lista de servicios admitidos para CloudTrail y lea el tema de integración de CloudTrail para dicho servicio. También puede obtener más información sobre el contenido y la estructura de los archivos de registros de CloudTrail en la Referencia de eventos de registro de CloudTrail.

    También es posible que se dé cuenta de lo que no está viendo en los archivos de registros de EE. UU. Este (Ohio). En concreto, no verá los eventos de inicio de sesión en la consola, aunque sepa que ha iniciado sesión en la consola. Esto se debe a que los eventos de inicio de sesión en la consola y los eventos de IAM son eventos de servicios globales y, en general, se registran en una región de AWS específica. En este caso, se registran en EE. UU. Este (Norte de Virginia) y se encuentran en la carpeta de us-east-1. Abra esa carpeta y el año, mes y día que le interese. Examine los archivos de registro y busque los eventos ConsoleLogin que tengan un aspecto similar al siguiente:

    { "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "userName": "Mary_Major" }, "eventTime": "2019-06-10T17:14:09Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.67", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "2681fc29-EXAMPLE", "eventType": "AwsConsoleSignIn", "recipientAccountId": "123456789012" }

    Esta entrada de archivo de registros le indica algo más que la identidad del usuario de IAM que ha iniciado sesión (Mary_Major), la fecha y la hora en que ha iniciado sesión y que el inicio de sesión se ha realizado correctamente. También puede ver la dirección IP desde la que ha iniciado sesión, el sistema operativo y el software del navegador del equipo que ha utilizado, y que no estaba utilizando la autenticación multifactor.

Paso 4: Planificar los pasos siguientes

Ahora que tiene un registro de seguimiento, tiene acceso a un registro de los eventos y actividades que se producen en su cuenta de AWS. Este registro continuo le ayuda a satisfacer las necesidades de auditoría y contabilidad de su cuenta de AWS. Sin embargo, puede hacer mucho más con CloudTrail y con los datos de CloudTrail.

  • Agregue seguridad adicional a los datos de sus registros de seguimiento. CloudTrail aplica un determinado nivel de seguridad de forma automática cuando se crea un registro de seguimiento. Sin embargo, hay más medidas que puede adoptar para ayudar a mantener los datos seguros.

  • Crear un registro de seguimiento para registrar los eventos de datos. Si está interesado en registrar cuándo se agregan, recuperan y eliminan objetos en uno o varios buckets de Amazon S3, cuando se agregan, cambian o eliminan tablas de DynamoDB o cuándo se invocan una o varias funciones AWS Lambda, se trata de eventos de datos. El registro de seguimiento de eventos de administración que creó anteriormente en este tutorial no registra estos tipos de eventos. Puede crear un registro de seguimiento independiente para registrar específicamente los eventos de datos de algunos o todos los registros compatibles. Para obtener más información, consulte Eventos de datos.

    nota

    Se aplican cargos adicionales por el registro de eventos de datos. Para obtener más información, consulte Precios de AWS CloudTrail.

  • Registre eventos de CloudTrail Insights en su registro de seguimiento. CloudTrail Insights lo ayuda a identificar y responder a la actividad inusual o anómala asociada a las llamadas a la API de write mediante el análisis continuo de los eventos de administración de CloudTrail. CloudTrail Insights utiliza modelos matemáticos a fin de determinar los niveles normales de actividad de eventos de servicio y de la API para una cuenta. Identifica comportamientos que se encuentran fuera de los patrones normales, genera eventos de Insights y entrega esos eventos a una carpeta /CloudTrail-Insight en el bucket de S3 de destino elegido para el registro de seguimiento. Para obtener más información sobre CloudTrail Insights, consulte Registro de eventos de Insights para registros de seguimiento.

    nota

    Se aplican cargos adicionales por registrar eventos de Insights. Para obtener más información, consulte Precios de AWS CloudTrail.

  • Configure alarmas de CloudWatch Logs para recibir una alerta cuando se produzcan eventos determinados. CloudWatch Logs le permite monitorear y recibir alertas para los eventos específicos capturados por CloudTrail. Por ejemplo, puede monitorear los eventos de administración claves relacionados con la seguridad y la red, como cambios del grupo de seguridad, eventos de error de inicio de sesión en la AWS Management Console o cambios en las políticas de IAM. Para obtener más información, consulte Monitoreo de archivos de registros de CloudTrail con Amazon CloudWatch Logs.

  • Utilice herramientas de análisis para identificar tendencias en los registros de CloudTrail. Aunque los filtros del historial de eventos le ayudan a encontrar eventos o tipos de eventos específicos en su actividad reciente, no proporcionan la capacidad de realizar búsquedas durante períodos de tiempo de actividad más largos. Para realizar análisis más detallados y sofisticados, puede utilizar Amazon Athena. Para obtener más información, consulte Consulta de registros de AWS CloudTrail en la Guía del usuario de Amazon Athena.