Registro y monitoreo de aplicaciones medianteAWS CloudTrail - AWSGuía prescriptiva
Uso CloudTrailCasos de uso para CloudTrailPrácticas ticas ticas ticas ticas tica CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro y monitoreo de aplicaciones medianteAWS CloudTrail

AWS CloudTrailes unServicio de AWS que lo ayuda a habilitar la gobernanza, la conformidad y las auditorías de operaciones y riesgos de suCuenta de AWS. Las acciones llevadas a cabo por un usuario, rol o servicio deServicio de AWS se registran como eventos en CloudTrail. Los eventos pueden incluir las acciones llevadas a cabo en laAWS Management Console, laAWS Command Line Interface (AWS CLI),AWS los SDK y las API y los SDK de.

Uso CloudTrail

CloudTrail está activado en tuCuenta de AWS dispositivo cuando lo creas. Cuando se produce actividad en suCuenta de AWS, esta se registra en un CloudTrail evento. Puede ver fácilmente los eventos recientes en la CloudTrail consola, solo tiene que dirigirse al Historial de eventos.

Para mantener un registro continuo de la actividad y de los eventos de suCuenta de AWS, cree un registro de seguimiento. Puede crear rutas para unaRegión de AWS o para todas las regiones. Los registros registran los archivos de registro de cada región y CloudTrail pueden enviar los archivos de registro a un único bucket de Amazon Simple Storage Service (Amazon S3).

Puede configurar varios registros de seguimiento de forma distinta, de modo que procesen y registren únicamente los eventos que especifique. Esto puede resultar útil cuando desee clasificar los eventos que se producen en su aplicaciónCuenta de AWS con los eventos que se producen en su aplicación.

nota

CloudTrail tiene una característica de validación que puede utilizar para determinar si un archivo de registros se ha modificado, eliminado o continúa igual después CloudTrail del envío. Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. De ese modo, resulta imposible desde el punto de vista informático modificar, eliminar o falsificar archivos de CloudTrail registro sin que se detecte. Puede utilizar laAWS CLI para validar los archivos en la ubicación donde CloudTrail los envió. Para obtener más información sobre esta función y sobre cómo habilitarla, consulte Validación de la integridad del archivo de CloudTrail registro (CloudTrail documentación).

Casos de uso para CloudTrail

  • Ayuda para el cumplimiento: su uso CloudTrail puede ayudarlo a cumplir con las políticas internas y las normas reglamentarias al proporcionar un historial de los eventos en suCuenta de AWS.

  • Análisis de seguridad: puede realizar un análisis de seguridad y detectar los patrones de comportamiento de los usuarios mediante la incorporación de archivos de registro en soluciones de administración y análisis de CloudWatch registros, como Logs EventBridge, Amazon, Amazon Athena, Amazon OpenSearch Service u otra solución de terceros. CloudTrail

  • Exfiltración de datos: puede detectar la exfiltración de datos recopilando datos de actividad en los objetos de Amazon S3 mediante eventos de API a nivel de objeto registrados en CloudTrail. Una vez recopilados los datos de actividad, puede utilizar otrosServicios de AWS, como EventBridge yAWS Lambda, para activar una respuesta automática.

  • Solución de problemas operativos: puede solucionar problemas operativos mediante los archivos de CloudTrail registro. Por ejemplo, puede identificar rápidamente los cambios más recientes realizados en los recursos de su entorno, incluida la creación, modificación y eliminación deAWS recursos.

Prácticas ticas ticas ticas ticas tica CloudTrail

  • CloudTrail Habilitar todoRegiones de AWS.

  • Habilitar la integridad de los archivos de registros.

  • Cifre los registros.

  • Introduzca los archivos de CloudTrail registro en CloudWatch los registros.

  • Centralice los registros de todasCuentas de AWS las regiones.

  • Aplique políticas de ciclo de vida a los buckets de S3 que contienen archivos de registro.

  • Impedir que los usuarios puedan desactivar el inicio de sesión CloudTrail. Aplique la siguiente política de control de servicios (SCP) enAWS Organizations. Este SCP establece una regla de denegación explícita para lasDeleteTrail accionesStopLogging y en toda la organización.

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}