Log e monitoramento de aplicações com o AWS CloudTrail - AWS Orientação prescritiva
Uso do CloudTrailCasos de uso do CloudTrailPráticas recomendadas para o CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Log e monitoramento de aplicações com o AWS CloudTrail

O AWS CloudTrail é um Serviço da AWS que ajuda você a habilitar a auditoria operacional e de risco, a governança e a conformidade da sua Conta da AWS. As ações realizadas por um usuário, um perfil ou um Serviço da AWS são registradas como eventos no CloudTrail. Os eventos podem incluir ações realizadas no AWS Management Console, AWS Command Line Interface (AWS CLI) e nos SDKs e APIs da AWS.

Uso do CloudTrail

O CloudTrail é habilitado em sua Conta da AWS quando ela é criada. Quando uma atividade ocorre na sua Conta da AWS, essa atividade é registrada em um evento do CloudTrail. Você pode visualizar facilmente os eventos recentes no console do CloudTrail acessando o Histórico de eventos.

Para obter um registro contínuo das atividade e dos eventos em sua Conta da AWS, crie uma trilha. É possível criar trilhas para uma única Região da AWS ou para todas as regiões. As trilhas registram arquivos de log em cada região, e o CloudTrail pode entregar arquivos de log a um bucket único e consolidado do Amazon Simple Storage Service (Amazon S3).

Você pode configurar várias trilhas de maneiras diferentes para que elas processem e registrem somente os eventos que você especificar. Isso pode ser útil quando você deseja fazer a triagem de eventos que ocorrem em sua Conta da AWS com eventos que ocorrem em sua aplicação.

nota

O CloudTrail tem um recurso de validação que pode ser usado para determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois que o CloudTrail o entregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações. Você pode usar a AWS CLI para validar os arquivos no local em que o CloudTrail os forneceu. Para obter mais informações sobre esse recurso e como habilitá-lo, consulte Validar a integridade do arquivo de log do CloudTrail (documentação do CloudTrail).

Casos de uso do CloudTrail

  • Auxílio para conformidade: usar o CloudTrail pode ajudar você a cumprir as políticas internas e os padrões regulatórios ao fornecer um histórico de eventos em sua Conta da AWS.

  • Análise de segurança: é possível realizar análises de segurança e detectar padrões de comportamento do usuário ingerindo arquivos de log do CloudTrail em soluções de gerenciamento e análise de logs, como CloudWatch Logs, Amazon EventBridge, Amazon Athena, Amazon OpenSearch Service ou outra solução de terceiros.

  • Exfiltração de dados: detecte a exfiltração de dados coletando dados de atividades em objetos do Amazon S3 por meio de eventos de API em nível de objeto registrados no CloudTrail. Depois que os dados da atividade forem coletados, você poderá usar outros Serviços da AWS, como EventBridge eAWS Lambda, para acionar uma resposta automática.

  • Solução de problemas operacionais: é possível solucionar problemas operacionais usando os arquivos de log do CloudTrail. Por exemplo, você pode identificar rapidamente as alterações mais recentes feitas nos recursos em seu ambiente, incluindo criação, modificação e exclusão de recursos da AWS.

Práticas recomendadas para o CloudTrail

  • Ative o CloudTrail em todas as Regiões da AWS.

  • Habilite a validação da integridade dos arquivos de log.

  • Criptografe logs.

  • Ingira arquivos de log do CloudTrail no CloudWatch Logs.

  • Centralize os registros de todos os Contas da AWS e regiões.

  • Aplique políticas de ciclo de vida aos buckets do S3 que contêm arquivos de log.

  • Impeça que os usuários desativem o log no CloudTrail. Aplique a política de controle de serviços (SCP) a seguir no AWS Organizations. Este SCP define uma regra de negação explícita para as ações StopLogging e DeleteTrail em toda a organização.

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}