Registro em log e eventos

AWS CloudTrail: AWS CloudTrail é um serviço que permite governança, conformidade, auditoria operacional e auditoria de riscos da conta da AWS. Com o CloudTrail, é possível registrar em log, monitorar continuamente e reter a atividade da conta relacionada a ações em toda a infraestrutura da AWS. O CloudTrail fornece o histórico de eventos da atividade da conta da AWS, incluindo ações realizadas por meio do AWS Management Console, SDKs da AWS, ferramentas da linha de comando e outros serviços da AWS. Esse histórico de eventos simplifica a análise de segurança, o rastreamento de alterações de recursos e a solução de problemas.

Os arquivos de log validados são valiosíssimos para segurança e investigações forenses. Para determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de fornecido pelo CloudTrail, use a validação de integridade do arquivo de log do CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detecção.

Por padrão, os arquivos de log entregues pelo CloudTrail ao seu bucket são criptografados pela criptografia do lado do servidor da Amazon. Você também pode usar as chaves gerenciadas AWS Key Management Service (AWS KMS) (SSE-KMS) para seus arquivos de log do CloudTrail.

Eventos do Amazon CloudWatch: o Amazon CloudWatch Events oferece uma transmissão quase em tempo real de eventos do sistema que descrevem alterações nos recursos da AWS ou quando as chamadas de API são publicadas pelo AWS CloudTrail. Com regras simples que você pode configurar rapidamente, é possível estabelecer correspondência com eventos e roteá-los para uma ou mais transmissões ou funções de destino. O CloudWatch Events fica ciente das alterações operacionais à medida que elas ocorrem. O CloudWatch Events pode responder a essas alterações operacionais e executar a ação corretiva conforme necessário, enviando mensagens para responder ao ambiente, ativando funções, fazendo alterações e capturando informações de estado. Alguns serviços de segurança, como o Amazon GuardDuty, produzem sua saída na forma do CloudWatch Events.

AWS Config: AWS Config é um serviço que possibilita avaliar e auditar as configurações de seus recursos da AWS. O Config monitora e grava continuamente registros das configurações de recursos da AWS e permite automatizar a avaliação das configurações registradas com base nas configurações desejadas. Com o Config, você pode revisar as alterações nas configurações e nos relacionamentos entre os recursos da AWS, manual ou automaticamente. Você pode revisar históricos detalhados da configuração dos recursos e determinar sua conformidade geral com as configurações especificadas nas diretrizes internas. Isso permite simplificar a auditoria de conformidade, a análise de segurança, o gerenciamento de alterações e a solução de problemas operacionais.

Logs de acesso do Amazon S3: se você armazenar informações confidenciais em um bucket do Amazon S3, poderá habilitar os logs de acesso do S3 para registrar cada upload, download e modificação desses dados. Esse log é separado e adicionado aos logs do CloudTrail que registram alterações no próprio bucket (como alteração de políticas de acesso e políticas de ciclo de vida).

Amazon CloudWatch Logs: você pode usar o Amazon CloudWatch Logs para monitorar, armazenar e acessar seus arquivos de log (como seu sistema operacional, aplicação e arquivos de log personalizados) de suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) usando o agente do CloudWatch Logs. Além disso, o Amazon CloudWatch Logs pode capturar logs do AWS CloudTrail, de consultas de DNS do Amazon Route 53, de logs de fluxo da VPC, de funções do Lambda e de outras fontes. Depois, é possível recuperar os dados de log associados do CloudWatch Logs.

Amazon VPC Flow Logs: logs de fluxo da VPC permitem capturar informações sobre o tráfego IP que entra e sai de interfaces de rede em sua VPC. Depois que você tiver criado um log de fluxo, poderá visualizar e recuperar esses dados no Amazon CloudWatch Logs. Os logs de fluxo da VPC podem ajudar em diversas tarefas. Por exemplo, você pode usar logs de fluxo para solucionar o problema pelo qual o tráfego específico não está atingindo uma instância, o que pode ajudar a diagnosticar regras de grupo de segurança excessivamente restritivas. Além disso, é possível usar os logs de fluxo como ferramenta de segurança para monitorar o tráfego para a sua instância.

Logs do AWS WAF: o AWS WAF agora é compatível com o registro em log completo de todas as solicitações da web que são inspecionadas pelo serviço. Você pode armazenar esses logs no Amazon S3 para fins de conformidade e auditoria, bem como usá-los para depuração e análises forenses adicionais. Os logs ajudam você a compreender por que algumas regras são acionadas e algumas solicitações web são bloqueadas. Você também pode integrar os logs com seu SIEM e ferramentas de análise de log.

Outros registros da AWS: com o ritmo de inovação, continuamos a implantar novos recursos para os clientes praticamente todos os dias, o que significa que existem dezenas de serviços da AWS que fornecem recursos de registro em log e monitoramento. Para obter informações sobre os recursos disponíveis para cada serviço da AWS, consulte a documentação da AWS para o serviço em questão.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Apêndice A: Definições de capacidade da nuvem

Visibilidade e alertas