Administración de operaciones

Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridad

Registre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.

約 7 分で読めます

Descripción general de CloudTrail

CloudTrail es un servicio que registra la actividad de API en su cuenta de AWS. Se registran todas las llamadas a API, incluyendo el lanzamiento de instancias EC2, la creación de buckets S3 y los cambios en políticas IAM. De forma predeterminada, los eventos de administración de los últimos 90 días se pueden consultar gratuitamente, y al crear un trail se almacenan indefinidamente en un bucket S3. Cada evento incluye la entidad IAM que realizó la llamada, la dirección IP de origen, los parámetros de la solicitud y los elementos de respuesta, lo que permite rastrear con precisión quién hizo qué, cuándo y desde dónde. La latencia de entrega de eventos es típicamente de 5 a 15 minutos; el monitoreo en tiempo real requiere integración con EventBridge.

Diseño de trails y CloudTrail Lake

Se recomienda un trail organizacional aplicado a todas las regiones. Los eventos se almacenan en formato JSON en un bucket S3 y se cifran con SSE-KMS. Los trails organizacionales se crean desde la cuenta de administración de AWS Organizations y consolidan los eventos de todas las cuentas miembro en un solo bucket S3. La política del bucket debe permitir solo escrituras del servicio principal de CloudTrail, y el bloqueo de objetos debe estar habilitado para prevenir la manipulación. CloudTrail Lake retiene eventos en un almacén de datos hasta 7 años (hasta 2,555 días con retención extendida) y permite buscar y analizar mediante consultas SQL. A diferencia de Athena, no requiere definiciones de tablas Glue ni diseño de particiones previo - los índices se generan automáticamente durante la ingesta, resultando en respuestas de consulta rápidas. Puede ejecutar consultas como "eventos que crearon usuarios IAM en los últimos 30 días" o "llamadas API desde una dirección IP específica".

Eventos de datos e Insights

Los eventos de datos registran operaciones a nivel de objeto en S3 (GetObject, PutObject), invocaciones de funciones Lambda y operaciones de tablas DynamoDB. Dado que el volumen de eventos es significativamente mayor que los eventos de administración, se habilitan limitando los recursos objetivo. CloudTrail Insights detecta automáticamente patrones anómalos en eventos de administración (aumento repentino de llamadas API, aumento de tasas de error) y resalta actividades inusuales. Por ejemplo, si RunInstances, que normalmente se llama unas 10 veces al día, se invoca repentinamente 1,000 veces, se genera un evento de Insights. La integración con EventBridge permite detectar llamadas API específicas (DeleteBucket, StopLogging) en tiempo real y emitir alertas mediante Lambda. Para aprender CloudTrail desde lo básico hasta lo avanzado, consulte libros en Amazon.

Mejores prácticas de diseño y errores comunes

Coloque el bucket S3 del trail en una cuenta dedicada (cuenta de archivo de logs) para que los administradores de cuentas de producción no puedan eliminar ni manipular los logs. La política del bucket debe permitir solo PutObject y denegar explícitamente las APIs de eliminación. Habilitar la validación de integridad del archivo de log (archivos digest) proporciona detección criptográfica de manipulación post-entrega. Un error común es dejar trails individuales activos en cuentas miembro después de crear un trail organizacional, resultando en doble facturación. Además, ingestar los mismos eventos múltiples veces en un almacén de datos de CloudTrail Lake duplica los costos de almacenamiento, por lo que es importante evitar fuentes de ingesta superpuestas (trail organizacional vs. trails por cuenta). Los fallos de entrega a S3 ocurren silenciosamente, por lo que monitorear métricas de CloudWatch (como InsufficientS3BucketPolicy) y configurar la detección temprana de brechas en los logs es esencial.

CloudTrail Lake vs. Athena

Existen dos enfoques para analizar los logs de CloudTrail almacenados en S3: CloudTrail Lake y Athena + S3. CloudTrail Lake es fácil de configurar y permite consultar datos indexados inmediatamente, con un costo de aproximadamente $0.005/GB escaneado. Athena escanea los logs sin procesar en S3 directamente, con un costo de aproximadamente $5/TB escaneado (reducible con conversión a Parquet). Para consultas de investigación pequeñas y frecuentes, CloudTrail Lake es más económico; para análisis cruzado de grandes volúmenes de logs históricos o aplicar estrategias de particionamiento personalizadas, Athena es más flexible. Los dos no son mutuamente excluyentes - una configuración práctica usa Lake para investigaciones recientes y Athena para análisis de tendencias a largo plazo. Los resultados de consultas de Lake se pueden guardar como dashboards, lo cual es conveniente para investigaciones rutinarias recurrentes.

Optimización de costos de CloudTrail

El primer trail de eventos de administración es gratuito, y los trails adicionales cuestan aproximadamente 2 dólares por cada 100,000 eventos. Los eventos de datos cuestan aproximadamente 0.10 dólares por cada 100,000 eventos, y en entornos con muchas operaciones de lectura en S3, los costos pueden aumentar rápidamente. Las consultas de CloudTrail Lake se cobran por la cantidad de datos escaneados, aproximadamente 0.005 dólares por GB. Gestione los costos limitando los eventos de datos a buckets sensibles y funciones Lambda importantes, evitando la aplicación uniforme a todos los recursos. Administre el período de retención de los logs almacenados en S3 con reglas de ciclo de vida y migre los logs antiguos a Glacier para reducir los costos de almacenamiento. Los cargos de almacenamiento del almacén de datos de CloudTrail Lake se acumulan a medida que crece el período de retención, así que seleccione un período apropiado (1 año, 3 años o 7 años) basándose en sus requisitos de cumplimiento.

Resumen

CloudTrail es un servicio de registro de auditoría que registra toda la actividad de API en su cuenta de AWS. Ejecute análisis avanzados con consultas SQL en CloudTrail Lake y detecte automáticamente patrones anómalos de llamadas API con Insights. Gestione centralmente los logs de todas las cuentas con trails organizacionales y logre la detección en tiempo real de eventos de seguridad mediante la integración con EventBridge.

Servicios relacionados

AWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSAmazon S3Servicio de almacenamiento de objetos escalableAmazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automático

Artículos relacionados

Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.AWS CloudTrailServicio de auditoría y seguridad que registra automáticamente las llamadas API dentro de la cuenta AWS, permitiendo rastrear quién hizo qué y cuándoConstrucción de un data lake de seguridad con Amazon Security Lake - Análisis integrado en formato OCSFExplicamos la agregación automática de CloudTrail, VPC Flow Logs y logs de Route 53 con Security Lake, la normalización OCSF y la integración con suscriptores.