Seguridad

CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forense

Explicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.

約 7 分で読めます

¿Qué registra CloudTrail?

CloudTrail es un servicio que registra prácticamente todas las llamadas API ejecutadas dentro de una cuenta de AWS. Se registran todas las llamadas API desde la consola de administración de AWS, CLI, SDK y otros servicios de AWS, incluyendo el lanzamiento de instancias EC2, la creación de buckets S3, cambios en políticas IAM y el despliegue de funciones Lambda. Cada evento registra quién (userIdentity), cuándo (eventTime), desde dónde (sourceIPAddress), qué (eventName), sobre qué recurso (resources) y cuál fue el resultado (errorCode). Los eventos de CloudTrail se dividen en 2 tipos. Los eventos de administración (Management Events) son operaciones del plano de control como la creación, modificación y eliminación de recursos. Se registran de forma predeterminada y los últimos 90 días se pueden consultar gratuitamente desde la consola. Los eventos de datos (Data Events) son operaciones del plano de datos como lectura/escritura de objetos S3, invocaciones de funciones Lambda y operaciones de ítems en DynamoDB. Los eventos de datos generan un gran volumen, por lo que no se registran de forma predeterminada y deben habilitarse explícitamente.

Mecanismo de entrega de eventos de CloudTrail

Los eventos de CloudTrail se entregan normalmente dentro de 5 a 15 minutos después de ejecutarse la llamada API. Es importante tener en cuenta que no es en tiempo real. Hay 3 destinos de entrega de eventos. Primero, la consola de CloudTrail (historial de eventos). Los eventos de administración de los últimos 90 días se pueden consultar gratuitamente con filtrado y búsqueda. Segundo, un bucket S3. Al crear un trail, los eventos se entregan en formato JSON a un bucket S3. Los logs almacenados en S3 se pueden analizar ejecutando consultas SQL con Athena. Tercero, CloudTrail Lake. Introducido en 2022, CloudTrail Lake es un servicio administrado que almacena eventos en un almacén de datos dedicado y permite consultas SQL directas. Comparado con la combinación S3 + Athena, la configuración es más sencilla y el rendimiento de las consultas es más rápido. Los logs de CloudTrail cuentan con funcionalidad de detección de manipulación. Al habilitar la validación de integridad de archivos de log (Log File Integrity Validation), se registran los valores hash de cada archivo de log en archivos digest, permitiendo verificar criptográficamente que los logs no han sido manipulados.

Práctica de investigación forense - Rastreo de accesos no autorizados

Cuando ocurre un incidente de seguridad, CloudTrail es la fuente de evidencia más importante. Por ejemplo, mostramos el procedimiento de investigación al recibir una alerta de que "se han lanzado instancias EC2 desconocidas". Primero, busque eventos RunInstances en CloudTrail para identificar quién y cuándo lanzó la instancia. Del campo userIdentity se obtiene el nombre de usuario IAM, nombre del rol e ID de clave de acceso. Luego, busque en CloudTrail con ese ID de clave de acceso para identificar otras llamadas API realizadas con las mismas credenciales. Accesos a buckets S3, cambios en políticas IAM, modificaciones de grupos de seguridad: emerge el panorama completo de las acciones del atacante. Del campo sourceIPAddress se puede identificar la dirección IP del atacante. Sin embargo, si se usa VPN o Tor, la dirección IP por sí sola no permite identificar al atacante. El campo userAgent contiene información sobre la herramienta utilizada (AWS CLI, SDK, consola, etc.), proporcionando pistas para estimar el método de ataque.

Lo que CloudTrail no registra

CloudTrail es poderoso, pero no registra absolutamente todo. Conocer lo que no se registra es importante para el diseño de seguridad. Primero, las operaciones a nivel de SO. Si se conecta por SSH a una instancia EC2 y manipula archivos, no se registra en CloudTrail. Para auditoría a nivel de SO se necesita CloudWatch Agent o los logs de sesión de AWS Systems Manager Session Manager. Segundo, las operaciones de objetos S3 cuando los eventos de datos no están habilitados. Si se descargan archivos de un bucket S3 pero los eventos de datos están deshabilitados, no se registra. Asegúrese de habilitar los eventos de datos para buckets que contienen datos sensibles. Tercero, algunas API de solo lectura. Las API de lectura como DescribeInstances se registran como eventos de administración, pero al ser llamadas en gran volumen, su visualización puede omitirse en la consola de CloudTrail. En los logs entregados a S3 se registran completamente. Cuarto, la comunicación interna entre servicios de AWS. Cuando un servicio de AWS llama internamente a otro servicio, parte de esas llamadas no se registra en CloudTrail.

Optimización de costos de CloudTrail

Los eventos de administración de CloudTrail son gratuitos para el primer trail. A partir del segundo trail, se cobran 2.00 USD por cada 100,000 eventos. Los eventos de datos cuestan 0.10 USD por cada 100,000 eventos. En entornos a gran escala, los eventos de datos de S3 pueden generar volúmenes enormes, resultando en costos de miles de dólares mensuales. Hay varias formas de optimizar costos. Primero, limitar el alcance de los eventos de datos. En lugar de registrar eventos de datos de todos los buckets S3, limítelos solo a buckets que contienen datos sensibles. Segundo, configurar apropiadamente el período de retención de CloudTrail Lake. Los 7 años predeterminados son excesivos para muchos casos. Reducir a 1 o 3 años según los requisitos de cumplimiento reduce los costos de almacenamiento. Tercero, gestionar el período de retención de los logs entregados a S3 con reglas de ciclo de vida de S3. Configurar reglas para migrar a Glacier después de 90 días y eliminar después de 1 año reduce significativamente los costos de almacenamiento. Para aprender sistemáticamente sobre el diseño y operación de logs de auditoría, consulte libros especializados en Amazon.

Servicios relacionados

AWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSAmazon DetectiveUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticas

Artículos relacionados

Registro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS CloudTrailServicio de auditoría y seguridad que registra automáticamente las llamadas API dentro de la cuenta AWS, permitiendo rastrear quién hizo qué y cuándoRegistro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Cadena de herramientas de respuesta a incidentes de AWS - Plataforma de investigación integrada desde CloudTrail hasta Security HubExplicamos la cadena de herramientas de respuesta a incidentes de AWS que combina CloudTrail, Config, Detective y Security Hub, comparando las diferencias en el enfoque de investigación con Azure Sentinel.