運用管理

AWS CloudTrail

Servicio de auditoría y seguridad que registra automáticamente las llamadas API dentro de la cuenta AWS, permitiendo rastrear quién hizo qué y cuándo

Unos 3 min de lectura

Descripción general

AWS CloudTrail es un servicio que registra como eventos toda la actividad de API que ocurre dentro de una cuenta AWS. Registra todas las operaciones, incluyendo acciones en la consola de administración, comandos CLI, llamadas vía SDK y llamadas internas de otros servicios AWS. Por defecto permite consultar los últimos 90 días de eventos de gestión de forma gratuita, y soporta almacenamiento a largo plazo en buckets S3 y análisis avanzado con CloudTrail Lake mediante consultas SQL.

3 tipos de eventos y diseño de costos de registro

CloudTrail clasifica los eventos en tres tipos: eventos de gestión (operaciones del plano de control como crear/eliminar/modificar recursos), eventos de datos (operaciones del plano de datos como GetObject de S3 o Invoke de Lambda) y eventos de Insights (detección automática de patrones anómalos de actividad). Los eventos de gestión se registran gratuitamente por defecto (últimos 90 días consultables), pero los eventos de datos generan un volumen masivo y se cobran por evento registrado. Por ejemplo, un bucket S3 con alto tráfico puede generar millones de eventos de datos diarios, resultando en costos significativos. La estrategia recomendada es habilitar eventos de datos solo para recursos críticos (buckets con datos sensibles, funciones Lambda de producción) y usar filtros de eventos para excluir operaciones de solo lectura de bajo riesgo cuando sea apropiado.

Investigación basada en SQL con CloudTrail Lake

CloudTrail Lake es un data lake administrado que permite ejecutar consultas SQL sobre eventos de CloudTrail sin necesidad de configurar Athena o exportar a S3. Los eventos se almacenan en un Event Data Store con retención configurable (hasta 7 años), y se pueden consultar con SQL estándar para investigaciones de seguridad. Por ejemplo, se puede consultar "todas las acciones de un usuario específico en las últimas 24 horas" o "todos los cambios en grupos de seguridad en la última semana". La integración con Organizations permite crear un Event Data Store organizacional que agrega eventos de todas las cuentas miembro. Libros sobre seguridad AWS (Amazon) permiten aprender sobre auditoría y monitoreo de seguridad en la nube.

Detección en tiempo real con integración de EventBridge

La integración de CloudTrail con EventBridge permite detectar y responder a actividades sospechosas en tiempo real. Se pueden crear reglas de EventBridge que se activan ante eventos específicos de CloudTrail (por ejemplo, creación de usuarios IAM, cambios en políticas de seguridad, acceso desde IPs desconocidas) y ejecutar acciones automáticas como notificaciones SNS, ejecución de Lambda para remediación o creación de incidentes en Security Hub. Esto transforma CloudTrail de un registro pasivo a un sistema de detección activo. La combinación con GuardDuty proporciona detección de amenazas basada en machine learning sobre los mismos datos de CloudTrail, identificando patrones como escalación de privilegios, exfiltración de datos o uso de credenciales comprometidas. Para compliance, la integridad de los archivos de log se puede verificar mediante la validación de digest files, asegurando que los registros no han sido alterados.

共有するXB!

Términos relacionados

AWS IAMAmazon GuardDutyAWS ConfigAmazon CloudWatch

Servicios relacionados

Amazon GuardDutyAWS ConfigAmazon EventBridge

Artículos relacionados

Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.Gestión de la postura de seguridad - Plataforma integrada de monitoreo de seguridad con AWS Security HubExplicamos el monitoreo integrado de seguridad con AWS Security Hub y la automatización de la detección de amenazas mediante la integración con GuardDuty. Presentamos la visualización del estado de cumplimiento de las mejores prácticas de seguridad y la gobernanza de seguridad en entornos multi-cuenta.Integración de datos SaaS con Amazon AppFlow - Integración con Salesforce, Slack y Google AnalyticsSincroniza datos de Salesforce y Slack a S3 y Redshift sin código. Presenta triggers basados en eventos, enmascaramiento de PII y transferencia segura mediante PrivateLink.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.

Términos y artículos similares

CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.AWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWSRegistro de auditoría de API con AWS CloudTrail - Diseño de trails y análisis de seguridadRegistre toda la actividad de API y ejecute análisis avanzados con consultas SQL en CloudTrail Lake. Presentamos la detección automática de patrones anómalos con Insights y la detección en tiempo real mediante integración con EventBridge.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Arquitectura dirigida por eventos - Diseño de sistemas desacoplados con Amazon EventBridgeExplicamos cómo construir una arquitectura dirigida por eventos utilizando Amazon EventBridge.