安全

CloudTrail 看到一切 - API 调用记录机制与取证调查实践

详细介绍 CloudTrail 记录 AWS API 调用的机制、管理事件与数据事件的区别、CloudTrail Lake 的 SQL 分析以及安全事件发生时的取证调查方法。

約 1 分で読めます

CloudTrail 记录了什么

CloudTrail 是记录 AWS 账户内执行的几乎所有 API 调用的服务。EC2 实例启动、S3 存储桶创建、IAM 策略变更、Lambda 函数部署等,来自 AWS 管理控制台、CLI、SDK 和其他 AWS 服务的 API 调用都会被记录。每个事件包含谁(userIdentity)、何时(eventTime)、做了什么(eventName)、对什么资源(resources)、从哪里(sourceIPAddress)等信息,为安全调查提供完整的审计线索。

CloudTrail 的事件传递机制

CloudTrail 的事件通常在 API 调用执行后 5-15 分钟内传递。需要注意这不是实时的。事件的传递目标有 3 个。第一是 CloudTrail 控制台(事件历史),可免费查看过去 90 天的管理事件,支持过滤和搜索。第二是 S3 存储桶,创建跟踪(Trail)后事件以 JSON 格式保存,可无限期保留。第三是 CloudTrail Lake,提供 SQL 查询接口,无需 Athena 即可直接分析事件数据。

取证调查实践 - 追踪未授权访问

安全事件发生时,CloudTrail 是最重要的证据来源。例如,收到「发现未知 EC2 实例正在运行」的告警时的调查步骤如下。首先在 CloudTrail 中搜索 RunInstances 事件,确定谁在何时启动了实例。从 userIdentity 字段获取 IAM 用户名、角色名和访问密钥 ID。然后追踪该主体的其他活动,确认是否存在横向移动或数据外泄。CloudTrail Lake 的 SQL 查询可以高效地关联分析多个事件。

CloudTrail 不记录的内容

CloudTrail 虽然强大,但并非记录一切。了解不记录的内容对安全设计很重要。第一,OS 级别的操作。通过 SSH 登录 EC2 实例操作文件不会记录在 CloudTrail 中。OS 级别的审计需要 CloudWatch Agent 或 AWS Systems Manager Session Manager。第二,数据平面的详细内容。S3 的 GetObject 事件记录了谁访问了哪个对象,但不记录对象的内容。第三,某些 AWS 服务的内部操作不会生成 CloudTrail 事件。

CloudTrail 的成本优化

CloudTrail 管理事件的第一个跟踪免费。第二个及以后的跟踪每 10 万个事件收费 2.00 USD。数据事件每 10 万个事件收费 0.10 USD。在大规模环境中,S3 的数据事件可能产生大量数据,月费达数千美元。成本优化方法包括:缩小数据事件的目标范围(仅对高敏感性存储桶和重要 Lambda 函数启用)、使用 S3 生命周期策略将旧日志转移到 Glacier、以及利用 CloudTrail Lake 替代 Athena 查询以简化架构。

相关服务

AWS CloudTrail记录和监控 AWS 账户 API 活动的服务Amazon Detective自动分析安全检测结果并调查根本原因的服务AWS Security Hub集中管理 AWS 安全状态和合规性的服务

相关文章

通过 AWS CloudTrail 实现 API 审计日志 - 跟踪设计与安全分析记录所有 API 活动,通过 CloudTrail Lake 的 SQL 查询执行高级分析。介绍 Insights 自动检测异常模式以及与 EventBridge 联动的实时检测。审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。从 AWS 故障报告 (COE) 中学习分布式系统的教训 - 历次大规模故障如何改变了设计原则从 AWS 公开的 Correction of Errors (COE) 和故障报告中,解析 S3 故障、us-east-1 DNS 故障、Kinesis 故障等历次大规模事件的根本原因,以及它们如何改变了 AWS 的设计原则。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

通过 AWS CloudTrail 实现 API 审计日志 - 跟踪设计与安全分析记录所有 API 活动,通过 CloudTrail Lake 的 SQL 查询执行高级分析。介绍 Insights 自动检测异常模式以及与 EventBridge 联动的实时检测。AWS CloudTrail自动记录 AWS 账户内的 API 调用,追踪谁在何时做了什么的审计与安全服务审计日志的设计与运维 - 使用 CloudTrail 完整记录 API 活动详解使用 AWS CloudTrail 设计审计日志的方法,介绍 API 活动记录、S3 长期保存以及与 Config 联动实现合规应对。AWS 事件响应工具链 - 从 CloudTrail 到 Security Hub 的集成调查平台解析 CloudTrail、Config、Detective、Security Hub 组合而成的 AWS 事件响应工具链,并与 Azure Sentinel 的调查方法进行比较。