DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS CloudTrail

Anotações sobre o AWS CloudTrail para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description

Definição do fornecedor

O AWS CloudTrail monitora e registra a atividade da conta por toda a infraestrutura da AWS, oferecendo controle sobre o armazenamento, análise e ações de remediação. Rastreie atividades dos usuários e uso de APIs.

Anotações gerais

  • Auditoria de API (Logs API call details)
  • Salva log´s em Bucket S3 ou Cloudwatch Logs
  • No Bucket é configurado a retenção
  • É habilitado por default (por 7 dias)
  • Notificações por SNS
  • Pode agregar Regiões e Contas
  • Logs a cada 5 minutos (pode chegar a 15 minutos)
  • Use SSE-S3 ou SSE-KMS p/ criptografar logs no Bucket
  • SSE-KMS Encryption é habilitado por padrão, mas pode ser desativado
  • Por padrão, os arquivos de log do CloudTrail são criptografados usando SSE-S3 e colocados no seu bucket do S3
  • Nem todos os eventos são logados 
  • Eventos de até 90 dias, após esse tempo pode jogar para S3 e ser consultado pelo AWS Athena
  • Na conta root, pode-se habilitar em todas as contas da organização no AWS Organizations
  • CloudWatch Logs é opcional, vem desabilitado por padrão
  • Opção de escolher entre a atividade da API (Read e/ou Write)
  • Não precisa do Trail criado para analisar os logs
  • You cannot delete events from event history
  • Pode configurar multiplos Trails em Buckets separados
    • Ao configurar uma trilha para registrar eventos de gerenciamento, você pode especificar read-only, write-only ou ambos.

O que é "logado"

  • Metadata
  • Identidade
  • Time
  • Source IP
  • Parameters
  • Elementos do serviço

Validar a integridade dos arquivos de log do CloudTrail

Link documentação oficial

  • Para determinar se um arquivo de log foi modificado, excluído permaneceu ou inalterado depois que o CloudTrail o forneceu, você pode usar a validação de integridade dos arquivos de log do CloudTrail. 
  • Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais.
  • Vem habilitado por padrão, mas pode ser desativado.

Comandos

  • aws cloudtrail describe-trails
  • aws cloudtrail validate-logs --trail-arn [ARN-HERE] --start-time 20190101T19:00:00Z

Habilitar a validação da integridade dos arquivos de log para o CloudTrail

Link documentação oficial


Eventos salvos por 90 dias - Event History

Link documentação oficial

  • Até 90 dias (Event History)
  • Após esse período pode enviar para S3 e depois Athena

Prevenir que os logs sejam deletados

  • Restrição de acesso c/ IAM e Bucket Policies
  • Configuração S3 MFA Delete

Serviços não suportados pelo CloudTrail

Link da documentação oficial

  • AWS Import/Export
  • AWS Deep Learning AMI
  • Amazon WorkSpaces Application Manager
  • AWS Artifact
  • AWS DeepComposer
  • AWS DeepLens
  • AWS DeepRacer
  • AWS Snowmobile
  • Amazon Sumerian

CloudTrails Events Types

Link documentação oficial

Management Events
Link documentação oficial

  • Capture as operações de gerenciamento realizadas em seus recursos da AWS.
  • Separa Read Events de Write Events
  • Habilitado por padrão

Data Events
Link documentação oficial

  • Registre as operações de recursos executadas em um recurso ou dentro dele.
  • AWS Lambda

Insight Events
Link documentação oficial

  • Identifique atividades incomuns, erros ou comportamento do usuário em sua conta.
  • Envia para S3
  • Retenção é no S3
  • Entrega a cada 5 min c/ 15 min de delay
  • 2 tipos- API Call rate// API error rate

Criar um Trail para sua organização no console

Documentação oficial

  • Pode criar um Trail para toda a Organizations pela Console
  • *Enable for all accounts in my organization. *

Top comments (0)