Поиск по сайту:

Как использовать AWS CloudTrail для мониторинга активности учетной записи

CloudTrail — это инструмент аудита, мониторинга соответствия и управления, предназначенный для отслеживания истории вашей учетной записи AWS и ведения подробных журналов всех событий. Вы можете использовать эту историю событий, чтобы упростить анализ безопасности и обнаружить необычную активность в вашей учетной записи.

Использование CloudTrail

Вы можете использовать CloudTrail для бесплатного мониторинга за последние 90 дней. Однако, если вы хотите вести расширенные журналы, вам необходимо заплатить за соответствующее хранилище S3, а также небольшую плату за 100 000 зарегистрированных событий. Тем не менее, это относительно дешево, и начать с него не помешает.

CloudTrail автоматически регистрирует последние 90 дней, поэтому вы сможете перейти в консоль CloudTrail и просмотреть последние журналы в своей учетной записи. На главном экране вы увидите самые последние события:

В разделе «История событий» на боковой панели вы сможете просмотреть полный список событий в хронологическом порядке.

Это много данных, поэтому вы, вероятно, захотите отфильтровать все, что ищете. Если вы проводите аудит учетных записей определенных сотрудников, вы можете фильтровать по имени пользователя или ключу доступа к AWS или другим факторам, таким как исходный IP-адрес и типы ресурсов. Вы также можете сосредоточиться на определенных временных диапазонах.

Если вы нажмете на событие, вы сможете просмотреть все данные, собранные для этого события. Некоторые из них просты, например «ConsoleLogin», который отслеживает время входа в систему для разных пользователей. Другие являются более конкретными и отображают более подробную информацию о базовом действии API.

Вы можете просмотреть полные данные JSON для события с помощью кнопки «Просмотреть событие».

Создание тропы

Если вы хотите хранить записи более 90 дней или хранить расширенные журналы для событий данных S3 и Lambda, вы можете создать Trail. Имейте в виду, что с вас будет взиматься плата за хранение данных журнала S3, а также плата за 100 000 зарегистрированных событий.

В разделе «Тропы» на боковой панели создайте новую тропу. У вас есть возможность использовать этот след для каждого региона, а также применить его к каждой учетной записи в организации AWS. Вы также можете выбрать, какие типы событий следует регистрировать, а также включить CloudTrail Insights для этого следа.

Следующий раздел — «События данных», который можно использовать для ведения расширенных журналов корзин S3 или функций Lambda. Для S3 CloudTrail будет регистрировать операции на уровне корзины, такие как PutObject. Для Lambda CloudTrail регистрирует любой вызов данной функции Lambda. Вы можете включить это для всех сегментов или указать один с помощью ARN.

Наконец, вам понадобится новая или существующая корзина для хранения событий. Вы можете использовать это, чтобы отслеживать, сколько данных использует ваш след.

События, зарегистрированные следом, останутся в истории событий на неопределенный срок. С отслеживанием вы можете активировать CloudTrail Insights на вкладке «Insights» на боковой панели:

Это займет до 36 часов, чтобы проанализировать ваш след, и как только это будет сделано, вы сможете просматривать результаты.

При желании вы также можете настроить CloudTrail для отправки событий в журналы CloudWatch или использовать его с Elasticsearch для более подробного мониторинга.