Überspringen zum Hauptinhalt

AWS CloudTrail

Funktionen von AWS CloudTrail

Themen der Seite

Übersicht

Alles öffnen

AWS CloudTrail ermöglicht Auditing, Sicherheitsüberwachung und die Behebung von Fehlern bei betrieblichen Abläufen. CloudTrail erfasst Benutzeraktivitäten und API-Aufrufe für AWS-Services als Ereignisse. CloudTrail-Ereignisse helfen Ihnen bei der Beantwortung der Frage, wer was wo und wann getan hat.

CloudTrail zeichnet vier Kategorien von Ereignissen auf:

  • Verwaltungsereignisse, die Aktionen auf der Steuerebene für Ressourcen erfassen – beispielsweise das Erstellen oder Löschen von Amazon Simple Storage Service (S3)-Buckets.
  • Datenereignisse, die Aktionen auf der Datenebene innerhalb einer Ressource erfassen – beispielsweise das Lesen oder Schreiben eines Amazon-S3-Objekts.
  • Netzwerkaktivitätsereignisse, die mit VPC-Endpunkten durchgeführte Aktionen von einer privaten VPC zum AWS-Service erfassen, einschließlich AWS-API-Aufrufen, denen der Zugriff verweigert wurde.
  • Insights-Ereignisse, die AWS-Benutzern helfen, ungewöhnliche Aktivitäten im Zusammenhang mit API-Aufrufen und API-Fehlerraten zu erkennen und darauf zu reagieren, indem sie die CloudTrail-Verwaltungsereignisse kontinuierlich analysieren. 

Ereignisverlauf in AWS CloudTrail

Alles öffnen

Der Ereignisverlauf bietet eine anzeigbare, durchsuchbare, herunterladbare und unveränderliche Erfassung der Verwaltungsereignisse der letzten 90 Tage in einer AWS-Region. Für die Anzeige des Ereignisverlaufs fallen keine CloudTrail-Gebühren an.

Der CloudTrail-Ereignisverlauf ist für alle AWS-Konten aktiviert und erfasst Verwaltungsereignisse in allen AWS-Services ganz ohne manuelle Einrichtung. Mit dem kostenlosen AWS-Kontingent können Sie den aktuellen 90-Tage-Verlauf der Verwaltungsereignisse Ihres Kontos kostenlos über die CloudTrail-Konsole oder mithilfe der CloudTrail-API zum Nachschlagen von Ereignissen anzeigen, durchsuchen und herunterladen. Weitere Informationen finden Sie unter Anzeigen von Ereignissen mit CloudTrail-Ereignisverlauf.

Trails in AWS CloudTrail

Alles öffnen

Trails erfassen eine Aufzeichnung der AWS-Kontoaktivitäten und liefern und speichern diese Ereignisse in Amazon S3 (mit optionaler Übermittlung an Amazon CloudWatch Logs und an Amazon EventBridge). Diese Ereignisse können in Ihre Sicherheitsüberwachungslösungen eingespeist werden. Sie können Ihre eigenen Drittanbieterlösungen oder Lösungen wie Amazon Athena zum Durchsuchen und Analysieren von Protokollen verwenden, die von CloudTrail erfasst wurden. Sie können Trails für ein einzelnes AWS-Konto oder für mehrere AWS-Konten mithilfe von AWS Organizations erstellen.

Sie können Ihre CloudTrail-Ereignisse an S3 und optional an CloudWatch Logs übermitteln, indem Sie Pfade erstellen. Auf diese Weise erhalten Sie die vollständigen Ereignisdetails und können Ereignisse nach Belieben exportieren und speichern. Weitere Informationen finden Sie unter Erstellen eines Trails für Ihr AWS-Konto.

Sie können die Integrität Ihrer in Ihrem S3-Bucket gespeicherten CloudTrail-Protokolldateien prüfen und erkennen, ob die Protokolldateien unverändert sind oder ob sie verändert oder gelöscht wurden, seit CloudTrail sie an Ihren S3-Bucket übermittelt hat. Sie können die Integritätsprüfung für Protokolldateien in Ihren IT-Sicherheits- und Überwachungsprozessen verwenden. Standardmäßig verschlüsselt CloudTrail sämtliche Protokolldateien, die an den angegebenen S3-Bucket übermittelt werden, mithilfe der serverseitigen Verschlüsselung (SSE) von S3. Bei Bedarf können Sie Ihren CloudTrail-Protokolldateien auch eine Sicherheitsschicht hinzufügen, indem Sie die Protokolldateien mit Ihrem AWS-Key-Management-Service-(AWS-KMS)-Schlüssel verschlüsseln. Wenn Sie über Entschlüsselungsberechtigungen verfügen, entschlüsselt S3 Ihre Protokolldateien automatisch. Weitere Informationen finden Sie unter Verschlüsseln von CloudTrail-Protokolldateien mit von AWS KMS verwalteten Schlüsseln (SSE-KMS).

Sie können CloudTrail so konfigurieren, dass Ereignisse aus mehreren AWS-Regionen an einem zentralen Ort erfasst und gespeichert werden. Diese Konfiguration bestätigt, dass alle Einstellungen konsistent für bereits vorhandene und neu gestartete Regionen gelten. Weitere Informationen finden Sie unter Empfangen von CloudTrail-Protokolldateien aus mehreren Regionen.

Sie können CloudTrail so konfigurieren, dass Ereignisse aus mehreren AWS-Konten an einem zentralen Ort erfasst und gespeichert werden. Diese Konfiguration bestätigt, dass alle Einstellungen konsistent für alle bereits vorhandenen und neuen Konten gelten. Weitere Informationen finden Sie unter Erstellen eines Trails für eine Organisation.

Mit der Aggregation von Datenereignissen in CloudTrail können Sie Muster beim Zugriff auf große Datenmengen effizient überwachen, ohne eine Vielzahl einzelner Ereignisse verarbeiten zu müssen. Dieses Feature fasst Datenereignisse automatisch in 5-Minuten-Zusammenfassungen zusammen und zeigt wichtige Trends wie Zugriffshäufigkeit, Fehlerquoten und die am häufigsten verwendeten Aktionen an. Anstatt beispielsweise Tausende einzelner S3-Bucket-Zugriffsereignisse zu verarbeiten, um Nutzungsmuster zu verstehen, erhalten Sie konsolidierte Zusammenfassungen, die die häufigsten Benutzer und Aktionen anzeigen. Dadurch lassen sich ungewöhnliche Aktivitäten leicht erkennen, während gleichzeitig der Zugriff auf detaillierte Protokolle für etwaige Untersuchungen gewährleistet bleibt. Es ist nicht mehr erforderlich, komplexe Aggregationspipelines aufzubauen und zu warten oder aufgrund hoher Datenmengen auf Transparenz zu verzichten.

Sie können die Aggregation für jeden CloudTrail-Trail aktivieren, für den Datenereignisse aktiviert sind.

Direkte Integration von AWS CloudTrail und Amazon CloudWatch

Alles öffnen

CloudTrail-Ereignisse können nun über Telemetrie-Aktivierungsregeln direkt an CloudWatch-Protokolle übermittelt werden, wodurch der herkömmliche Konfigurationsprozess pro Trail ersetzt wird. Diese optimierte Bereitstellung nutzt sichere serviceverknüpfte Kanäle (SLCs) und gewährleistet eine zuverlässige Übertragung an unveränderliche Protokollgruppen, während gleichzeitig Ereignisanreicherung und Sicherheitsprüfungen unterstützt werden. Beispielsweise können Sicherheitsteams automatisch CloudTrail-Ereignisse aus allen Konten erfassen, die sensible Daten enthalten. Anschließend können sie mithilfe einer Zentralisierungsregel diese Ereignisse in eine zentrale Protokollgruppe kopieren und so durch eine Reihe von Konfigurationen die Sicherheitstransparenz im gesamten Unternehmen gewährleisten.

Sie können Ihre historischen Daten aus CloudTrail Lake mit wenigen einfachen Schritten in CloudWatch Logs importieren. In CloudWatch Logs geben Sie lediglich den CloudTrail-Lake-Ereignisdaten-Speicher und den Datumsbereich der Daten an, die Sie importieren möchten. 

AWS CloudTrail Lake

Alles öffnen

CloudTrail Lake ist ein verwalteter Data Lake zum Erfassen, Speichern, Aufrufen und Analysieren von Benutzer- und API-Aktivitäten in AWS zu Prüf- und Sicherheitszwecken. Sie können Ihre Aktivitätsprotokolle aus AWS- und Nicht-AWS-Quellen aggregieren, visualisieren, abfragen und unveränderlich speichern. IT-Prüfer können CloudTrail Lake als unveränderliche Erfassung aller Aktivitäten nutzen, um Prüfungsanforderungen zu erfüllen. Sicherheitsadministratoren können überprüfen, ob Benutzeraktivitäten den internen Richtlinien entsprechen. DevOps-Techniker können Betriebsprobleme beheben – beispielsweise, wenn eine Amazon-Elastic-Compute-Cloud-(EC2)-Instance nicht reagiert oder einer Ressource kein Zugriff gewährt wird. 

Da es sich bei CloudTrail Lake um einen verwalteten Audit- und Sicherheitslake handelt, werden Ihre Ereignisse im Lake gespeichert. CloudTrail Lake gewährt nur schreibgeschützten Zugriff, um Änderungen an Protokolldateien zu verhindern. Schreibgeschützter Zugriff bedeutet, dass Ereignisse unveränderlich sind.

CloudTrail Lake hilft Ihnen, durch eine Kombination aus leistungsstarken Abfrage- und Visualisierungstools tiefere Einblicke in Ihre AWS-Aktivitätsprotokolle zu gewinnen. Sie können SQL-basierte Abfragen direkt auf in CloudTrail Lake gespeicherte Aktivitätsprotokolle anwenden. Für Benutzer, die mit SQL weniger vertraut sind, vereinfacht das KI-gestützte Feature zur Erstellung von Abfragen in natürlicher Sprache die Analyse, ohne dass komplexe Abfragen geschrieben werden müssen.

Um die Analyse weiter zu optimieren, umfasst CloudTrail Lake eine KI-gestützte Zusammenfassung der Abfrageergebnisse (in der Vorschau), die Zusammenfassungen der wichtigsten Erkenntnisse aus Ihren Abfrageergebnissen in natürlicher Sprache liefert. Dieses Feature reduziert den Zeit- und Arbeitsaufwand, der erforderlich ist, um aussagekräftige Informationen aus Ihren AWS-Aktivitätsprotokollen zu extrahieren. 

Für eine fortgeschrittenere Analytik können Sie Amazon Athena verwenden, um Ihre prüfbaren CloudTrail-Lake-Protokolle zusammen mit Daten aus anderen Quellen interaktiv abzufragen, ohne die operative Komplexität, die mit dem Verschieben oder der Replikation von Daten verbunden ist. Auf diese Weise können Sicherheitsingenieure Aktivitätsprotokolle in CloudTrail Lake mit Protokollen zu Anwendungen und Datenverkehr in Amazon S3 für die Untersuchung von Sicherheitsvorfällen korrelieren. Compliance- und Betriebsingenieure können mithilfe von Amazon QuickSight und Amazon Managed Grafana Aktivitätsprotokolle für umfassende Analysen und Berichte weiter visualisieren.

Mit AWS CloudTrail Lake können Sie Aktivitätsereignisse aus AWS und anderen Quellen konsolidieren (einschließlich Daten von anderen Cloud-Anbietern, internen Anwendungen und SaaS-Anwendungen, die in der Cloud oder On-Premises ausgeführt werden), ohne mehrere Protokollaggregatoren und Berichtstools verwalten zu müssen. Sie können auch Daten aus anderen AWS-Services aufnehmen, z. B. Konfigurationselemente aus AWS Config oder Prüfungsnachweise aus AWS Audit Manager. Sie können CloudTrail-Lake-APIs verwenden, um Ihre Datenintegrationen einzurichten und Ereignisse an CloudTrail Lake zu pushen. Für die Integration mit Drittanbietertools können Sie über Partnerintegrationen in der CloudTrail-Konsole in wenigen Schritten damit beginnen, Aktivitätsereignisse von diesen Anwendungen zu empfangen.

CloudTrail Lake hilft Ihnen dabei, Ereignisse aus mehreren Regionen zu erfassen und zu speichern.

Mithilfe von CloudTrail Lake können Sie Ereignisse für Konten in Ihren AWS Organizations erfassen und speichern. Darüber hinaus können Sie bis zu drei delegierte Administratorkonten zum Erstellen, Aktualisieren, Abfragen oder Löschen von Organisations-Trails oder von CloudTrail-Lake-Ereignisdatenspeichern auf Organisationsebene festlegen.

Dank CloudTrail Lake können Sie Ihre Verwaltungs- und Datenereignisse mit Ressourcen-Tags und globalen IAM-Bedingungsschlüsseln anreichern. Die Ereignisbereicherung bietet Ihnen zusätzliche Kontrolle über die Informationen, die Sie Ihren AWS-Audit-Datensätzen hinzufügen können, sodass Sie einfacher und schneller umsetzbare Erkenntnisse aus CloudTrail-Protokollen gewinnen können. Mithilfe von CloudTrail-Lake-Abfragen und -Dashboards können Sie CloudTrail-Protokolle basierend auf dem geschäftlichen Kontext kategorisieren, durchsuchen und analysieren, einschließlich Kostenverteilung, Finanzmanagement, Betriebsabläufen und Datensicherheitsanforderungen. Angenommen, Sie verwenden Ressourcen-Tags, um Ihre Produktions-S3-Buckets zu kennzeichnen, die kritische Daten enthalten. Sie können nun alle CloudTrail-Ereignisse, die diesen spezifischen Tags entsprechen, bequem anzeigen, da diese Informationen im Ereignis selbst enthalten sind. Es ist nicht mehr erforderlich, manuell mehrere Systeme zu durchsuchen, um diese Informationen zu finden.

Mit CloudTrail Lake haben Sie die Möglichkeit, die Größe Ihrer CloudTrail-Ereignisse auf bis zu 1 MB zu erweitern, wodurch Sie einen besseren Einblick in die Metadaten Ihrer API-Aktionen erhalten. Reguläre CloudTrail-Ereignisse sind auf eine Größe von 256 KB begrenzt. CloudTrail folgt einer festgelegten Kürzungslogik, die auf bestimmte Felder im CloudTrail-Ereignis angewendet wird, um sicherzustellen, dass diese Grenze eingehalten wird. Mit der erweiterten Ereignisgröße können Sie vollständigere Ereignisdetails mit weniger Kürzungen erfassen.

AWS CloudTrail Insights

Alles öffnen

AWS CloudTrail Insights unterstützt Benutzer dabei, ungewöhnliche API-Aktivitäten zu erkennen und darauf zu reagieren, indem es CloudTrail-Verwaltungs- und Datenereignisse kontinuierlich analysiert. Durch die Festlegung einer Referenzbasis für normale API-Aufrufvolumina und Fehlerraten generiert CloudTrail Insights ein Erkenntnisereignis, wenn Aktivitäten außerhalb der typischen Muster liegen. Sie können CloudTrail Insights in Ihren Trails sowohl für Verwaltungs- als auch für Datenereignisse oder in Ereignisdatenspeichern für Verwaltungsereignisse aktivieren, um anomales Verhalten und ungewöhnliche Aktivitäten zu erkennen.