Saltar al contenido principal

AWS CloudTrail

Características de AWS CloudTrail

Temas de la página

Información general

Abrir todo

AWS CloudTrail permite la auditoría, la supervisión de la seguridad y la solución de problemas operativos. CloudTrail registra la actividad de los usuarios y las llamadas a la API en los servicios de AWS como eventos. Los eventos de CloudTrail le ayudan a responder a la pregunta “¿Quién hizo qué, dónde y cuándo?”

CloudTrail registra cuatro categorías de eventos:

  • Eventos de administración que capturan las acciones del plano de control sobre los recursos, como la creación o eliminación de buckets de Amazon Simple Storage Service (S3).
  • Eventos de datos que capturan acciones del plano de datos dentro de un recurso, como leer o escribir un objeto de Amazon S3.
  • Eventos de actividad de red que capturan las acciones hechas con puntos de enlace de VPC desde una VPC privada al servicio de AWS, incluidas las llamadas a la API de AWS a las que se ha denegado el acceso.
  • Eventos de información que ayudan a los usuarios de AWS a identificar y responder a actividades inusuales asociadas con las llamadas a la API y las tasas de error de la API mediante el análisis continuo de los eventos de CloudTrail. 

Historial de eventos de AWS CloudTrail

Abrir todo

El historial de eventos proporciona un registro visible, consultable, descargable e inmutable de los últimos 90 días de eventos de administración en una región de AWS. No hay cargos de CloudTrail por ver el historial de eventos.

El historial de eventos de CloudTrail está habilitado en todas las cuentas y eventos de administración de registros de AWS en los servicios de AWS sin necesidad de ninguna configuración manual. Con el nivel gratuito de AWS, puedes ver, buscar y descargar el historial más reciente de 90 días de los eventos de administración de tu cuenta de forma gratuita mediante la consola de CloudTrail o mediante la API de búsqueda de eventos de CloudTrail. Para más información, consulte Ver eventos con el historial de eventos de CloudTrail.

Pistas de AWS CloudTrail

Abrir todo

Las pistas capturan un registro de las actividades de las cuentas de AWS y entregan y almacenan estos eventos en S3, con la entrega opcional a Registros de Amazon CloudWatch y Amazon EventBridge. Estos eventos pueden incorporarse a sus soluciones de supervisión de seguridad. Puedes utilizar tus propias soluciones de terceros o soluciones como Amazon Athena para buscar y analizar los registros capturados por CloudTrail. Se pueden crear pistas para una o varias cuentas de AWS mediante AWS Organizations.

Puede entregar sus eventos de CloudTrail a S3 y, de forma opcional, a Registros de CloudWatch mediante la creación de pistas. De este modo, obtendrá los detalles completos del evento y podrá exportar y almacenar los eventos como desee. Para obtener más información, consulte Creación de una pista para su cuenta de AWS.

Puede validar la integridad de los archivos de registro de CloudTrail almacenados en el bucket de S3 y detectar si estos archivos han cambiado o se han eliminado desde que CloudTrail se los entregó a su bucket de S3. Puede usar la validación de la integridad de los archivos de registro en los procesos de auditoría y seguridad de TI. De forma predeterminada, CloudTrail cifra todos los archivos de registro entregados al bucket especificado de S3 a través del cifrado en el servidor (SSE) de S3. Opcionalmente, puedes añadir una capa más de seguridad a los archivos de registro de CloudTrail cifrándolos con la clave de AWS Key Management Service (KMS). S3 descifra automáticamente los archivos de registro si tiene permisos para hacerlo. Para obtener más información, consulte Cifrar los archivos de registro de CloudTrail con claves administradas por AWS KMS (SSE-KMS).

Puede configurar CloudTrail para capturar y almacenar eventos de varias regiones de AWS en una sola ubicación. Esta configuración certifica que todos los ajustes se aplican de manera uniforme en las regiones existentes y recientemente iniciadas. Para obtener más información, consulte Recepción de archivos de registro de CloudTrail de varias regiones.

Puede configurar CloudTrail para capturar y almacenar eventos de varias cuentas de AWS en una sola ubicación. Esta configuración verifica que todos los ajustes se apliquen de manera coherente en todas las cuentas existentes y recién creadas. Para obtener más información, consulte Creación de una pista para una organización.

Con la agregación de eventos de datos de CloudTrail, puede supervisar de manera eficiente los patrones de acceso a datos de gran volumen sin procesar cantidades masivas de eventos individuales. Esta característica consolida automáticamente los eventos de datos en resúmenes de 5 minutos, que muestran las tendencias clave, como la frecuencia de acceso, las tasas de error y las acciones más utilizadas. Por ejemplo, en lugar de procesar miles de eventos de acceso a buckets de S3 individuales para comprender los patrones de uso, recibirá resúmenes consolidados que muestran los principales usuarios y acciones. Esto facilita la identificación de actividades inusuales y, al mismo tiempo, mantiene el acceso a registros detallados cuando es necesario para la investigación. Ya no tendrá que crear ni mantener canalizaciones de agregación complejas ni sacrificar la visibilidad debido a los altos volúmenes de datos.

Puede habilitar la agregación en cualquier pista de CloudTrail con los eventos de datos habilitados.

Integración directa de AWS CloudTrail y Amazon CloudWatch

Abrir todo

Los eventos de CloudTrail ahora se pueden enviar directamente a los registros de CloudWatch mediante reglas de habilitación de telemetría, lo que sustituye el proceso tradicional de configuración por pista. Esta entrega simplificada utiliza canales vinculados a servicios (SLC) seguros, lo que garantiza una transmisión confiable a grupos de registro inmutables y, al mismo tiempo, admite el enriquecimiento de eventos y las comprobaciones de seguridad. Por ejemplo, los equipos de seguridad pueden recopilar automáticamente los eventos de CloudTrail de todas las cuentas que contienen datos confidenciales. Luego, pueden usar una regla de centralización para copiar estos eventos en un grupo de registro central, manteniendo la visibilidad de la seguridad en toda la empresa mediante un conjunto de configuraciones.

También puede importar sus datos históricos de CloudTrail Lake a Registros de CloudWatch mediante unos sencillos pasos. En Registros de CloudWatch, solo tiene que especificar el almacén de datos de eventos de CloudTrail Lake y el intervalo de fechas de los datos que desea importar. 

AWS CloudTrail Lake

Abrir todo

CloudTrail Lake es un lago de datos administrado para capturar, almacenar y analizar la actividad de los usuarios y las API en AWS, así como acceder a ella, con fines de auditoría y seguridad. Puede agregar, visualizar, consultar y almacenar de forma inalterable sus registros de actividad de orígenes de AWS y de otros orígenes. Los auditores de TI pueden utilizar CloudTrail Lake como un registro inmutable de todas las actividades para cumplir con los requisitos de auditoría. Los administradores de seguridad pueden comprobar que la actividad de los usuarios se ajusta a las políticas internas. Los ingenieros de DevOps pueden solucionar problemas operativos, como una instancia de Amazon Elastic Compute Cloud (EC2) que no responde o la denegación de acceso a un recurso. 

Dado que CloudTrail Lake es un lago de auditoría y seguridad administrado, sus eventos se almacenan dentro del lago. CloudTrail Lake otorga acceso de solo lectura para evitar cambios en los archivos de registro. El acceso de solo lectura significa que los eventos son inmutables.

CloudTrail Lake ayuda a obtener información más profunda sobre sus registros de actividad de AWS mediante una combinación de potentes herramientas de consulta y visualización. Puede ejecutar consultas basadas en SQL directamente en los registros de actividad almacenados en CloudTrail Lake y, para los usuarios menos familiarizados con SQL, la característica de generación de consultas en lenguaje natural basada en IA simplifica el análisis sin necesidad de escribir consultas complejas.

Para agilizar aún más el análisis, CloudTrail Lake incluye un resumen de los resultados de las consultas con tecnología de IA (en versión preliminar), que proporciona resúmenes en lenguaje natural de la información clave de los resultados de las consultas. Esta característica reduce el tiempo y el esfuerzo necesarios para extraer información significativa de sus registros de actividad de AWS. 

Para análisis más avanzados, puede utilizar Amazon Athena para consultar de forma interactiva sus registros auditables de CloudTrail Lake junto con los datos de otros orígenes sin la complejidad operativa que conlleva mover o replicar datos. Esto permite que los ingenieros de seguridad correlacionen los registros de actividad en CloudTrail Lake con los registros de aplicaciones y tráfico en Amazon S3 para investigar incidentes de seguridad. Los ingenieros de conformidad y operaciones pueden visualizar mejor los registros de actividad con Amazon QuickSight y Amazon Managed Grafana para realizar análisis e informes exhaustivos.

Con AWS CloudTrail Lake, puede consolidar los eventos de actividad de AWS y de orígenes externos a AWS, incluidos los datos de otros proveedores de la nube, las aplicaciones internas y las aplicaciones de SaaS que se ejecutan en la nube o en las instalaciones, sin tener que mantener varios agregadores de registros y herramientas de informes. También puede ingerir datos de otros servicios de AWS, como elementos de configuración de AWS Config o pruebas de auditoría de AWS Audit Manager. Puede usar las API de CloudTrail Lake para configurar sus integraciones de datos y enviar eventos a CloudTrail Lake. Para integrarse con herramientas de terceros, puede empezar a recibir eventos de actividad de estas aplicaciones en unos pocos pasos mediante integraciones de socios en la consola de CloudTrail.

CloudTrail Lake le ayuda a capturar y almacenar eventos de varias regiones.

Al utilizar CloudTrail Lake, puede capturar y almacenar eventos para las cuentas de AWS Organizations. Además, puede designar hasta tres cuentas de administrador delegado para crear, actualizar, consultar o eliminar las pistas de la organización o los almacenes de datos de eventos de CloudTrail Lake a nivel de organización.

Con CloudTrail Lake, puede enriquecer sus eventos de administración y datos con etiquetas de recursos y claves de estado globales de IAM. El enriquecimiento de eventos le brinda un control adicional sobre la información que puede adjuntar a sus registros de auditoría de AWS, lo que facilita y acelera la obtención de información procesable a partir de los registros de CloudTrail. Con las consultas y los paneles de CloudTrail Lake, puede clasificar, buscar y analizar los registros de CloudTrail en función del contexto empresarial, incluidos los requisitos de asignación de costos, administración financiera, operaciones y seguridad de datos. Por ejemplo, supongamos que utiliza etiquetas de recursos para marcar los buckets S3 de producción que contienen datos críticos. Ahora puede ver fácilmente todos los eventos de CloudTrail que coinciden con estas etiquetas específicas, ya que esta información se incluye en el propio evento. Se acabaron las referencias cruzadas manuales en varios sistemas para encontrar esta información.

Con CloudTrail Lake, tiene la opción de ampliar el tamaño de sus eventos de CloudTrail hasta 1 MB, siempre que tenga una mayor visibilidad de los metadatos relacionados con su acción de API. Los eventos regulares de CloudTrail tienen un límite de 256 KB y CloudTrail sigue una lógica de truncamiento establecida que se aplica a campos específicos del evento de CloudTrail para garantizar que se cumpla este límite. Con un tamaño de evento ampliado, puede capturar detalles de eventos más completos con menos truncamientos.

AWS CloudTrail Insights

Abrir todo

AWS CloudTrail Insights ayuda a los usuarios a identificar una actividad inusual de las API y responder a ella mediante el análisis continuo de los eventos de administración y datos de CloudTrail. Al establecer una base de referencia de los volúmenes normales de llamadas a la API y las tasas de error, CloudTrail Insights genera un evento de información cuando la actividad se sale de los patrones típicos. Puede habilitar CloudTrail Insights en sus pistas para eventos de administración y datos, o en almacenes de datos de eventos para eventos de administración, para detectar comportamientos anómalos y actividades inusuales.