Passer au contenu principal

AWS CloudTrail

Fonctionnalités d’AWS CloudTrail

Sujets de la page

Présentation

Ouvrir tout

AWS CloudTrail permet l’audit, la surveillance de la sécurité et le dépannage opérationnel. CloudTrail enregistre l'activité des utilisateurs et les appels d'API sur l'ensemble des services AWS sous forme d'événements. Les événements CloudTrail vous aident à répondre à la question « Qui a fait quoi, où et quand ? »

CloudTrail enregistre quatre catégories d’événements :

  • Les événements de gestion qui capturent les actions du plan de contrôle sur les ressources, telles que la création ou la suppression de compartiments Amazon Simple Storage Service (S3).
  • Les événements de données qui capturent les actions du plan de données au sein d’une ressource, telles que la lecture ou l’écriture d’un objet Amazon S3.
  • Les événements d’activité réseau qui capturent les actions effectuées à l’aide des points de terminaison de VPC depuis un VPC privé vers le service AWS, y compris les appels d’API AWS dont l’accès a été refusé.
  • Les événements d’informations analytiques qui aident les utilisateurs AWS à identifier et à réagir à une activité inhabituelle liée aux appels et aux taux d’erreur d’API, grâce à une analyse continue des événements CloudTrail. 

Historique des événements AWS CloudTrail

Ouvrir tout

L’historique des événements fournit un enregistrement consultable, consultable, téléchargeable et immuable des événements de gestion des 90 derniers jours dans une région AWS. CloudTrail n’entraîne aucuns frais pour consulter l’historique des événements.

L’historique des événements CloudTrail est activé sur tous les comptes AWS et les événements de gestion des enregistrements sur l’ensemble des services AWS sans qu’aucune configuration manuelle ne soit nécessaire. Avec l'offre gratuite d'AWS, vous pouvez consulter, rechercher et télécharger gratuitement l'historique le plus récent des événements de gestion de votre compte sur 90 jours à l'aide de la console CloudTrail ou de l'API CloudTrail lookup-events. Pour en savoir plus, consultez la section Affichage des événements avec l’historique des événements CloudTrail.

Journaux d’activité AWS CloudTrail

Ouvrir tout

Les suivis enregistrent les activités du compte AWS, diffusent et stockent ces événements dans Amazon S3, avec une transmission facultative vers Amazon CloudWatch Logs et Amazon EventBridge. Ces événements peuvent être intégrés à vos solutions de surveillance de la sécurité. Vous pouvez utiliser vos propres solutions tierces ou des solutions telles qu'Amazon Athena pour rechercher et analyser les journaux capturés par CloudTrail. Vous pouvez créer des traces pour un seul compte AWS ou pour plusieurs comptes AWS à l’aide d’AWS Organizations.

Vous pouvez transmettre vos événements CloudTrail à S3 et éventuellement à CloudWatch Logs en créant des suivis. Ce faisant, vous obtenez les détails complets de l’événement et vous pouvez exporter et stocker des événements comme vous le souhaitez. Pour en savoir plus, consultez Création d’un suivi pour votre compte AWS.

Vous pouvez valider l’intégrité des fichiers journaux CloudTrail stockés dans votre compartiment S3 et détecter s’ils sont restés inchangés, modifiés ou supprimés depuis que CloudTrail les a fournis à votre compartiment S3. Vous pouvez utiliser la validation de l’intégrité des fichiers journaux dans vos processus de sécurité informatique et d’audit. Par défaut, CloudTrail chiffre tous les fichiers journaux envoyés dans le compartiment S3 que vous avez spécifié à l’aide du chiffrement côté serveur (SSE) S3. Si nécessaire, vous pouvez également ajouter une couche de sécurité à vos fichiers journaux CloudTrail en chiffrant les fichiers journaux avec votre clé AWS Key Management Service (KMS). Si vous avez des autorisations de déchiffrement, S3 déchiffre automatiquement vos fichiers journaux. Pour plus d’informations, consultez la section Chiffrement des fichiers journaux CloudTrail à l’aide de clés gérées par AWS KMS (SSE-KMS).

Vous pouvez configurer CloudTrail pour capturer et stocker les événements de plusieurs régions AWS en un seul endroit. Cette configuration certifie que tous les paramètres s’appliquent de manière cohérente dans les régions existantes et récemment lancées. Pour en savoir plus, consultez la section Réception de fichiers journaux CloudTrail en provenance de plusieurs régions.

Vous pouvez configurer CloudTrail pour capturer et stocker les événements de plusieurs comptes AWS au même endroit. Cette configuration permet de vérifier que tous les paramètres s’appliquent de manière cohérente à tous les comptes existants et nouvellement créés. Pour en savoir plus, voir Création d’un suivi pour une organisation.

Grâce à l’agrégation des événements de données CloudTrail, vous pouvez surveiller efficacement les modèles d’accès à de grands volumes de données sans traiter d’énormes quantités d’événements individuels. Cette fonctionnalité consolide automatiquement les événements de données dans des résumés de 5 minutes, indiquant les principales tendances telles que la fréquence d’accès, les taux d’erreur et les actions les plus utilisées. Par exemple, au lieu de traiter des milliers d’événements individuels d’accès au compartiment S3 pour comprendre les modèles d’utilisation, vous recevez des résumés consolidés indiquant les principaux utilisateurs et les principales actions. Cela permet d’identifier facilement les activités inhabituelles tout en conservant l’accès à des journaux détaillés lorsque cela est nécessaire à des fins d’enquête. Plus besoin de créer et de gérer des pipelines d’agrégation complexes ou de sacrifier la visibilité en raison de volumes de données élevés.

Vous pouvez activer l’agrégation sur n’importe quel suivi CloudTrail lorsque les événements de données sont activés.

Intégration directe d’AWS CloudTrail et d’Amazon CloudWatch

Ouvrir tout

Les événements CloudTrail peuvent désormais être transmis directement aux journaux CloudWatch via des règles d’activation de la télémétrie, remplaçant ainsi le processus traditionnel de configuration par trail. Cette diffusion rationalisée utilise des canaux sécurisés liés aux services (SLC), garantissant une transmission fiable vers des groupes de journaux immuables tout en prenant en charge l’enrichissement des événements et les contrôles de sécurité. Par exemple, les équipes de sécurité peuvent collecter automatiquement les événements CloudTrail depuis tous les comptes contenant des données sensibles. Elles peuvent ensuite utiliser une règle de centralisation pour copier ces événements dans un groupe de journaux central, préservant ainsi la visibilité de la sécurité dans l’ensemble de l’entreprise grâce à un ensemble de configurations.

Vous pouvez également importer vos données historiques de CloudTrail Lake dans CloudWatch Logs en quelques étapes simples. Dans CloudWatch Logs, il vous suffit de spécifier le magasin de données d’événements CloudTrail Lake et la plage de dates des données que vous souhaitez importer. 

AWS CloudTrail Lake

Ouvrir tout

CloudTrail Lake est un lac de données géré permettant de capturer, de stocker, d’accéder et d’analyser l’activité des utilisateurs et des API sur AWS à des fins d’audit et de sécurité. Vous pouvez agréger, visualiser, interroger et stocker de manière immuable vos journaux d’activité provenant de sources AWS et non AWS. Les auditeurs informatiques peuvent utiliser CloudTrail Lake en tant qu’enregistrement inaltérable de l’ensemble des activités afin de répondre aux exigences d’audit. Les administrateurs de sécurité peuvent vérifier que l'activité des utilisateurs est conforme aux politiques internes. Les ingénieurs DevOps peuvent résoudre des problèmes opérationnels tels qu’une instance Amazon Elastic Compute Cloud (EC2) qui ne répond pas ou un accès refusé à une ressource. 

CloudTrail Lake étant un lac d’audit et de sécurité géré, vos événements sont stockés dans le lac. CloudTrail Lake accorde un accès en lecture seule pour empêcher toute modification des fichiers journaux. L’accès en lecture seule signifie que les événements sont immuables.

CloudTrail Lake vous permet d’obtenir des informations plus détaillées sur vos journaux d’activité AWS grâce à une combinaison d’outils de requête et de visualisation performants. Vous pouvez exécuter des requêtes basées sur SQL directement sur les journaux d’activité stockés dans CloudTrail Lake. Pour les utilisateurs moins familiarisés avec SQL, la fonctionnalité de génération de requêtes en langage naturel optimisée par l’IA simplifie l’analyse sans avoir à écrire de requêtes complexes.

Pour rationaliser davantage l’analyse, CloudTrail Lake inclut un récapitulatif des résultats des requêtes optimisé par l’IA (en version préliminaire), qui fournit des résumés en langage naturel des informations clés issues des résultats de vos requêtes. Cette fonctionnalité réduit le temps et les efforts nécessaires pour extraire des informations pertinentes de vos journaux d’activité AWS. 

Pour bénéficier d’une analytique plus avancée, vous pouvez utiliser Amazon Athena pour interroger de manière interactive vos journaux auditables CloudTrail Lake ainsi que des données provenant d’autres sources, sans la complexité opérationnelle liée au déplacement ou à la réplication des données. Cela permet aux ingénieurs en sécurité d’utiliser Athena pour corréler les journaux d’activité dans CloudTrail Lake avec les journaux d’application et de trafic dans Amazon S3 pour les enquêtes sur les incidents de sécurité. Les ingénieurs de conformité et d’exploitation peuvent mieux visualiser les journaux d’activité à l’aide d’Amazon QuickSight et d’Amazon Managed Grafana pour des analyses et des rapports complets.

Avec AWS CloudTrail Lake, vous pouvez consolider les événements d’activité provenant d’AWS et de sources extérieures à AWS, y compris les données d’autres fournisseurs de cloud, les applications internes et les applications SaaS exécutées dans le cloud ou sur site, sans devoir gérer plusieurs agrégateurs de journaux et outils de reporting. Vous pouvez également ingérer des données provenant d’autres services AWS, comme des éléments de configuration provenant d’AWS Config ou des preuves d’audit provenant d’AWS Audit Manager. Vous pouvez utiliser les API CloudTrail Lake pour configurer vos intégrations de données et envoyer des événements à CloudTrail Lake. Pour intégrer des outils tiers, vous pouvez commencer à recevoir des événements d’activité provenant de ces applications en quelques étapes grâce à des intégrations partenaires dans la console CloudTrail.

CloudTrail Lake vous permet de capturer et de stocker des événements provenant de plusieurs régions.

En utilisant CloudTrail Lake, vous pouvez capturer et stocker des événements pour les comptes dans vos AWS Organizations. En outre, vous pouvez désigner jusqu’à trois comptes d’administrateur délégué pour créer, mettre à jour, interroger ou supprimer des suivis d’organisation ou des banques de données d’événements CloudTrail Lake au niveau de l’organisation.

CloudTrail Lake vous permet d’enrichir vos événements de gestion et de données à l’aide de balises de ressources et de clés de condition globales IAM. L’enrichissement des événements vous donne un contrôle supplémentaire sur les informations que vous pouvez ajouter à vos dossiers d’audit AWS, ce qui vous permet d’obtenir plus facilement et plus rapidement des informations exploitables à partir des journaux CloudTrail. À l’aide des requêtes et des tableaux de bord CloudTrail Lake, vous pouvez classer, rechercher et analyser les journaux CloudTrail en fonction du contexte commercial, y compris la répartition des coûts, la gestion financière, les opérations et les exigences de sécurité des données. Supposons, par exemple, que vous utilisiez des balises de ressources pour marquer vos compartiments S3 de production contenant des données critiques. Vous pouvez désormais visualiser facilement tous les événements CloudTrail correspondant à ces balises spécifiques, car ces informations sont incluses dans l’événement lui-même. Plus besoin de faire des références croisées manuelles entre plusieurs systèmes pour trouver ces informations.

Avec CloudTrail Lake, vous avez la possibilité d’étendre la taille de vos événements CloudTrail jusqu’à 1 Mo, ce qui vous permet d’avoir une meilleure visibilité sur les métadonnées liées à votre action d’API. Les événements réguliers CloudTrail sont plafonnés à 256 Ko, et CloudTrail suit une logique de troncature établie appliquée à des champs spécifiques de l’événement CloudTrail afin de garantir que cette limite est respectée. Grâce à l’extension de la taille de l’événement, vous pouvez capturer des détails plus complets avec moins de troncature.

AWS CloudTrail Insights

Ouvrir tout

AWS CloudTrail Insights aide les utilisateurs à identifier les activités inhabituelles des API et à y répondre en analysant en permanence la gestion de CloudTrail et les événements liés aux données. En établissant une base de référence pour les volumes d’appels d’API et les taux d’erreur normaux, CloudTrail Insights génère un événement d’analyse lorsque l’activité ne correspond pas aux modèles habituels. Vous pouvez activer CloudTrail Insights dans vos suivis pour les événements de gestion et de données, ou dans les magasins de données d’événements pour les événements de gestion, afin de détecter les comportements anormaux et les activités inhabituelles.