- 管理與治理›
- AWS CloudTrail›
- 功能
AWS CloudTrail 功能
概觀
全部開啟
AWS CloudTrail 可進行稽核、安全監控和操作疑難排解。CloudTrail 將 AWS 服務之間的使用者活動及 API 呼叫記錄為事件。CloudTrail 事件可協助您回答「誰在何時何地做了什麼?」的問題
CloudTrail 記錄四類事件:
- 擷取資源的控制平面動作的管理事件,例如建立或刪除 Amazon Simple Storage Service (S3) 儲存貯體。
- 擷取資源內資料平面動作的資料事件,例如讀取或寫入 Amazon S3 物件。
- 網路活動事件,這些事件記錄使用私有 VPC 中的 VPC 端點對 AWS 服務進行的動作,包括被拒絕存取的 AWS API 呼叫。
- 透過持續分析 CloudTrail 事件,協助 AWS 使用者識別並回應與 API 呼叫和 API 錯誤率關聯的異常活動的 Insights 事件。
AWS CloudTrail 事件歷史記錄
全部開啟事件歷史記錄提供 AWS 區域過去 90 天的管理事件的可檢視、可搜尋、可下載且不可變的記錄。檢視事件歷史記錄的 CloudTrail 不收取任何費用。
CloudTrail 事件歷史記錄在所有 AWS 帳戶及 AWS 服務的記錄管理事件啟用,無需任何手動設定。使用 AWS 免費方案,您可使用 CloudTrail 主控台或使用 CloudTrail 查詢事件 API 免費檢視、搜尋及下載帳戶管理事件的最近 90 天的歷史記錄。若要進一步了解,請參閱使用 CloudTrail Event 歷史記錄檢視事件。
AWS CloudTrail 追蹤
全部開啟追蹤可擷取 AWS 帳戶活動的記錄,並將這些事件傳送並存放在 Amazon S3,並可選擇性傳送至 Amazon CloudWatch Logs 以及 Amazon EventBridge。這些事件可輸入到您的安全監控解決方案。您可使用自己的第三方解決方案或 Amazon Athena 等解決方案來搜尋並分析 CloudTrail 擷取的日誌。您可使用 AWS Organizations 針對單個 AWS 帳戶,或針對多個 AWS 帳戶建立追蹤。
您可將 CloudTrail 事件傳送至 S3,也可透過建立軌跡,傳送至 CloudWatch Logs。透過執行此操作,您可以獲得完整的事件詳細資訊,並可根據需要匯出及儲存事件。若要進一步了解,請參閱為 AWS 帳戶建立追蹤。
您可以驗證存放在 S3 儲存貯體的 CloudTrail 日誌檔完整性,並偵測 CloudTrail 將日誌檔傳送至 S3 儲存貯體之後,日誌檔是保持不變、已修改或已刪除。您可在 IT 安全及稽核程序使用日誌檔完整性驗證。在預設情況下,CloudTrail 會使用 S3 伺服器端加密 (SSE) 來加密傳送至指定 S3 儲存貯體的所有日誌檔。如有必要,您也可以透過 AWS Key Management Service (KMS) 金鑰來加密日誌檔,以便在 CloudTrail 日誌檔提供多一層保護。如果您有解密許可,S3 會自動解密您的日誌檔。如需詳細資訊,請參閱使用 AWS KMS 受管金鑰 (SSE-KMS) 加密 CloudTrail 日誌檔。
您可以設定 CloudTrail,在單一位置擷取及儲存多個 AWS 區域的事件。此組態會驗證所有設定是否一致套用至現有及新啟動的區域。若要進一步了解,請參閱從多個區域接收 CloudTrail 日誌檔。
您可以設定 CloudTrail,在單一位置擷取及儲存多個 AWS 帳戶的事件。此組態會驗證所有設定是否一致套用至所有現有及新建的帳戶。若要進一步了解,請參閱建立組織追蹤。
透過 CloudTrail 資料事件彙總,您可以高效監控大量資料存取模式,而無需處理大量個別事件。本功能會自動將資料事件合併為 5 分鐘摘要,其中將顯示存取頻率、錯誤率以及最常用的動作等關鍵趨勢。例如,您會收到顯示常用使用者和動作的合併摘要,而不是處理數千個個別 S3 儲存貯體存取事件以了解使用模式。這使您可以輕鬆識別異常活動,同時在需要調查時保持對詳細日誌的存取權限。不再需要建立和維護複雜的彙總管道,也無需因為大量資料量而犧牲可見性。
您可以在已啟用資料事件的任何 CloudTrail 追蹤上啟用彙總。
AWS CloudTrail 與 Amazon CloudWatch 直接整合
全部開啟CloudTrail 事件現在可以透過遙測啟用規則直接傳遞到 CloudWatch 日誌,以取代傳統的每個追蹤設定過程。這種簡化的傳遞運用安全服務連結通道 (SLC),能夠在支援事件擴充與安全檢查的同時,確認可靠地傳輸至不變的日誌群組。例如,安全團隊可以自動從包含敏感資料的所有帳戶收集 CloudTrail 事件。然後,他們可以使用集中化規則將這些事件複製到中央日誌群組中,從而透過一組組態來維持整個企業的安全可見性。
您還可以透過幾個簡單的步驟將 CloudTrail Lake 歷史資料匯入 CloudWatch Logs 中。在 CloudWatch Logs 中,您只需指定 CloudTrail Lake 事件資料存放區,以及要匯入的資料的日期範圍即可。
AWS CloudTrail Lake
全部開啟CloudTrail Lake 是一個受管資料湖,用於擷取、儲存、存取及分析 AWS 使用者與 API 活動,以作稽核和安全性目的。您可以從 AWS 和非 AWS 來源彙總、視覺化、查詢和不變地儲存活動日誌。IT 稽核人員可以使用 CloudTrail Lake 作為所有活動的不可變記錄,以滿足稽核要求。安全管理員可以驗證使用者活動是否符合內部政策。DevOps 工程師可解決操作問題,例如 Amazon Elastic Compute Cloud (EC2) 執行個體無回應或資源被拒絕存取。
由於 CloudTrail Lake 是一個受管的稽核與安全資料湖,因此您的事件將存放在資料湖中。CloudTrail Lake 授予唯讀存取權,以防止對日誌檔進行變更。唯讀存取表示事件不可變。
CloudTrail Lake 透過強大的查詢和視覺化工具組合,協助您深入了解 AWS 活動日誌。您可以直接在儲存於 CloudTrail Lake 中的活動日誌上執行 SQL 式查詢,而對於不熟悉 SQL 的使用者,AI 支援的自然語言查詢產生功能可簡化分析,而無需其編寫複雜的查詢。
為進一步簡化分析,CloudTrail Lake 包含 AI 支援的查詢結果摘要 (預覽版),可提供查詢結果中關鍵洞見的自然語言摘要。此功能可減少從 AWS 活動日誌中擷取有意義資訊所需的時間和工作。
對於更加進階的分析,您可以使用 Amazon Athena,以互動方式查詢 CloudTrail Lake 可稽核日誌,以及來自其他來源的資料,而沒有移動或複寫資料的操作複雜性。這可讓安全工程師將 CloudTrail Lake 中的活動日誌與 Amazon S3 中的應用程式和流量日誌關聯,以進行安全事件調查。合規與營運工程師可以使用 Amazon QuickSight 和 Amazon Managed Grafana 進一步視覺化活動日誌,以進行全面的分析和報告。
透過 AWS CloudTrail Lake,您可以整合來自 AWS 及 AWS 外部來源的活動事件,包括來自其他雲端供應商、內部應用程式以及雲端或內部部署執行的 SaaS 應用程式的資料,而無需維護多個日誌彙總工具以及報告工具。您還可從其他 AWS 服務擷取資料,例如來自 AWS Config 的組態項目或來自 AWS Audit Manager 的稽核證據。您可使用 CloudTrail Lake API 來設定資料整合,並將事件推送至 CloudTrail Lake。若要與第三方工具整合,您可透過 CloudTrail 主控台的合作夥伴整合,只需幾個步驟即可開始從這些應用程式接收活動事件。
CloudTrail Lake 可協助您擷取及儲存來自多個區域的事件。
透過使用 CloudTrail Lake,您可擷取和儲存跨 AWS Organizations 的帳戶事件。此外,您最多可以指定三個委派的管理員帳戶,以在組織層級建立、更新、查詢或刪除組織追蹤或 CloudTrail Lake 事件資料存放區。
利用 CloudTrail Lake,您可藉助資源標籤與 IAM 全域條件金鑰,來豐富管理與資料事件。事件豐富可讓您進一步控制可附加至 AWS 稽核記錄的資訊,從而更輕鬆快速地從 CloudTrail 日誌中獲取切實可行的洞察。使用 CloudTrail Lake 查詢和儀表板,您可以根據業務關聯 (包括成本分配、財務管理、營運和資料安全需求) 對 CloudTrail 日誌進行分類、搜尋和分析。舉例來說,假設使用資源標籤來標記載有關鍵資料的生產 S3 儲存貯體。由於事件本身包含此資訊,因此,您現在可輕鬆地檢視與這些特定標籤相符的所有 CloudTrail 事件。無須再跨多個系統來手動交互參考,以便查找此資訊。
利用 CloudTrail Lake,您可以選擇將 CloudTrail 事件的大小擴展到最多 1 MB,以便您能夠更清楚地掌握與 API 動作相關的中繼資料。CloudTrail 常規事件上限為 256 KB,而 CloudTrail 遵循已建立的截斷邏輯,且該邏輯會套用於 CloudTrail 事件中的特定欄位,以確認符合此限制。隨著事件大小不斷擴展,您可以捕獲更完整的事件詳細資訊,而且不會減少截斷。
AWS CloudTrail Insights
全部開啟
AWS CloudTrail Insights 透過持續分析 CloudTrail 管理與資料事件,協助使用者識別並回應異常 API 事件。透過建立正常 API 呼叫量和錯誤率的基準,CloudTrail Insights 會在事件不屬於典型模式時產生洞察事件。您可在管理與資料事件追蹤或在事件資料儲存中啟用 CloudTrail Insights,以偵測異常行為和異常活動。