CloudTrail: ваши журналы Walmart для AWS.

При таком большом количестве различных предложений AWS администраторам необходимо следить за тем, как работает каждый сервис. Изучение событий, происходящих в каждой службе, утомительно. В идеале события, происходящие в нескольких службах, должны регистрироваться и объединяться в одном месте. Это именно то, что делает CloudTrail. Это как журналы Walmart для AWS.

Что доступно на этом АРМ «Логмарт»?

CloudTrail регистрирует события, происходящие в учетной записи AWS, в виде вызовов API AWS. Он поддерживает важные сервисы, такие как Amazon Simple Storage Service (S3), Elastic Compute Cloud (EC2), Identity and Access Management (IAM), Simple Notification Service (SNS) и Virtual Private Cloud (VPC).

Дьявол кроется в деталях.

Журналы CloudTrail содержат поля, которые помогают администраторам выявлять аномалии в их среде AWS, в том числе:

• название события

Описывает действие, предпринятое в API. Все изменения, внесенные в учетную запись, имеют префикс «Создать*», «Записать*» и т. д.

• идентификатор пользователя

Отображает, кто стоит за действиями API, и имеет решающее значение для определения того, что было скомпрометировано.

• IP-адрес источника

Перечисляет записи DNS для ресурсов AWS или перенаправляет соответствующий IP-адрес при использовании консоли AWS.

Например, если кто-то войдет в консоль и внесет пару изменений, он не предоставит IP-адрес хоста, на котором работает консоль AWS, а вместо этого переадресует IP-адрес браузера, обращающегося к консоли.

• агент пользователя

Список агентов, через которых был сделан запрос. Это может быть консоль управления AWS, AWS SDK, AWS CLI или сервис AWS.

Например, «signin.amazonaws.com» обозначает запрос, сделанный пользователем IAM с помощью консоли управления AWS.

• awsRegion

Отображает регион, в который был сделан запрос.

• код ошибки

Перечисляет конкретную ошибку службы AWS, когда запрос возвращает ошибку.

Например:

Ошибка: сервис недоступен

Код состояния HTTP: 503

Описание ошибки: Запрос не выполнен из-за временного сбоя сервера.

Что я могу сделать с этими деталями?

Подробности из журналов CloudTrail преобразуются в ценную информацию, которую затем можно использовать для защиты учетной записи AWS. Журналы CloudTrail помогают решать вопросы, возникающие в повседневных ситуациях, например:

▪ Какие действия совершал пользователь за определенный период времени?

▪ Какое действие было выполнено с конкретным ресурсом AWS и кто его выполнил?

▪ Каков исходный IP-адрес данного действия?

▪ Какие действия пользователя завершились неудачно из-за неадекватных разрешений?

Ваш собственный личный покупатель.

Журналы CloudTrail помогут вам ежедневно защищать свою учетную запись AWS. Они также могут помочь вам в расследовании и выявлении виновника инцидента безопасности, что делает их хорошим компаньоном как для ИТ-администраторов, так и для администраторов безопасности.

ManageEngine понимает, насколько полезными могут быть журналы CloudTrail. Вот почему Cloud Security Plus был разработан, чтобы вы могли максимально эффективно использовать CloudTrail.

Cloud Security Plus действует как ваш личный покупатель. Он считывает журналы AWS CloudTrail непосредственно из корзины AWS S3, а затем анализирует собранные данные CloudTrail, чтобы предоставить исчерпывающие отчеты о действиях, происходящих в вашей среде AWS. Используйте Cloud Security Plus для поиска в журналах AWS CloudTrail и создания предупреждений, чтобы обеспечить безопасность и защиту вашей учетной записи AWS.