Preguntas frecuentes sobre AWS CloudTrail

Aspectos generales

CloudTrail permite la auditoría, el monitoreo de la seguridad y la solución de problemas operativos a partir del seguimiento de la actividad del usuario y el uso de la API. CloudTrail registra, monitorea de forma continua y retiene la actividad de la cuenta relacionada con las acciones en toda la infraestructura de AWS, lo que le permite controlar las acciones de almacenamiento, análisis y reparación.

CloudTrail lo ayuda a demostrar la conformidad, mejorar la posición de seguridad y consolidar los registros de actividad en todas las regiones y cuentas. CloudTrail permite conocer las actividades de los usuarios mediante el registro de la actividad realizada en su cuenta. CloudTrail registra información importante sobre cada acción, incluido quién ha efectuado la solicitud, qué servicios se han utilizado, qué acción se ha realizado, los parámetros de las acciones y los elementos de la respuesta enviada por el servicio de AWS. Esta información le ayuda a realizar un seguimiento de los cambios que se producen en los recursos de AWS y a solucionar problemas operativos. CloudTrail facilita la tarea de garantizar la conformidad con las políticas internas y los estándares regulatorios. Para obtener más detalles, consulte el documento técnico sobre conformidad de AWS: Security at Scale: Logging in AWS. 

Use CloudTrail si necesita auditar la actividad, monitorear la seguridad o solucionar problemas operativos.

Introducción

No, no se necesita nada para comenzar a ver la actividad de la cuenta. Puede ir a la consola de AWS CloudTrail o la AWS CLI y ver la actividad de la cuenta de los últimos 90 días.

AWS CloudTrail solo muestra los resultados del historial de eventos de CloudTrail de los últimos 90 días de la región actual que está viendo y es compatible con un rango de servicios de AWS. Estos eventos están limitados a eventos de administración que crean, modifican y eliminan las llamadas a la API y la actividad de la cuenta. Para obtener un registro completo de la actividad de la cuenta, incluidos los eventos de administración y datos, y la actividad de solo lectura, debe configurar un seguimiento de CloudTrail.

Puede especificar el rango de tiempo y uno de los siguientes atributos: nombre del evento, nombre de usuario, nombre del recurso, origen del evento, ID del evento y tipo de recurso.

Sí, puede ir a la consola de CloudTrail o usar la API/CLI de CloudTrail y ver la actividad de la cuenta de los últimos 90 días.

Configure un seguimiento de CloudTrail para entregar los eventos de CloudTrail a Amazon Simple Storage Service (Amazon S3), Registros de Amazon CloudWatch y Eventos de Amazon CloudWatch. Eso lo ayuda a usar características para archivar y analizar cambios en sus recursos de AWS y responder ante ellos.

Sí, CloudTrail se integra con AWS Identity and Access Management (IAM), que lo ayuda a controlar el acceso a CloudTrail y otros recursos de AWS que CloudTrail necesita. Incluida la habilidad de restringir los permisos para ver y buscar la actividad de la cuenta. Elimine “cloudtrail:LookupEvents” de la política de IAM de usuarios para impedir que los usuarios de IAM vean la actividad de la cuenta.

La visualización o la búsqueda de la actividad de la cuenta con el historial de eventos de CloudTrail no conllevan ningún costo. 

Para cualquier seguimiento de CloudTrail creado, puede detener el registro o eliminar los seguimientos. Esto también detendrá la entrega de la actividad de la cuenta al bucket de Amazon S3 que designó como parte de la configuración del seguimiento, así como la entrega a Registros de CloudWatch si está configurado. La actividad de la cuenta de los últimos 90 días seguirá recopilándose y estará visible en la consola de CloudTrail y mediante la Interfaz de la línea de comandos de AWS (AWS CLI). 

Compatibilidad con servicios y disponibilidad en regiones

CloudTrail registra la actividad de la cuenta y los eventos de servicios de la mayoría de los servicios de AWS. Para ver una lista de los servicios admitidos, consulte la sección sobre servicios compatibles con CloudTrail de la Guía del usuario de CloudTrail.

Sí. CloudTrail registra las llamadas a las API realizadas desde cualquier cliente. La consola de administración de AWS, los SDK de AWS, las herramientas de línea de comandos y los servicios de AWS de nivel superior llaman a operaciones de las API de AWS, por lo que estas llamadas se registran.

La información de la actividad de los servicios con puntos de conexión regionales (como Amazon Elastic Compute Cloud [Amazon EC2] o Amazon Relational Database Service [Amazon RDS]) se captura y procesa en la misma región en la que se lleva a cabo la acción. A continuación, se entrega a la región asociada al bucket de S3. La información de la actividad de los servicios con puntos de conexión únicos, como IAM y AWS Security Token Service (AWS STS), se captura en la región en la que se encuentra el punto de conexión. A continuación, se procesa en la región donde está configurado CloudTrail y se entrega a la región asociada con su bucket de S3.

Aplicar un seguimiento en todas las regiones

Aplicar un seguimiento a todas las regiones de AWS implica crear un seguimiento que registre la actividad de la cuenta de AWS en todas las regiones en las que se almacenan sus datos. Este ajuste también se aplica a cualquier región nueva que se agregue. Para obtener más detalles acerca de las regiones y las particiones, consulte la página de nombres de recursos de Amazon y espacios de nombres de servicios de AWS.

Puede crear y administrar un seguimiento para todas las regiones en la partición en una llamada a la API o con unas cuantas selecciones. Recibirá un registro de actividad de su cuenta de AWS en todas las regiones en un bucket de S3 o en un grupo de Registros de CloudWatch. Cuando AWS lance una región nueva, recibirá los archivos de registros con el historial de eventos para la región nueva sin llevar a cabo ninguna acción.

En la consola de CloudTrail, seleccione “Yes” (Sí) en la página de configuración del seguimiento para que se aplique a todas las regiones. Si usa los SDK o AWS CLI, configure IsMultiRegionTrail como True (Verdadero). 

Al aplicar un seguimiento a todas las regiones, CloudTrail creará un seguimiento nuevo replicando su configuración. CloudTrail registrará y procesará los archivos de registros de cada región y enviará los archivos de registros con la actividad de la cuenta en todas las regiones a un solo bucket de S3 y a un solo grupo de registro de Registros de CloudWatch. Si ha especificado un tema de Amazon Simple Notification Service (Amazon SNS) opcional, CloudTrail enviará notificaciones de Amazon SNS de todos los archivos de registros enviados a un solo tema de SNS.

Sí. Puede aplicar un seguimiento ya existente a todas las regiones. Si aplica un seguimiento existente a todas las regiones, CloudTrail creará un seguimiento nuevo por usted en todas las regiones. Si previamente ha creado seguimientos en otras regiones, puede ver, editar y eliminar esos seguimientos desde la consola de CloudTrail

Normalmente, tarda menos de 30 segundos en replicar la configuración del seguimiento en todas las regiones.

Varios seguimientos

Puede crear hasta cinco seguimientos en una región. Un seguimiento que se aplica a todas las regiones existe en cada una de las regiones y se cuenta como un seguimiento en cada región.

Con varios seguimientos, diferentes inversores, como administradores de seguridad, desarrolladores de software y auditores de TI, pueden crear y administrar sus propios seguimientos. Por ejemplo, un administrador de seguridad puede crear un seguimiento que se aplique a todas las regiones y configurar el cifrado utilizando una clave de Amazon Key Management Service (Amazon KMS). Un desarrollador puede crear un seguimiento que se aplique a una región para solucionar problemas de funcionamiento.

Sí. Al utilizar permisos de nivel de recurso, puede escribir políticas de control de acceso pormenorizado para otorgar o denegar el acceso de usuarios concretos a un seguimiento en particular. Para obtener más información, consulte la documentación de CloudTrail. 

Seguridad y vencimiento

De forma predeterminada, los registros de CloudTrail se cifran mediante cifrado del servidor (SSE) de S3 y se guardan en su bucket de S3. Puede controlar el acceso a los archivos de registros mediante IAM o las políticas de bucket de S3. Puede agregar una capa de seguridad adicional habilitando la opción de eliminación de la autenticación multifactor (MFA) de S3 en su bucket de S3. Para obtener más detalles sobre cómo crear y actualizar un seguimiento, consulte la documentación de CloudTrail.

Puede descargar una política de bucket de S3 y una política de tema de SNS de muestra en el bucket de S3 de CloudTrail. Debe actualizar las políticas de muestra con su información antes de aplicarlas al bucket de S3 o al tema de SNS.

El usuario tiene el control sobre las políticas de retención que se aplican a los archivos de registros de CloudTrail. De forma predeterminada, los registros se almacenan de forma indefinida. Puede usar las reglas de administración del ciclo de vida de los objetos de S3 para definir su propia política de retención. Por ejemplo, puede eliminar los archivos de registros antiguos o archivarlos en Amazon Simple Storage Service Glacier (Amazon S3 Glacier).

Mensaje, plazo de entrega y frecuencia de entrega de los eventos

Un evento contiene información sobre la actividad asociada: quién ha efectuado la solicitud, qué servicios se han utilizado, qué acción se ha realizado y los parámetros de la acción, así como los elementos de la respuesta enviada por el servicio de AWS. Para obtener más detalles, consulte la sección sobre la referencia de los eventos de CloudTrail de la guía del usuario. 

Normalmente, CloudTrail entrega el evento en el plazo de 5 minutos desde que se produce la llamada a las API. Para más información sobre cómo funciona CloudTrail, consulte aquí.   

CloudTrail entrega archivos de registros en su bucket de S3 aproximadamente cada cinco minutos. CloudTrail no entrega ningún log si no se produce ninguna llamada a las API en su cuenta. 

Sí. Puede activar las notificaciones de SNS para actuar de inmediato cuando se entreguen nuevos archivos de registros. 

Aunque es poco frecuente, es posible que reciba archivos de registro que contengan uno o más eventos duplicados. Los eventos duplicados tendrán el mismo eventID. Para obtener más información sobre el campo eventID, consulte el contenido del registro de CloudTrail

Los archivos de registros de CloudTrail se entregan de conformidad con las políticas de bucket de S3 que estén en vigor. Si las políticas de bucket están mal configuradas, CloudTrail no podrá entregar los logs. 

CloudTrail está diseñado para admitir al menos una entrega de eventos suscritos a los buckets de S3 del cliente. En algunas situaciones, es posible que CloudTrail ofrezca el mismo evento más de una vez. Como resultado, los clientes pueden observar eventos duplicados. 

Eventos de datos

Los eventos de datos proporcionan información acerca de las operaciones realizadas por el recurso (plano de datos) en el recurso o en su interior. A menudo, los eventos de datos son actividades de alto volumen e incluyen operaciones como API de nivel de objeto de S3 y API de invocación de funciones de AWS Lambda. Los eventos de datos de desactivan de forma predeterminada al configurar un seguimiento. Para registrar los eventos de datos de CloudTrail, debe agregar de forma explícita todos los recursos o tipos de recursos compatibles cuya actividad desee recopilar. A diferencia de los eventos de administración, los eventos de datos suponen costos adicionales. Para obtener más información, consulte los precios de CloudTrail

Los eventos de datos registrados por CloudTrail se entregan a S3, de modo similar a los eventos de administración. Una vez habilitados, estos eventos también están disponibles en Amazon CloudWatch Events. 

Los eventos de datos de S3 representan la actividad de la API en relación con objetos de S3. Para que CloudTrail pueda registrar estas acciones, debe especificar un bucket de S3 en la sección de eventos de datos al crear un nuevo seguimiento o modificar uno existente. CloudTrail registrará cualquier acción de la API en los objetos del bucket de S3 especificado. 

Los eventos de datos de Lambda registran la actividad del tiempo de ejecución de las funciones de Lambda. Con los eventos de datos de Lambda, puede obtener detalles sobre el tiempo de ejecución de la función de Lambda. Los ejemplos de tiempo de ejecución de la función de Lambda incluyen qué usuario o servicio de IAM hizo la llamada a la API de invocación, cuándo se hizo la llamada y qué función se aplicó. Todos los eventos de datos de Lambda se entregan a un bucket de S3 y a Eventos de CloudWatch. Puede activar el registro de eventos de datos de Lambda mediante la consola de CloudTrail o la CLI, y seleccione las funciones de Lambda que se registrarán al crear un nuevo seguimiento o editar un seguimiento existente. 

Eventos de actividad de red (en versión preliminar)

Los eventos de actividad de red registran las acciones de la API de AWS realizadas con puntos de conexión de VPC desde una VPC privada al servicio de AWS y lo ayudan a cumplir con los casos de uso de las investigaciones de seguridad de la red. Esto incluye las llamadas a la API de AWS que han superado correctamente la política del punto de conexión de VPC y las llamadas a las que se ha denegado el acceso. A diferencia de los eventos de administración y datos que se entregan tanto a la persona que llama a la API como al propietario del recurso, los eventos de actividad de red solo se entregan al propietario del punto de conexión de VPC. Para registrar los eventos de actividad de la red, debe habilitarlos de manera explícita al configurar su almacén de datos de rutas o eventos y elegir los orígenes de eventos de los servicios de AWS en los que desea recopilar la actividad. También puede agregar filtros adicionales, como filtrar por ID de punto de conexión de VPC o registrar solo los errores de acceso denegado. Los eventos de actividad de red conllevan cargos adicionales. Para obtener más información, consulte los precios de CloudTrail.

La característica registra la información relacionada con el tráfico IP hacia y desde interfaces en su VPC. Los datos del registro de flujo se pueden publicar en las siguientes ubicaciones: Registros de Amazon CloudWatch, Amazon S3 o Amazon Data Firehose. Los eventos de actividad de red para los puntos de conexión de VPC capturan las acciones de la API de AWS realizadas con los puntos de conexión de VPC desde una VPC privada al servicio de AWS. Esto le brinda detalles sobre quién accede a los recursos dentro de su red, de modo que tiene una mayor capacidad para identificar y responder a las acciones no deseadas en su perímetro de datos. Puede consultar los registros de las acciones que se denegaron debido a las políticas de punto de conexión de VPC o usar estos eventos para validar el impacto de la actualización de las políticas existentes. 

Administrador delegado

Sí, CloudTrail ahora admite agregar hasta tres administradores delegados por organización.

La cuenta de administrador seguirá siendo propietaria de todos los registros de la organización o almacenes de datos de eventos creados a nivel de organización, independientemente de si fue creado por una cuenta de administrador delegado o por una cuenta de administrador.

Actualmente, el soporte de administrador delegado para CloudTrail está disponible en todas las regiones donde AWS CloudTrail está disponible. Para obtener más información, consulte la tabla de regiones de AWS.

CloudTrail Insights

Los eventos de CloudTrail Insights lo ayudan a identificar cualquier actividad inusual en las cuentas de AWS, como los picos en el aprovisionamiento de recursos, las ráfagas de acciones de AWS Identity and Access Management (IAM) o las brechas en las actividades de periódicas. CloudTrail Insights utiliza modelos de machine learning (ML) que monitorean los eventos de administración de escritura de CloudTrail continuamente en busca de actividad inusual.

Cuando se detecta cualquier actividad inusual, se muestran los eventos de CloudTrail Insights en la consola y se envían a Eventos de CloudWatch, su bucket de S3 y, opcionalmente, al grupo de Registros de CloudWatch. Esto facilita la creación de alertas y la integración con los sistemas existentes de flujos de trabajo y administración de eventos.

CloudTrail Insights detecta actividad inusual con el análisis de los eventos de administración de escritura de CloudTrail dentro de una cuenta y una región de AWS. Un evento anormal o inusual es definido por el volumen de llamadas a la API de AWS que se desvía de lo esperado de un patrón o punto de referencia operativo previamente establecido. CloudTrail Insights se adapta a los cambios en sus patrones operativos normales teniendo en cuenta las tendencias basadas en el tiempo de sus llamadas a la API y aplicando puntos de referencia adaptables a medida que cambian las cargas de trabajo.

CloudTrail Insights puede ayudarlo a detectar scripts o aplicaciones que se comporten de manera incorrecta. A veces, un desarrollador cambia un script o aplicación que repite un bucle o realiza una gran cantidad de llamadas no deseadas a recursos como bases de datos, almacenes de datos u otras funciones. Usualmente, este comportamiento no es descubierto hasta que aumentan los costos a fin de mes inesperadamente o cuando ocurre una interrupción. Los eventos de CloudTrail Insights pueden ayudarlo a descubrir estos cambios en su cuenta de AWS para que pueda realizar las acciones correctivas los antes posible.

CloudTrail Insights identifica la actividad operativa inusual en sus cuentas de AWS, lo cual le permite abordar los problemas operativos, esto disminuye el impacto operativo y comercial. Amazon GuardDuty se enfoca en mejorar la seguridad de la cuenta y proporciona un sistema de detección de amenazas que monitorea la actividad de su cuenta. Amazon Macie fue diseñado para mejorar la protección de los datos en su cuenta descubriendo, clasificando y protegiendo la información confidencial. Estos servicios proporcionan protecciones suplementarias contra diferentes tipos de problemas que podrían afectar a su cuenta.

Sí. Los eventos de CloudTrail Insights son configurados en rastros individuales, por lo que deberá tener al menos un rastro configurado. Cuando activa los eventos de CloudTrail Insights para un rastro, CloudTrail comienza a monitorizar los eventos de administración de escritura capturados por ese rastro en busca de patrones inusuales. Si CloudTrail Insights detecta una actividad inusual, se registrará un evento de CloudTrail Insights en el destino de entrega especificado en la definición del seguimiento.

CloudTrail Insights busca actividad inusual en las operaciones de la API de administración de escritura.

Puede habilitar los eventos de CloudTrail Insights para seguimientos individuales en su cuenta utilizando la consola, la CLI o el SDK. También puede habilitar los eventos de CloudTrail Insights en su organización con un seguimiento de organización configurado en su cuenta de administración de AWS Organizations. Puede desactivar los eventos de CloudTrail Insights si elige el botón de radio en la definición de seguimiento. 

CloudTrail Lake

CloudTrail Lake lo ayuda a examinar los incidentes al consultar todas las acciones registradas por CloudTrail, los elementos de configuración registrados por AWS Config, las pruebas de Audit Manager o los eventos de fuentes ajenas a AWS. Simplifica el registro de incidentes ayudando a eliminar las dependencias operativas y proporciona herramientas que pueden ayudar a reducir su dependencia de canalizaciones de proceso de datos complejas que se extienden por todos los equipos. CloudTrail Lake no requiere que usted transfiera ni capture registros de CloudTrail en otro lugar, lo que ayuda a mantener la fidelidad de los datos y disminuye la necesidad de tener que lidiar con límites de baja velocidad que limitan sus registros. También proporciona latencias casi en tiempo real debido a que está optimizado para procesar registros estructurados de alto volumen, lo que los deja disponibles para la investigación de incidentes. Por último, CloudTrail Lake brinda una experiencia de consulta conocida de varios atributos con SQL y es capaz de programar y gestionar varias consultas simultáneas. También puede usar la generación de consultas en lenguaje natural (en versión preliminar) para analizar sus eventos, potenciando a los usuarios que no son expertos en escribir consultas SQL o que no tienen un conocimiento profundo de los eventos de CloudTrail.

CloudTrail es el origen canónico de los registros de la actividad del usuario y el uso de la API en los servicios de AWS. Puede usar CloudTrail Lake para examinar la actividad en los servicios de AWS una vez que los registros están disponibles en CloudTrail. Puede consultar y analizar la actividad del usuario y los recursos afectados y usar los datos para abordar problemas como la identificación de actores malintencionados y permisos de base de referencia.

Mediante la consola de CloudTrail, puede encontrar y agregar integraciones de socios para comenzar a recibir eventos de actividad de estas aplicaciones en pocos pasos sin tener que crear ni mantener integraciones personalizadas. En el caso de orígenes que no sean las integraciones de socios disponibles, puede usar las nuevas API de CloudTrail Lake para configurar sus propias integraciones y eventos push a CloudTrail Lake. Para comenzar, consulte la sección Trabajar con CloudTrail Lake en la Guía del usuario de CloudTrail.

Se recomienda la consulta avanzada de AWS Config a los clientes que quieran agregar y consultar elementos de configuración (CI) actuales de AWS Config. Esto ayuda a los clientes con la administración de inventarios, la seguridad y la inteligencia operativa, la optimización de costos y los datos de conformidad. La consulta avanzada de AWS Config es gratuita si es cliente de AWS Config. 

CloudTrail Lake admite la cobertura de consultas para los elementos de configuración de AWS Config, incluida la configuración de recursos y el historial de conformidad. Analizar la configuración y el historial de conformidad de los recursos con eventos de CloudTrail relacionados ayuda a obtener toda la información necesaria sobre los cambios en esos recursos. Esto ayuda a analizar la causa raíz de los incidentes relacionados con exposiciones de seguridad o falta de conformidad. Se recomienda CloudTrail Lake cuando se deben agregar y consultar datos a través de eventos y elementos de configuración históricos de CloudTrail.  

CloudTrail Lake no ingerirá los elementos de configuración de AWS Config que se hayan generado antes de configurarlo. Los elementos de configuración recién registrados desde AWS Config, a nivel de cuenta u organización, se entregarán al almacén de datos de eventos de CloudTrail Lake especificado. Estos elementos de configuración estarán disponibles en Lake para su consulta durante el periodo de retención especificado y se podrán usar para el análisis de datos históricos. 

Si varios usuarios intentan hacer una sucesión rápida de cambios de configuración en un mismo recurso, solo se podrá crear un elemento de configuración que se corresponda con la configuración final del recurso. En este y otros escenarios similares, puede que no sea posible proporcionar una correlación del 100 % sobre qué usuario hizo qué cambios de configuración a partir de la consulta de CloudTrail y de los elementos de configuración sobre un intervalo de tiempo o ID de recurso específicos.

Sí. La capacidad de importación de CloudTrail Lake admite la copia de registros de CloudTrail desde un bucket de S3 que almacena registros de varias cuentas (desde un registro de seguimiento de la organización) y varias regiones de AWS. También puede importar registros de cuentas individuales y seguimientos de una sola región. La capacidad de importación también le permite especificar un intervalo de fechas de importación, de modo que solo importe el subconjunto de registros que se necesitan para el almacenamiento y análisis a largo plazo en CloudTrail Lake. Una vez que haya consolidado sus registros, puede ejecutar consultas en sus registros, desde los eventos más recientes recopilados después de habilitar CloudTrail Lake, hasta eventos históricos traídos de sus seguimientos.

La capacidad de importación copia la información de registro de S3 a CloudTrail Lake y deja la copia original en S3 tal como está.

Puede habilitar CloudTrail Lake para cualquiera de las categorías de eventos que recopila CloudTrail, en función de las necesidades internas de resolución de problemas. Las categorías de eventos incluyen eventos de administración que registran las actividades del plano de control, como CreateBucket y TerminateInstances, y los eventos de datos que registran las actividades del plano de datos, como GetObject y PutObject, y eventos de actividad de red (en versión preliminar) que capturan las acciones de API realizadas mediante puntos de conexión de VPC desde una VPC privada al servicio de AWS. No necesita una suscripción de seguimiento separada para ninguno de estos eventos. En el caso de CloudTrail Lake, tendrá que elegir entre las opciones de precios de retención ampliable de un año y de retención de siete años, lo que afectará a sus costos y a la duración de la retención de eventos. Puede consultar los datos en cualquier momento. En los paneles de CloudTrail Lake, admitimos la consulta de eventos de CloudTrail.

Puede comenzar a consultar las actividades que se realizaron después de habilitar la característica casi de inmediato.

Los casos de uso comunes incluyen la investigación de los incidentes de seguridad, como el acceso no autorizado o las credenciales de usuario en peligro, y la mejora de su posición de seguridad mediante la realización de auditorías para establecer permisos de usuario con regularidad. Puede llevar a cabo auditorías necesarias para asegurarse de que el conjunto adecuado de usuarios efectúa cambios en los recursos, como los grupos de seguridad, y realizar un seguimiento de cualquier cambio que no se ajuste a las prácticas recomendadas de la organización. También puede hacer un seguimiento de las acciones ejecutadas en sus recursos y evaluar las modificaciones o las eliminaciones, además de obtener información más detallada sobre las facturas de los servicios de AWS, incluidos los usuarios de IAM que se suscriben a los servicios.

No importa que sea un cliente de CloudTrail nuevo o uno existente, puede comenzar a utilizar la capacidad CloudTrail Lake de inmediato para ejecutar consultas habilitando la característica a través de la API o la consola de CloudTrail. Seleccione la pestaña CloudTrail Lake en el panel izquierdo de la consola de CloudTrail y seleccione el botón Crear almacén de datos de eventos. Cuando crea un almacén de datos de eventos, elige la opción de precios que quiere usar para el almacén de datos de eventos. La opción de precios determina el costo de la ingesta de eventos y el período de retención máximo y predeterminado del almacén de datos de eventos. A continuación, seleccione eventos de todas las categorías de eventos registrados por CloudTrail (eventos de administración y datos) para empezar.

Además, para ayudarlo a visualizar sus principales eventos de CloudTrail Lake, puede empezar a utilizar los paneles de CloudTrail Lake. Los paneles de CloudTrail Lake son paneles prediseñados que proporcionan una visibilidad lista para usar y la información más valiosa a partir de sus datos de auditoría y seguridad directamente en la consola de CloudTrail.

Sí. Puede actualizar la opción de precio de retención de siete años a precio de retención prorrogable de un año como parte de la configuración del almacén de datos de eventos. Los datos existentes permanecerán disponibles en el almacén de datos de eventos durante el período de retención configurado. Estos datos no incurrirán en cargos de retención prolongados. Sin embargo, cualquier nuevo dato que se ingiera seguirá las tarifas de retención prorrogable de un año, tanto para la ingestión como para la retención prorrogada. 

No. Actualmente, no admitimos la migración de un almacén de datos de eventos de un precio de retención ampliable de un año a un precio de retención de siete años. Sin embargo, podrá desactivar el registro del almacén de datos de eventos actual y, al mismo tiempo, crear un nuevo almacén de datos de eventos con un precio de retención de siete años para los datos recién ingeridos. Podrá retener y analizar los datos en ambos almacenes de datos de eventos con la opción de precios correspondiente y el período de retención configurado.

CloudTrail Lake es un lago de auditoría que ayuda a los clientes a satisfacer sus necesidades de casos de uso en relación con el cumplimiento y la auditoría. Según los mandatos de sus programas de cumplimiento, los clientes deben retener los registros de auditoría durante un período específico desde el momento en que se generaron los registros, independientemente del momento en que se ingirieron en CloudTrail Lake.

No. Dado que se trataba de un evento histórico con una fecha de evento anterior, este evento se retendrá en CloudTrail Lake durante un período de retención de 1 año a partir de la hora del evento. Por lo tanto, la duración durante la cual se almacenará ese evento en CloudTrail Lake será inferior a 1 año. 

En la actualidad, los paneles de CloudTrail Lake admiten la administración de CloudTrail y los eventos de datos.

Los paneles están habilitados actualmente a nivel de cuenta y se aplicarán a todos los almacenes de datos de eventos activos en esa cuenta que tengan habilitados los eventos de datos o la administración de CloudTrail.

Los paneles de CloudTrail Lake funcionan con consultas de CloudTrail Lake. Al habilitar los paneles de CloudTrail Lake, se le cobrará por los datos analizados. Consulte la página de precios para obtener más información.

No. En la actualidad, todos los paneles de CloudTrail Lake están seleccionados y predefinidos y no se pueden personalizar.

Los ingenieros de auditoría y cumplimiento pueden utilizar los paneles de CloudTrail Lake para realizar un seguimiento del progreso de los mandatos de cumplimiento, como la migración a TLS 1.2 y a una versión posterior. Los paneles de CloudTrail Lake ayudarán a los ingenieros de seguridad a rastrear de cerca las actividades confidenciales de los usuarios, como la eliminación de rastros o los errores de denegación de acceso reiterados. Los ingenieros de operaciones en la nube pueden ver problemas como los principales errores de limitación de servicios desde el panel de control seleccionado.

Agrupación de archivos de registros

Sí. Puede configurar un bucket de S3 como destino para varias cuentas. Para obtener instrucciones detalladas, consulte la sección sobre cómo agrupar archivos de registros en un único bucket de S3 de la Guía del usuario de CloudTrail.

Integración con Registros de CloudWatch

La integración de CloudTrail con CloudWatch Logs envía los eventos de administración y datos que registra CloudTrail a una secuencia de registro de CloudWatch Logs en el grupo de registros de CloudWatch Logs que especifique.

Esta integración lo ayuda a recibir notificaciones de SNS sobre la actividad de la cuenta capturada por CloudTrail. Por ejemplo, puede crear alarmas de CloudWatch para monitorear las llamadas a la API que creen, modifiquen y eliminen grupos de seguridad y listas de control de acceso (ACL) de red.

La integración de CloudTrail con Registros de CloudWatch puede especificarse desde la consola de CloudTrail. Para ello, deberá especificar un grupo de registro de Registros de CloudWatch y un rol de IAM. También puede utilizar los SDK y la CLI de AWS para activar esta integración.

Una vez activada la integración, CloudTrail enviará constantemente la actividad de la cuenta a un flujo de registro de Registros de CloudWatch del grupo de registro de Registros de CloudWatch que se especifique. CloudTrail sigue enviando registros a su bucket de S3 como antes.

Esta integración se encuentra disponible en todas las regiones que admiten Registros de CloudWatch. Para obtener más información, consulte Regiones y puntos de conexión en la Referencia general de AWS.

CloudTrail asume el rol de IAM al que se asigna la responsabilidad de comunicar la actividad de la cuenta a Registros de CloudWatch. La función de IAM se limita exclusivamente a los permisos necesarios para comunicar eventos a su secuencia de registros de CloudWatch Logs. Para ver la política de rol de IAM, consulte la guía del usuario de la documentación de CloudTrail.

Cuando active la integración de CloudTrail con Registros de CloudWatch, se le cobrarán los cargos estándar de Registros de CloudWatch y CloudWatch. Para obtener más detalles, consulte la página de precios de CloudWatch. 

Cifrado de archivos de registros de CloudTrail con AWS KMS

El cifrado de archivos de registros de CloudTrail con SSE-KMS permite agregar una capa adicional de seguridad a los archivos de registros de CloudTrail que se entregan a un bucket de S3 mediante el cifrado de los archivos de registros con una clave de KMS. De forma predeterminada, CloudTrail cifrará todos los archivos de registros que se entreguen a su bucket de S3 a través del cifrado del servidor (SSE) de S3.

Con SSE-KMS, S3 descifrará automáticamente los archivos de registros para que no tenga que hacer ningún cambio en la aplicación. Como siempre, tiene que cerciorarse de que la aplicación tenga los permisos adecuados, es decir, los permisos S3 GetObject y AWS KMS Decrypt.

Puede usar la Consola de administración de AWS, AWS CLI o los SDK de AWS para configurar el cifrado de los archivos de registros. Para obtener instrucciones detalladas, consulte la documentación.

Cuando configure el cifrado con SSE-KMS, deberá abonar los cargos estándar de AWS KMS. Para obtener más detalles, consulte la página de precios de AWS KMS.

Validación de la integridad de los archivos de registros de CloudTrail

La característica de validación de la integridad de los archivos de registros de CloudTrail lo ayuda a determinar si un archivo de registros de CloudTrail se cambió, eliminó o permaneció intacto desde que CloudTrail lo entregó al bucket especificado de S3.

Puede apoyarse en la validación de la integridad de los archivos de registros para llevar a cabo los procesos de auditoría y seguridad de TI.

Puede habilitar la característica de validación de la integridad de los archivos de registros de CloudTrail en la consola, AWS CLI o los SDK de AWS.

Cuando se active la característica de validación de la integridad de los archivos de registros, CloudTrail entregará archivos de resumen cada hora. Los archivos de resumen tienen información sobre los archivos de registro que se entregaron al bucket de S3 y sobre los valores hash de esos archivos de registro. También, la sección de metadatos de S3 contiene las firmas digitales de los archivos de resumen anterior y actual. Para obtener más información sobre los archivos de resumen, las firmas digitales y los valores hash, visite la documentación de CloudTrail.

Los archivos de resumen se entregan al mismo bucket de S3 al que se envían los archivos de registros. Sin embargo, se entregan en una carpeta diferente para permitirle aplicar políticas de control de acceso pormenorizado. Para obtener más detalles, consulte la sección sobre la estructura del archivo de resumen en la documentación de CloudTrail.

Puede usar AWS CLI para validar la integridad de un archivo de registros de resumen. También puede crear sus propias herramientas para realizar la validación. Para obtener más detalles sobre el uso de AWS CLI para validar la integridad de un archivo de registros, consulte la documentación de CloudTrail.

Sí. CloudTrail entregará los archivos de resumen de todas las regiones y las distintas cuentas en el mismo bucket de S3.

Biblioteca de procesamiento de CloudTrail

La biblioteca de procesamiento de CloudTrail es una biblioteca de Java que facilita la creación de una aplicación que lea y procese archivos de registros de CloudTrail. Puede descargar la biblioteca de procesamiento de CloudTrail desde GitHub.

La biblioteca de procesamiento de CloudTrail aporta funcionalidad para administrar tareas como el sondeo continuo de una cola de SQS, la lectura y el análisis sintáctico de los mensajes de Amazon Simple Queue Service (Amazon SQS). También descarga los archivos de registros almacenados en S3, el análisis sintáctico y la serialización de eventos de archivos de registro con tolerancia a errores. Para obtener más información, consulte la guía del usuario de la documentación de CloudTrail. 

Necesita la versión 1.9.3 de aws-java-sdk y Java 1.7 o superior.

Precios

CloudTrail lo ayuda a ver, buscar y descargar los últimos 90 días de los eventos de administración de su cuenta de forma gratuita. Puede entregar una copia de sus eventos de administración en curso a S3 de forma gratuita si crea un seguimiento. Tras configurar un seguimiento de CloudTrail, S3 aplica el cobro basándose en su uso.

Puede entregar copias adicionales de los eventos, incluidos los eventos de datos y los eventos de actividad de red (en versión preliminar), mediante el uso de seguimientos. Se le cobrará por los eventos de datos, los eventos de actividad de red y las copias adicionales de los eventos de administración. Obtenga más información en la página de precios.

No. La primera copia de los eventos de administración se entrega de forma gratuita en cada región.

Sí. Solo se le cobrará por los eventos de datos. La primera copia de los eventos de administración se proporciona de manera gratuita. 

Cuando utiliza CloudTrail Lake, paga por la ingesta y el almacenamiento conjuntamente, donde la facturación se basa en la cantidad de datos sin comprimir ingeridos y la cantidad de datos comprimidos almacenados. Cuando crea un almacén de datos de eventos, elige la opción de precios que quiere usar para el almacén de datos de eventos. La opción de precios determina el costo de la ingesta de eventos y el período de retención máximo y predeterminado del almacén de datos de eventos. Los cargos de consulta se basan en los datos comprimidos que elija analizar. Obtenga más información en la página de precios.

Sí. Cada evento de CloudTrail, en promedio, ocupa alrededor de 1500 bytes. Mediante este mapeo, podrá estimar la ingesta de CloudTrail Lake basándose en el uso de CloudTrail del mes anterior en seguimientos por número de eventos.

Socios

Varios socios ofrecen soluciones integradas para analizar los registros de CloudTrail. Estas soluciones incluyen características como el seguimiento de los cambios, la solución de problemas y el análisis de seguridad. Para obtener más información, consulte la sección sobre socios de CloudTrail.

Para comenzar con la integración, puede revisar la Guía de incorporación de socios. Trabaje con su equipo de desarrollo de socios o arquitecto de soluciones de socios para conectarse con el equipo de CloudTrail Lake a fin de profundizar aún más o en caso de tener más preguntas.

Otros

No. El hecho de activar CloudTrail no afecta el rendimiento de los recursos de AWS ni la latencia de las llamadas a las API.