Trabajar con AWS CloudTrail Lake
AWS CloudTrail Lake le permite ejecutar consultas basadas en SQL sobre sus eventos. CloudTrail Lake convierte los eventos existentes en formato JSON basado en filas al formato ORC de Apache
Almacenes de datos de eventos de CloudTrail Lake
Cuando crea un almacén de datos de eventos, elige el tipo de eventos que desea incluir en él. Puede crear un almacén de datos de eventos para que incluya los eventos de CloudTrail (eventos de administración, de datos y de actividad de la red), los eventos de CloudTrail Insights, los elementos de configuración de AWS Config, las pruebas de AWS Audit Manager o los eventos externos a AWS. Cada almacén de datos de eventos solo puede contener una categoría de eventos específica (por ejemplo, elementos de configuración de AWS Config), ya que el esquema de eventos de cada categoría es único. Puede almacenar eventos de una organización en AWS Organizations en un almacén de datos de eventos de la organización, incluidos los eventos de varias regiones y cuentas. También puede ejecutar consultas SQL en varios almacenes de datos de eventos mediante las palabras clave compatibles con SQL JOIN. Para obtener información acerca de cómo ejecutar consultas en varios almacenes de datos de eventos, consulte Soporte avanzado de consultas en varias tablas.
Puede copiar los eventos de registro de seguimiento en un almacén de datos de eventos nuevo o existente para crear una instantánea puntual de los eventos registrados en el registro de seguimiento. Para obtener más información, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.
Puede federar un almacén de datos de eventos para ver los metadatos asociados al almacén de datos de eventos en el Catálogo de datos de AWS Glue y ejecutar consultas de SQL sobre los datos de eventos con Amazon Athena. Los metadatos de la tabla almacenados en el Catálogo de datos de AWS Glue permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.
Puede asociar una política basada en recursos a su almacén de datos de eventos para ofrecer acceso entre cuentas a las entidades principales seleccionadas. Puede agregar una política basada en recursos al crear o actualizar un almacén de datos de eventos en la consola de CloudTrail o al ejecutar el comando AWS CLI put-resource-policy. Para obtener más información, consulte Ejemplos de políticas basadas en recursos para almacenes de datos de eventos.
De forma predeterminada, CloudTrail cifra todos los eventos que se encuentran en un almacén de datos de eventos. Cuando configure un almacén de datos de eventos, puede optar por utilizar su propia clave de AWS Key Management Service. Tenga en cuenta que el uso de su propia clave de KMS implica costos de cifrado y descifrado de AWS KMS. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
Puede controlar el acceso a las acciones en los almacenes de datos de eventos mediante el uso de una autorización en función de etiquetas. Para obtener más información y ejemplos, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas en esta guía.
Los almacenes de datos de eventos de CloudTrail Lake conllevan gastos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail
CloudTrail Lake es compatible con las métricas de Amazon CloudWatch, que proporcionan información sobre los datos incorporados y los bytes de almacenamiento. Para obtener más información acerca de las métricas de Amazon CloudWatch admitidas, consulte Métricas de CloudWatch admitidas.
nota
En general, CloudTrail envía eventos en un plazo de 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo.
Consultas de CloudTrail Lake
Las consultas de CloudTrail Lake ofrecen una visión más detallada y personalizable de los eventos que las simples búsquedas de claves y valores en el Event history (Historial de eventos), o ejecutando LookupEvents. La búsqueda en el Event history (Historial de eventos) está limitada a una sola Cuenta de AWS y solo devuelve eventos de una única Región de AWS; además, no se pueden consultar varios atributos. Por el contrario, los usuarios de CloudTrail Lake pueden ejecutar consultas SQL complejas en varios campos de eventos. CloudTrail Lake admite todas las funciones e instrucciones SELECT de Trino válidas. Para obtener más información acerca de los operadores y las funciones SQL compatibles, consulte Funciones y operadores
Puede crear una consulta en la pestaña Editor de CloudTrail Lake mediante la escritura de la consulta en SQL desde cero, la apertura de una consulta guardada o de muestra y su edición, o mediante el generador de consultas para crear una consulta a partir de una petición redactada en inglés. Para obtener más información, consulte Creación o edición de una consulta con la consola de CloudTrail y Creación de consultas de CloudTrail Lake a partir de peticiones de lenguaje natural.
Puede guardar las consultas de CloudTrail Lake para utilizarlas en el futuro y ver sus resultados durante un máximo de siete días. Al ejecutar consultas, puede guardar los resultados de las consultas en un bucket de Amazon S3.
La consola de CloudTrail brinda una serie de consultas de ejemplo que pueden ayudarlo a empezar a escribir sus propias consultas. Para obtener más información, consulte Visualización de consultas de ejemplo con la consola de CloudTrail.
Las consultas de CloudTrail Lake incurren en cargos. Cuando ejecuta consultas en Lake, paga según la cantidad de datos escaneados. Para obtener información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail
Paneles de CloudTrail Lake
Puede usar los paneles de CloudTrail Lake para consultar las tendencias de eventos de los almacenes de datos de eventos de la cuenta. CloudTrail Lake ofrece los siguientes tipos de paneles:
-
Paneles administrados: puede ver un panel administrado para ver las tendencias de eventos de un almacén de datos de eventos que recopila eventos de administración, de datos o de Insights. Estos paneles están disponibles de manera automática y CloudTrail Lake los administra. CloudTrail ofrece 14 paneles administrados entre los que puede elegir. Puede actualizar de manera manual los paneles administrados. No puede modificar, agregar ni eliminar los widgets de estos paneles; sin embargo, puede guardar un panel administrado como un panel personalizado si quiere modificar los widgets o establecer un programa de actualización.
-
Paneles personalizados: estos le permiten consultar eventos en cualquier tipo de almacén de datos de eventos. Puede agregar hasta 10 widgets a un panel personalizado. Puede actualizar de manera manual un panel personalizado o puede establecer un programa de actualización.
-
Paneles destacados: habilite el panel de aspectos destacados para ver un resumen rápido de la actividad recopilada de AWS por los almacenes de datos de eventos de la cuenta. CloudTrail administra el panel de aspectos destacados e incluye widgets que son pertinentes para la cuenta. Los widgets que se muestran en el panel de aspectos destacados son únicos para cada cuenta. Estos widgets podrían mostrar la actividad anormal o las anomalías detectadas. Por ejemplo, en el panel de aspectos destacados se podría incluir el Widget de acceso entre cuentas total, que muestra si hay un aumento en la actividad anormal entre cuentas. CloudTrail actualiza el panel de aspectos destacados cada 6 horas. En el panel se muestran los datos de las últimas 24 horas de la última actualización.
Cada panel consta de uno o más widgets y cada uno representa una consulta SQL.
Para obtener más información, consulte Paneles de CloudTrail Lake.
Integraciones de CloudTrail Lake
Puede utilizar las integraciones de CloudTrail Lake para registrar y almacenar datos de actividad de los usuarios externos a AWS, desde cualquier origen en sus entornos híbridos, como aplicaciones internas o de SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores. Después de crear almacenes de datos de eventos en CloudTrail Lake y crear un canal para registrar eventos de actividad, llame a la API PutAuditEvents para ingerir la actividad de la aplicación en CloudTrail. A continuación, puede utilizar CloudTrail Lake para buscar, consultar y analizar los datos que se registran de las aplicaciones.
Las integraciones también pueden registrar eventos en los almacenes de datos de eventos de más de una docena de socios de CloudTrail. En una integración de socios, crea almacenes de datos de eventos de destino, un canal y una política de recursos. Después de crear la integración, proporciona el ARN del canal al socio. Existen dos tipos de integraciones: directas y de solución. Con las integraciones directas, el socio llama a la API PutAuditEvents para enviar eventos al almacén de datos de eventos de su cuenta de AWS. Con las integraciones de solución, la aplicación se ejecuta en su cuenta de AWS y la aplicación llama a la API PutAuditEvents para enviar eventos al almacén de datos de eventos de su cuenta de AWS.
Para obtener más información sobre las integraciones, consulte Crear una integración con un origen de eventos externo a AWS.
Recursos adicionales
Los siguientes recursos pueden ayudarlo a comprender mejor qué es CloudTrail Lake y cómo puede utilizarlo.
Modernice la gestión de sus registros de auditoría con CloudTrail Lake
(video de YouTube) Log Activity Events from Non-AWS Sources in AWS CloudTrail Lake
(video de YouTube) Analizar los registros de actividad con AWS CloudTrail Lake y Amazon Athena
(video de YouTube) Obtenga visibilidad de los registros de actividad de las identidades de sus empleados y clientes
(Blog de AWS) Uso de AWS CloudTrail Lake para identificar conexiones TLS antiguas a puntos de conexión de servicio de AWS
(Blog de AWS) Cómo Arctic Wolf utiliza AWS CloudTrail Lake para simplificar la seguridad y las operaciones
(Blog de AWS)
