Armazenamentos de dados de eventos do CloudTrail Lake Consultas do CloudTrail Lake Painéis do CloudTrail Lake Integrações do CloudTrail Lake Recursos adicionais

Trabalhar com o AWS CloudTrail Lake

AWS CloudTrailO Lake permite que você execute consultas baseadas em SQL em seus eventos. O CloudTrail Lake converte eventos existentes em formato JSON baseado em linhas para o formato Apache ORC. O ORC é um formato colunar de armazenamento otimizado para recuperação rápida de dados. Os eventos são agregados em armazenamentos de dados de eventos, que são coleções imutáveis de eventos com base nos critérios que você seleciona aplicando seletores de eventos avançados. Você pode manter os dados do evento em um armazenamento de dados de eventos por até 3.653 dias (cerca de 10 anos) se escolher a opção de preço de retenção extensível de um ano ou até 2.557 dias (cerca de 7 anos) se escolher a opção de preço de retenção por sete anos. Os seletores que aplicados a um armazenamento de dados de eventos controlam quais eventos persistem e estão disponíveis para consulta. O CloudTrail Lake é uma solução de auditoria que pode complementar sua pilha de conformidade e ajudá-lo na solução de problemas quase em tempo real.

Armazenamentos de dados de eventos do CloudTrail Lake

Ao criar um armazenamento de dados de eventos, você escolhe o tipo dos eventos a serem incluídos em seu armazenamento de dados de eventos. Você pode criar um datastore de eventos para incluir eventos do CloudTrail (eventos de gerenciamento, eventos de dados e eventos de atividade de rede), eventos do CloudTrail Insights, itens de configuração do AWS Config, evidências do AWS Audit Manager ou eventos externos à AWS. Cada armazenamento de dados de eventos pode conter somente uma categoria de evento específica (p. ex., itens de configuração do AWS Config), pois o esquema de eventos é exclusivo para cada categoria de evento. Você também pode armazenar eventos de uma organização no AWS Organizations em um armazenamento de dados de eventos, incluindo eventos de várias regiões e contas. Você também pode executar consultas SQL em vários armazenamentos de dados de eventos usando as palavras-chave SQL JOIN compatíveis. Para obter informações sobre como executar consultas em vários armazenamentos de dados de eventos, consulte Compatibilidade avançada para consultas com várias tabelas.

É possível copiar os eventos de trilhas para um armazenamento de dados de eventos novo ou existente para criar um snapshot pontual dos eventos registrados na trilha. Para obter mais informações, consulte Copiar eventos de trilhas para um armazenamento de dados de eventos.

Você pode federar um armazenamento de dados de eventos para ver os metadados associados a ele no Catálogo de Dados do AWS Glue e executar consultas SQL nos dados do evento usando o Amazon Athena. Os metadados da tabela que estão armazenados no Catálogo de Dados do AWS Glue permitem que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.

Você pode anexar uma política baseada em recurso ao datastore de eventos para fornecer acesso entre contas a entidades principais selecionadas. Você pode adicionar uma política baseada em recurso ao criar ou atualizar um datastore de eventos no console do CloudTrail ou ao executar o comando put-resource-policy da AWS CLI. Para obter mais informações, consulte Exemplos de políticas baseadas em recursos para armazenamentos e dados de eventos.

Por padrão, todos os eventos em um armazenamento de dados de eventos são criptografados pelo CloudTrail. Ao configurar um armazenamento de dados de eventos, você pode escolher usar sua própria chave do AWS Key Management Service. O uso da sua própria chave do KMS gera custos de criptografia e decodificação do AWS KMS. Após associar um armazenamento de dados de eventos a uma chave do KMS, não será possível remover ou alterar a chave do KMS.

Você pode controlar o acesso a ações em armazenamentos de dados de eventos usando a autorização com base em tags. Para obter mais informações e exemplos, consulte Exemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags neste guia.

Armazenamentos de dados de eventos do CloudTrail Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre preços do CloudTrail e gerenciamento de custos do Lake consulte Preços do AWS CloudTrail e Gerenciar custos do CloudTrail Lake.

O CloudTrail Lake oferece suporte às métricas do Amazon CloudWatch, que fornecem informações sobre dados ingeridos e bytes de armazenamento. Para obter mais informações sobre as métricas compatíveis do CloudWatch, consulte Métricas do CloudWatch suportadas.

nota

O CloudTrail normalmente entrega os eventos em média cerca de 5 minutos após uma chamada à API. Desta vez não há garantias.

Consultas do CloudTrail Lake

As consultas do CloudTrail Lake oferecem uma visão mais profunda e personalizável dos eventos do que pesquisas simples de chave e valor no Event history (Histórico de eventos), ou com a execução de LookupEvents. Uma pesquisa do Event history (Histórico de eventos) é limitada a uma só Conta da AWS, retorna apenas eventos de uma só Região da AWS e não pode consultar vários atributos. Por outro lado, os usuários do CloudTrail Lake podem executar consultas SQL complexas em vários campos de eventos. O CloudTrail Lake é compatível com todas as instruções e funções SELECT do Trino. Para obter mais informações sobre as funções e os operadores SQL compatíveis, consulte Funções e operadores no site de documentação do Trino.

Você pode compilar uma consulta na guia Editor do CloudTrail Lake escrevendo a consulta do zero em SQL, abrindo e editando uma consulta salva ou um exemplo de consulta, ou usando o gerador de consultas para produzir uma consulta a partir de um prompt em português. Para obter mais informações, consulte Criar ou editar uma consulta com o console do CloudTrail e Criar consultas do CloudTrail Lake com prompts em linguagem natural.

Você pode salvar consultas do CloudTrail Lake para uso futuro e visualizar resultados de consultas por até sete dias. Ao executar consultas, você pode salvar os resultados de consulta em um bucket do Amazon S3.

O console do CloudTrail fornece vários exemplos de consultas que podem ajudá-lo a começar a escrever suas próprias consultas. Para obter mais informações, consulte Visualizar consultas de exemplo com o console do CloudTrail.

As consultas do CloudTrail Lake incorrerão em cobranças. Ao executar consultas no Lake, você paga de acordo com a quantidade de dados examinados. Para obter informações sobre preços do CloudTrail e gerenciamento de custos do Lake consulte Preços do AWS CloudTrail e Gerenciar custos do CloudTrail Lake.

Painéis do CloudTrail Lake

Agora é possível usar painéis do CloudTrail Lake para ver tendências de eventos para os datastores de eventos na sua conta. O CloudTrail Lake oferece os seguintes tipos de painéis:

Painéis gerenciados: é possível visualizar um painel gerenciado para ver as tendências de eventos para um datastore de eventos que coleta eventos de gerenciamento, eventos de dados ou eventos do Insights. Esses painéis estão automaticamente disponíveis para você e são gerenciados pelo CloudTrail Lake. O CloudTrail oferece 14 painéis gerenciados para você escolher. Você pode atualizar manualmente os painéis gerenciados. Não é possível modificar, adicionar ou remover os widgets desses painéis, mas poderá salvar um painel gerenciado como um painel personalizado se quiser modificar os widgets ou definir uma agenda de atualização.
Painéis personalizados: os painéis personalizados permitem que você consulte eventos em qualquer tipo de datastore de eventos. Você pode adicionar até dez widgets a um painel personalizado. Você pode atualizar manualmente um painel personalizado ou definir uma agenda de atualização.
Painéis de destaques: habilite o painel Destaques para ter uma visão geral rápida das atividades da AWS coletadas pelos datastores de eventos da sua conta. O painel Destaques é gerenciado pelo CloudTrail e inclui os widgets que são relevantes para sua conta. Os widgets mostrados no painel Destaques são específicos de cada conta. Esses widgets podem revelar atividades anormais ou as anomalias detectadas. Por exemplo, o painel Destaques pode incluir o widget Total acesso entre contas, que mostra se há um aumento de atividades anormais entre contas. O CloudTrail atualiza o painel Destaques a cada 6 horas. O painel mostra os dados das últimas 24 horas a partir da última atualização.

Cada painel consiste em um ou mais widgets e cada widget representa uma consulta SQL.

Para obter mais informações, consulte Painéis do CloudTrail Lake.

Integrações do CloudTrail Lake

É possível usar as integrações do CloudTrail Lake para registrar em log e armazenar dados de atividade do usuário de fora da AWS; de qualquer fonte em seus ambientes híbridos, como aplicações internas ou de SaaS hospedadas on-premises ou na nuvem, máquinas virtuais ou contêineres. Depois de criar armazenamentos de dados de eventos no CloudTrail Lake e criar um canal para registrar em log os eventos de atividades, a API PutAuditEvents é chamada para ingerir a atividade da sua aplicação no CloudTrail. Em seguida, é possível usar o CloudTrail Lake para pesquisar, consultar e analisar os dados registrados em log em suas aplicações.

As integrações também podem registrar em log eventos em seus armazenamentos de dados de eventos de mais de uma dúzia de parceiros do CloudTrail. Em uma integração com parceiros, você cria armazenamentos de dados de eventos de destino, um canal e uma política de recursos. Depois de criar a integração, você fornece o ARN do canal ao parceiro. Há dois tipos de integração: a direta e a de solução. Com as integrações diretas, o parceiro chama a API PutAuditEvents para entregar eventos ao armazenamento de dados de eventos da sua conta da AWS. Com as integrações de solução, a aplicação é executada em sua conta da AWS e a aplicação chama a API PutAuditEvents para entregar eventos ao armazenamento de dados de eventos da sua conta da AWS.

Para obter mais informações sobre integrações, consulte Criar uma integração com uma fonte de eventos de fora da AWS.

Recursos adicionais

Os recursos a seguir podem ajudar a entender melhor o que é o CloudTrail Lake e como usá-lo.

Modernize Your Audit Log Management Using CloudTrail Lake (Modernize seu gerenciamento de logs de auditoria usando o CloudTrail Lake) (vídeo do YouTube)
Registrar eventos de atividades de origens não AWS no AWS CloudTrail Lake (vídeo no YouTube)
Analisar logs de atividades com o AWS CloudTrail Lake o e Amazon Athena (vídeo do YouTube)
Get visibility into the activity logs for your workforce and customer identities (Obtenha visibilidade dos logs de atividades de sua força de trabalho e identidades de clientes) (blog da AWS)
Uso do AWS CloudTrail Lake para identificar conexões TLS mais antigas a endpoints de serviço da AWS (blog da AWS)
Como a Arctic Wolf usa o AWS CloudTrail Lake para simplificar a segurança e as operações (blog da AWS)
Perguntas frequentes sobre o CloudTrail Lake
AWS CloudTrail Referência da API do
AWS CloudTrail Referência da API de dados do
AWS CloudTrail Guia de integração de parceiros do

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visualizar eventos do Insights para armazenamentos de dados de eventos

Regiões compatíveis do CloudTrail Lake