- Administración y gobernanza›
- AWS CloudTrail›
- Preguntas frecuentes
Preguntas frecuentes sobre AWS CloudTrail
Temas de la página
Aspectos generalesAspectos generales
¿Qué es AWS CloudTrail?
CloudTrail permite la auditoría, el monitoreo de la seguridad y la solución de problemas operativos a partir del seguimiento de la actividad del usuario y el uso de la API. CloudTrail registra, monitorea de forma continua y retiene la actividad de la cuenta relacionada con las acciones en toda la infraestructura de AWS, lo que le permite controlar las acciones de almacenamiento, análisis y reparación.
¿Qué beneficios aporta CloudTrail?
CloudTrail lo ayuda a demostrar la conformidad, mejorar la posición de seguridad y consolidar los registros de actividad en todas las regiones y cuentas. CloudTrail permite conocer las actividades de los usuarios mediante el registro de la actividad realizada en su cuenta. CloudTrail registra información importante sobre cada acción, incluido quién ha efectuado la solicitud, qué servicios se han utilizado, qué acción se ha realizado, los parámetros de las acciones y los elementos de la respuesta enviada por el servicio de AWS. Esta información le ayuda a realizar un seguimiento de los cambios que se producen en los recursos de AWS y a solucionar problemas operativos. CloudTrail facilita la tarea de garantizar la conformidad con las políticas internas y los estándares regulatorios. Para obtener más detalles, consulte el documento técnico sobre conformidad de AWS: Security at Scale: Logging in AWS.
¿Quién debería usar CloudTrail?
Use CloudTrail si necesita auditar la actividad, monitorear la seguridad o solucionar problemas operativos.
Introducción
Si soy cliente nuevo o existente de AWS y no tengo CloudTrail configurado, ¿tengo que habilitar o configurar algo para ver la actividad de mi cuenta?
No, no se necesita nada para comenzar a ver la actividad de la cuenta. Puede ir a la consola de AWS CloudTrail o la AWS CLI y ver la actividad de la cuenta de los últimos 90 días.
¿El historial de eventos de CloudTrail muestra toda la actividad de mi cuenta?
AWS CloudTrail solo muestra los resultados del historial de eventos de CloudTrail de los últimos 90 días de la región actual que está viendo y es compatible con un rango de servicios de AWS. Estos eventos están limitados a eventos de administración que crean, modifican y eliminan las llamadas a la API y la actividad de la cuenta. Para obtener un registro completo de la actividad de la cuenta, incluidos los eventos de administración y datos, y la actividad de solo lectura, debe configurar un seguimiento de CloudTrail.
¿Qué filtros de búsqueda puedo utilizar para ver la actividad de mi cuenta?
Puede especificar el rango de tiempo y uno de los siguientes atributos: nombre del evento, nombre de usuario, nombre del recurso, origen del evento, ID del evento y tipo de recurso.
¿Puedo usar el comando lookup-events de la CLI aunque no tenga un seguimiento configurado?
Sí, puede ir a la consola de CloudTrail o usar la API/CLI de CloudTrail y ver la actividad de la cuenta de los últimos 90 días.
¿Qué características adicionales de CloudTrail están disponibles después de crear un seguimiento?
Configure un seguimiento de CloudTrail para entregar los eventos de CloudTrail a Amazon Simple Storage Service (Amazon S3), Registros de Amazon CloudWatch y Eventos de Amazon CloudWatch. Eso lo ayuda a usar características para archivar y analizar cambios en sus recursos de AWS y responder ante ellos.
¿Puedo restringir el acceso de los usuarios para que no vean el historial de eventos de CloudTrail?
Sí, CloudTrail se integra con AWS Identity and Access Management (IAM), que lo ayuda a controlar el acceso a CloudTrail y otros recursos de AWS que CloudTrail necesita. Incluida la habilidad de restringir los permisos para ver y buscar la actividad de la cuenta. Elimine “cloudtrail:LookupEvents” de la política de IAM de usuarios para impedir que los usuarios de IAM vean la actividad de la cuenta.
¿Existe algún costo asociado con la habilitación del historial de eventos de CloudTrail en mi cuenta una vez creada?
La visualización o la búsqueda de la actividad de la cuenta con el historial de eventos de CloudTrail no conllevan ningún costo.
¿Puedo desactivar el historial de eventos de CloudTrail de mi cuenta?
Para cualquier seguimiento de CloudTrail creado, puede detener el registro o eliminar los seguimientos. Esto también detendrá la entrega de la actividad de la cuenta al bucket de Amazon S3 que designó como parte de la configuración del seguimiento, así como la entrega a Registros de CloudWatch si está configurado. La actividad de la cuenta de los últimos 90 días seguirá recopilándose y estará visible en la consola de CloudTrail y mediante la Interfaz de la línea de comandos de AWS (AWS CLI).
Compatibilidad con servicios y disponibilidad en regiones
¿Qué servicios son compatibles con CloudTrail?
CloudTrail registra la actividad de la cuenta y los eventos de servicios de la mayoría de los servicios de AWS. Para ver una lista de los servicios admitidos, consulte la sección sobre servicios compatibles con CloudTrail de la Guía del usuario de CloudTrail.
¿Se registran las llamadas a las API realizadas desde la Consola de administración de AWS?
Sí. CloudTrail registra las llamadas a las API realizadas desde cualquier cliente. La consola de administración de AWS, los SDK de AWS, las herramientas de línea de comandos y los servicios de AWS de nivel superior llaman a operaciones de las API de AWS, por lo que estas llamadas se registran.
¿Dónde se almacenan y procesan mis archivos de registros antes de que se entreguen al bucket de S3?
La información de la actividad de los servicios con puntos de conexión regionales (como Amazon Elastic Compute Cloud [Amazon EC2] o Amazon Relational Database Service [Amazon RDS]) se captura y procesa en la misma región en la que se lleva a cabo la acción. A continuación, se entrega a la región asociada al bucket de S3. La información de la actividad de los servicios con puntos de conexión únicos, como IAM y AWS Security Token Service (AWS STS), se captura en la región en la que se encuentra el punto de conexión. A continuación, se procesa en la región donde está configurado CloudTrail y se entrega a la región asociada con su bucket de S3.
Aplicar un seguimiento en todas las regiones
¿Qué significa aplicar un seguimiento a todas las regiones de AWS?
Aplicar un seguimiento a todas las regiones de AWS implica crear un seguimiento que registre la actividad de la cuenta de AWS en todas las regiones en las que se almacenan sus datos. Este ajuste también se aplica a cualquier región nueva que se agregue. Para obtener más detalles acerca de las regiones y las particiones, consulte la página de nombres de recursos de Amazon y espacios de nombres de servicios de AWS.
¿Cuáles son los beneficios de aplicar un seguimiento en todas las regiones?
Puede crear y administrar un seguimiento para todas las regiones en la partición en una llamada a la API o con unas cuantas selecciones. Recibirá un registro de actividad de su cuenta de AWS en todas las regiones en un bucket de S3 o en un grupo de Registros de CloudWatch. Cuando AWS lance una región nueva, recibirá los archivos de registros con el historial de eventos para la región nueva sin llevar a cabo ninguna acción.
¿Cómo aplico un seguimiento en todas las regiones?
En la consola de CloudTrail, seleccione “Yes” (Sí) en la página de configuración del seguimiento para que se aplique a todas las regiones. Si usa los SDK o AWS CLI, configure IsMultiRegionTrail como True (Verdadero).
¿Qué pasa si aplico un seguimiento a todas las regiones?
Al aplicar un seguimiento a todas las regiones, CloudTrail creará un seguimiento nuevo replicando su configuración. CloudTrail registrará y procesará los archivos de registros de cada región y enviará los archivos de registros con la actividad de la cuenta en todas las regiones a un solo bucket de S3 y a un solo grupo de registro de Registros de CloudWatch. Si ha especificado un tema de Amazon Simple Notification Service (Amazon SNS) opcional, CloudTrail enviará notificaciones de Amazon SNS de todos los archivos de registros enviados a un solo tema de SNS.
¿Puedo aplicar un seguimiento existente en todas las regiones?
Sí. Puede aplicar un seguimiento ya existente a todas las regiones. Si aplica un seguimiento existente a todas las regiones, CloudTrail creará un seguimiento nuevo por usted en todas las regiones. Si previamente ha creado seguimientos en otras regiones, puede ver, editar y eliminar esos seguimientos desde la consola de CloudTrail.
¿Cuánto tiempo tarda CloudTrail en replicar la configuración del seguimiento en todas las regiones?
Normalmente, tarda menos de 30 segundos en replicar la configuración del seguimiento en todas las regiones.
Varios seguimientos
¿Cuántos seguimientos puedo crear en una región?
Puede crear hasta cinco seguimientos en una región. Un seguimiento que se aplica a todas las regiones existe en cada una de las regiones y se cuenta como un seguimiento en cada región.
¿Qué beneficios tiene crear varios seguimientos en una región?
Con varios seguimientos, diferentes inversores, como administradores de seguridad, desarrolladores de software y auditores de TI, pueden crear y administrar sus propios seguimientos. Por ejemplo, un administrador de seguridad puede crear un seguimiento que se aplique a todas las regiones y configurar el cifrado utilizando una clave de Amazon Key Management Service (Amazon KMS). Un desarrollador puede crear un seguimiento que se aplique a una región para solucionar problemas de funcionamiento.
¿CloudTrail admite permisos de nivel de recurso?
Sí. Al utilizar permisos de nivel de recurso, puede escribir políticas de control de acceso pormenorizado para otorgar o denegar el acceso de usuarios concretos a un seguimiento en particular. Para obtener más información, consulte la documentación de CloudTrail.
Seguridad y vencimiento
¿Cómo puedo proteger mis archivos de registros de CloudTrail?
De forma predeterminada, los registros de CloudTrail se cifran mediante cifrado del servidor (SSE) de S3 y se guardan en su bucket de S3. Puede controlar el acceso a los archivos de registros mediante IAM o las políticas de bucket de S3. Puede agregar una capa de seguridad adicional habilitando la opción de eliminación de la autenticación multifactor (MFA) de S3 en su bucket de S3. Para obtener más detalles sobre cómo crear y actualizar un seguimiento, consulte la documentación de CloudTrail.
¿Dónde puedo descargar una política de bucket de S3 y una política de tema de SNS de muestra?
Puede descargar una política de bucket de S3 y una política de tema de SNS de muestra en el bucket de S3 de CloudTrail. Debe actualizar las políticas de muestra con su información antes de aplicarlas al bucket de S3 o al tema de SNS.
¿Durante cuánto tiempo puedo almacenar mis archivos de registros de actividad?
El usuario tiene el control sobre las políticas de retención que se aplican a los archivos de registros de CloudTrail. De forma predeterminada, los registros se almacenan de forma indefinida. Puede usar las reglas de administración del ciclo de vida de los objetos de S3 para definir su propia política de retención. Por ejemplo, puede eliminar los archivos de registros antiguos o archivarlos en Amazon Simple Storage Service Glacier (Amazon S3 Glacier).
Mensaje, plazo de entrega y frecuencia de entrega de los eventos
¿Qué información está disponible en los eventos?
Un evento contiene información sobre la actividad asociada: quién ha efectuado la solicitud, qué servicios se han utilizado, qué acción se ha realizado y los parámetros de la acción, así como los elementos de la respuesta enviada por el servicio de AWS. Para obtener más detalles, consulte la sección sobre la referencia de los eventos de CloudTrail de la guía del usuario.
¿Cuánto tiempo le lleva a CloudTrail entregar un evento para una llamada a las API?
Normalmente, CloudTrail entrega el evento en el plazo de 5 minutos desde que se produce la llamada a las API. Para más información sobre cómo funciona CloudTrail, consulte aquí.
¿Con qué frecuencia CloudTrail entrega archivos de registros en mi bucket de S3?
CloudTrail entrega archivos de registros en su bucket de S3 aproximadamente cada cinco minutos. CloudTrail no entrega ningún log si no se produce ninguna llamada a las API en su cuenta.
¿Es posible recibir una notificación cuando se entreguen archivos de registros nuevos en mi bucket de S3?
Sí. Puede activar las notificaciones de SNS para actuar de inmediato cuando se entreguen nuevos archivos de registros.
Creo que uno de mis archivos de registro tiene varios eventos duplicados. ¿Cómo sé cuáles eventos son únicos?
Aunque es poco frecuente, es posible que reciba archivos de registro que contengan uno o más eventos duplicados. Los eventos duplicados tendrán el mismo eventID. Para obtener más información sobre el campo eventID, consulte el contenido del registro de CloudTrail.
¿Qué sucede si CloudTrail está activado para mi cuenta pero mi bucket de S3 no está configurado con la política correcta?
Los archivos de registros de CloudTrail se entregan de conformidad con las políticas de bucket de S3 que estén en vigor. Si las políticas de bucket están mal configuradas, CloudTrail no podrá entregar los logs.
¿Es posible recibir eventos duplicados?
CloudTrail está diseñado para admitir al menos una entrega de eventos suscritos a los buckets de S3 del cliente. En algunas situaciones, es posible que CloudTrail ofrezca el mismo evento más de una vez. Como resultado, los clientes pueden observar eventos duplicados.
Eventos de datos
¿Qué son los eventos de datos?
Los eventos de datos proporcionan información acerca de las operaciones realizadas por el recurso (plano de datos) en el recurso o en su interior. A menudo, los eventos de datos son actividades de alto volumen e incluyen operaciones como API de nivel de objeto de S3 y API de invocación de funciones de AWS Lambda. Los eventos de datos de desactivan de forma predeterminada al configurar un seguimiento. Para registrar los eventos de datos de CloudTrail, debe agregar de forma explícita todos los recursos o tipos de recursos compatibles cuya actividad desee recopilar. A diferencia de los eventos de administración, los eventos de datos suponen costos adicionales. Para obtener más información, consulte los precios de CloudTrail.
¿Cómo puedo utilizar los eventos de datos?
Los eventos de datos registrados por CloudTrail se entregan a S3, de modo similar a los eventos de administración. Una vez habilitados, estos eventos también están disponibles en Amazon CloudWatch Events.
¿Qué son los eventos de datos de S3? ¿Cómo los puedo registrar?
Los eventos de datos de S3 representan la actividad de la API en relación con objetos de S3. Para que CloudTrail pueda registrar estas acciones, debe especificar un bucket de S3 en la sección de eventos de datos al crear un nuevo seguimiento o modificar uno existente. CloudTrail registrará cualquier acción de la API en los objetos del bucket de S3 especificado.
¿Qué son los eventos de datos de Lambda? ¿Cómo los puedo registrar?
Los eventos de datos de Lambda registran la actividad del tiempo de ejecución de las funciones de Lambda. Con los eventos de datos de Lambda, puede obtener detalles sobre el tiempo de ejecución de la función de Lambda. Los ejemplos de tiempo de ejecución de la función de Lambda incluyen qué usuario o servicio de IAM hizo la llamada a la API de invocación, cuándo se hizo la llamada y qué función se aplicó. Todos los eventos de datos de Lambda se entregan a un bucket de S3 y a Eventos de CloudWatch. Puede activar el registro de eventos de datos de Lambda mediante la consola de CloudTrail o la CLI, y seleccione las funciones de Lambda que se registrarán al crear un nuevo seguimiento o editar un seguimiento existente.
Eventos de actividad de red (en versión preliminar)
¿Qué son los eventos de actividad de red (en versión preliminar)?
Los eventos de actividad de red registran las acciones de la API de AWS realizadas con puntos de conexión de VPC desde una VPC privada al servicio de AWS y lo ayudan a cumplir con los casos de uso de las investigaciones de seguridad de la red. Esto incluye las llamadas a la API de AWS que han superado correctamente la política del punto de conexión de VPC y las llamadas a las que se ha denegado el acceso. A diferencia de los eventos de administración y datos que se entregan tanto a la persona que llama a la API como al propietario del recurso, los eventos de actividad de red solo se entregan al propietario del punto de conexión de VPC. Para registrar los eventos de actividad de la red, debe habilitarlos de manera explícita al configurar su almacén de datos de rutas o eventos y elegir los orígenes de eventos de los servicios de AWS en los que desea recopilar la actividad. También puede agregar filtros adicionales, como filtrar por ID de punto de conexión de VPC o registrar solo los errores de acceso denegado. Los eventos de actividad de red conllevan cargos adicionales. Para obtener más información, consulte los precios de CloudTrail.
¿En qué se diferencian los eventos de actividad de red para los puntos de conexión de VPC de los registros de flujo de la VPC?
La característica registra la información relacionada con el tráfico IP hacia y desde interfaces en su VPC. Los datos del registro de flujo se pueden publicar en las siguientes ubicaciones: Registros de Amazon CloudWatch, Amazon S3 o Amazon Data Firehose. Los eventos de actividad de red para los puntos de conexión de VPC capturan las acciones de la API de AWS realizadas con los puntos de conexión de VPC desde una VPC privada al servicio de AWS. Esto le brinda detalles sobre quién accede a los recursos dentro de su red, de modo que tiene una mayor capacidad para identificar y responder a las acciones no deseadas en su perímetro de datos. Puede consultar los registros de las acciones que se denegaron debido a las políticas de punto de conexión de VPC o usar estos eventos para validar el impacto de la actualización de las políticas existentes.
Administrador delegado
¿Puedo agregar un administrador delegado a mi organización?
Sí, CloudTrail ahora admite agregar hasta tres administradores delegados por organización.
¿Quién es el propietario de un registro de organización o un almacén de datos de eventos a nivel de organización creado por un administrador delegado?
La cuenta de administrador seguirá siendo propietaria de todos los registros de la organización o almacenes de datos de eventos creados a nivel de organización, independientemente de si fue creado por una cuenta de administrador delegado o por una cuenta de administrador.
¿En qué regiones está disponible la opción de administrador delegado?
Actualmente, el soporte de administrador delegado para CloudTrail está disponible en todas las regiones donde AWS CloudTrail está disponible. Para obtener más información, consulte la tabla de regiones de AWS.
CloudTrail Insights
¿Qué son los eventos de CloudTrail Insights?
Los eventos de CloudTrail Insights lo ayudan a identificar cualquier actividad inusual en las cuentas de AWS, como los picos en el aprovisionamiento de recursos, las ráfagas de acciones de AWS Identity and Access Management (IAM) o las brechas en las actividades de periódicas. CloudTrail Insights utiliza modelos de machine learning (ML) que monitorean los eventos de administración de escritura de CloudTrail continuamente en busca de actividad inusual.
Cuando se detecta cualquier actividad inusual, se muestran los eventos de CloudTrail Insights en la consola y se envían a Eventos de CloudWatch, su bucket de S3 y, opcionalmente, al grupo de Registros de CloudWatch. Esto facilita la creación de alertas y la integración con los sistemas existentes de flujos de trabajo y administración de eventos.
¿Qué tipo de actividad ayuda a identificar CloudTrail Insights?
CloudTrail Insights detecta actividad inusual con el análisis de los eventos de administración de escritura de CloudTrail dentro de una cuenta y una región de AWS. Un evento anormal o inusual es definido por el volumen de llamadas a la API de AWS que se desvía de lo esperado de un patrón o punto de referencia operativo previamente establecido. CloudTrail Insights se adapta a los cambios en sus patrones operativos normales teniendo en cuenta las tendencias basadas en el tiempo de sus llamadas a la API y aplicando puntos de referencia adaptables a medida que cambian las cargas de trabajo.
CloudTrail Insights puede ayudarlo a detectar scripts o aplicaciones que se comporten de manera incorrecta. A veces, un desarrollador cambia un script o aplicación que repite un bucle o realiza una gran cantidad de llamadas no deseadas a recursos como bases de datos, almacenes de datos u otras funciones. Usualmente, este comportamiento no es descubierto hasta que aumentan los costos a fin de mes inesperadamente o cuando ocurre una interrupción. Los eventos de CloudTrail Insights pueden ayudarlo a descubrir estos cambios en su cuenta de AWS para que pueda realizar las acciones correctivas los antes posible.
¿Cómo funciona CloudTrail Insights con otros servicios de AWS que utilizan la detección de anomalías?
CloudTrail Insights identifica la actividad operativa inusual en sus cuentas de AWS, lo cual le permite abordar los problemas operativos, esto disminuye el impacto operativo y comercial. Amazon GuardDuty se enfoca en mejorar la seguridad de la cuenta y proporciona un sistema de detección de amenazas que monitorea la actividad de su cuenta. Amazon Macie fue diseñado para mejorar la protección de los datos en su cuenta descubriendo, clasificando y protegiendo la información confidencial. Estos servicios proporcionan protecciones suplementarias contra diferentes tipos de problemas que podrían afectar a su cuenta.
¿Necesito configurar CloudTrail para que CloudTrail Insights funcione?
Sí. Los eventos de CloudTrail Insights son configurados en rastros individuales, por lo que deberá tener al menos un rastro configurado. Cuando activa los eventos de CloudTrail Insights para un rastro, CloudTrail comienza a monitorizar los eventos de administración de escritura capturados por ese rastro en busca de patrones inusuales. Si CloudTrail Insights detecta una actividad inusual, se registrará un evento de CloudTrail Insights en el destino de entrega especificado en la definición del seguimiento.
¿Qué tipos de eventos monitorea CloudTrail Insights?
CloudTrail Insights busca actividad inusual en las operaciones de la API de administración de escritura.
¿Qué debo hacer para comenzar?
Puede habilitar los eventos de CloudTrail Insights para seguimientos individuales en su cuenta utilizando la consola, la CLI o el SDK. También puede habilitar los eventos de CloudTrail Insights en su organización con un seguimiento de organización configurado en su cuenta de administración de AWS Organizations. Puede desactivar los eventos de CloudTrail Insights si elige el botón de radio en la definición de seguimiento.
CloudTrail Lake
¿Por qué debería usar CloudTrail Lake?
CloudTrail Lake lo ayuda a examinar los incidentes al consultar todas las acciones registradas por CloudTrail, los elementos de configuración registrados por AWS Config, las pruebas de Audit Manager o los eventos de fuentes ajenas a AWS. Simplifica el registro de incidentes al ayudar a eliminar las dependencias operativas y proporciona herramientas que pueden ayudar a reducir su dependencia de canalizaciones de proceso de datos complejas que se extienden por todos los equipos. CloudTrail Lake no requiere que usted transfiera ni capture registros de CloudTrail en otro lugar, lo que ayuda a mantener la fidelidad de los datos y disminuye la necesidad de tener que lidiar con límites de baja velocidad que limitan sus registros. También proporciona latencias casi en tiempo real debido a que está optimizado para procesar registros estructurados de alto volumen, lo que los deja disponibles para la investigación de incidentes. Brinda una experiencia familiar de consulta de múltiples atributos mediante SQL, con la capacidad de programar y gestionar varias consultas simultáneas. Para los usuarios con menos experiencia con SQL, está disponible la generación de consultas en lenguaje natural para ayudar a crear consultas SQL y simplificar el análisis de datos. La capacidad de resumir los resultados de las consultas usando IA (en versión preliminar) mejora aún más su capacidad de obtener información significativa de sus registros de actividad e investigar los incidentes de manera eficiente.
¿Cómo se relaciona y funciona esta característica con otros servicios de AWS?
CloudTrail es el origen canónico de los registros de la actividad del usuario y el uso de la API en los servicios de AWS. Puede usar CloudTrail Lake para examinar la actividad en los servicios de AWS una vez que los registros están disponibles en CloudTrail. Puede consultar y analizar la actividad del usuario y los recursos afectados y usar los datos para abordar problemas como la identificación de actores malintencionados y permisos de base de referencia.
¿Cómo puedo incluir eventos de orígenes ajenos a AWS, como aplicaciones personalizadas, aplicaciones de terceros u otras nubes públicas?
Mediante la consola de CloudTrail, puede encontrar y agregar integraciones de socios para comenzar a recibir eventos de actividad de estas aplicaciones en pocos pasos sin tener que crear ni mantener integraciones personalizadas. En el caso de orígenes que no sean las integraciones de socios disponibles, puede usar las nuevas API de CloudTrail Lake para configurar sus propias integraciones y eventos push a CloudTrail Lake. Para comenzar, consulte la sección Trabajar con CloudTrail Lake en la Guía del usuario de CloudTrail.
¿Cuándo recomienda usar la consulta avanzada de AWS Config en vez de CloudTrail Lake para consultar elementos de configuración de AWS Config?
Se recomienda la consulta avanzada de AWS Config a los clientes que quieran agregar y consultar elementos de configuración (CI) actuales de AWS Config. Esto ayuda a los clientes con la administración de inventarios, la seguridad y la inteligencia operativa, la optimización de costos y los datos de conformidad. La consulta avanzada de AWS Config es gratuita si es cliente de AWS Config.
CloudTrail Lake admite la cobertura de consultas para los elementos de configuración de AWS Config, incluida la configuración de recursos y el historial de conformidad. Analizar la configuración y el historial de conformidad de los recursos con eventos de CloudTrail relacionados ayuda a obtener toda la información necesaria sobre los cambios en esos recursos. Esto ayuda a analizar la causa raíz de los incidentes relacionados con exposiciones de seguridad o falta de conformidad. Se recomienda CloudTrail Lake cuando se deben agregar y consultar datos a través de eventos y elementos de configuración históricos de CloudTrail.
Si hoy habilito la inclusión de elementos de configuración de AWS Config en CloudTrail Lake, ¿CloudTrail Lake incluirá mis elementos de configuración históricos (generados antes de la creación de CloudTrail Lake) o recopilará solo los elementos de configuración recién registrados?
CloudTrail Lake no ingerirá los elementos de configuración de AWS Config que se hayan generado antes de configurarlo. Los elementos de configuración recién registrados desde AWS Config, a nivel de cuenta u organización, se entregarán al almacén de datos de eventos de CloudTrail Lake especificado. Estos elementos de configuración estarán disponibles en Lake para su consulta durante el periodo de retención especificado y se podrán usar para el análisis de datos históricos.
¿Siempre podré saber qué usuario hizo un cambio de configuración específico si consulto CloudTrail Lake?
Si varios usuarios intentan hacer una sucesión rápida de cambios de configuración en un mismo recurso, solo se podrá crear un elemento de configuración que se corresponda con la configuración final del recurso. En este y otros escenarios similares, puede que no sea posible proporcionar una correlación del 100 % sobre qué usuario hizo qué cambios de configuración a partir de la consulta de CloudTrail y de los elementos de configuración sobre un intervalo de tiempo o ID de recurso específicos.
Si he usado seguimientos antes, ¿puedo traer los registros de CloudTrail existentes a mi almacén de datos de eventos de CloudTrail Lake existente o nuevo?
Sí. La capacidad de importación de CloudTrail Lake admite la copia de registros de CloudTrail desde un bucket de S3 que almacena registros de varias cuentas (desde un registro de seguimiento de la organización) y varias regiones de AWS. También puede importar registros de cuentas individuales y seguimientos de una sola región. La capacidad de importación también le permite especificar un intervalo de fechas de importación, de modo que solo importe el subconjunto de registros que se necesitan para el almacenamiento y análisis a largo plazo en CloudTrail Lake. Una vez que haya consolidado sus registros, puede ejecutar consultas en sus registros, desde los eventos más recientes recopilados después de habilitar CloudTrail Lake, hasta eventos históricos traídos de sus seguimientos.
¿Esta función de importación afecta al seguimiento original en S3?
La capacidad de importación copia la información de registro de S3 a CloudTrail Lake y deja la copia original en S3 tal como está.
¿Qué eventos de CloudTrail puedo consultar después de habilitar la característica CloudTrail Lake?
Puede habilitar CloudTrail Lake para cualquiera de las categorías de eventos que recopila CloudTrail, en función de las necesidades internas de resolución de problemas. Las categorías de eventos incluyen eventos de administración que registran las actividades del plano de control, como CreateBucket y TerminateInstances, y los eventos de datos que registran las actividades del plano de datos, como GetObject y PutObject, y eventos de actividad de red (en versión preliminar) que capturan las acciones de API realizadas mediante puntos de conexión de VPC desde una VPC privada al servicio de AWS. No necesita una suscripción de seguimiento separada para ninguno de estos eventos. En el caso de CloudTrail Lake, tendrá que elegir entre las opciones de precios de retención ampliable de un año y de retención de siete años, lo que afectará a sus costos y a la duración de la retención de eventos. Puede consultar los datos en cualquier momento. En los paneles de CloudTrail Lake, admitimos la consulta de eventos de CloudTrail.
Después de habilitar la característica CloudTrail Lake, ¿cuánto tiempo debo esperar para poder comenzar a escribir consultas?
Puede comenzar a consultar las actividades que se realizaron después de habilitar la característica casi de inmediato.
¿Cuáles son algunos de los casos de uso comunes operativos y de seguridad que puedo resolver con CloudTrail Lake?
Los casos de uso comunes incluyen la investigación de los incidentes de seguridad, como el acceso no autorizado o las credenciales de usuario en peligro, y la mejora de su posición de seguridad mediante la realización de auditorías para establecer permisos de usuario con regularidad. Puede llevar a cabo auditorías necesarias para asegurarse de que el conjunto adecuado de usuarios efectúa cambios en los recursos, como los grupos de seguridad, y realizar un seguimiento de cualquier cambio que no se ajuste a las prácticas recomendadas de la organización. También puede hacer un seguimiento de las acciones ejecutadas en sus recursos y evaluar las modificaciones o las eliminaciones, además de obtener información más detallada sobre las facturas de los servicios de AWS, incluidos los usuarios de IAM que se suscriben a los servicios.
¿Cómo puedo comenzar a utilizar CloudTrail?
No importa que sea un cliente de CloudTrail nuevo o uno existente, puede comenzar a utilizar la capacidad CloudTrail Lake de inmediato para ejecutar consultas habilitando la característica a través de la API o la consola de CloudTrail.
Seleccione la pestaña CloudTrail Lake en el panel izquierdo de la consola de CloudTrail y seleccione el botón Crear almacén de datos de eventos. Cuando crea un almacén de datos de eventos, elige la opción de precios que quiere usar para el almacén de datos de eventos. La opción de precios determina el costo de la ingesta de eventos y el período de retención máximo y predeterminado del almacén de datos de eventos. A continuación, seleccione las categorías de eventos que desea registrar (eventos de administración, datos y actividad de red). Además, puede aprovechar las capacidades mejoradas de filtrado de eventos para controlar qué eventos de CloudTrail se incorporan a sus almacenes de datos de eventos, lo que ayuda a aumentar la eficiencia y reducir los costos, a la vez que mantiene la visibilidad de las actividades relevantes. Una vez configurado su almacén de datos de eventos, puede consultar cualquier almacén de datos de eventos que posea o administre mediante consultas basadas en SQL. Para los usuarios menos familiarizados con SQL, está disponible la generación de consultas en lenguaje natural para ayudar a crear consultas SQL.
Los resultados de las consultas también se pueden resumir (en versión preliminar) usando IA generativa, lo que mejora aún más su capacidad de obtener información a partir de sus datos de CloudTrail. Para ayudar a visualizar sus datos de CloudTrail Lake, puede usar paneles de control seleccionados previamente disponibles directamente en la consola de CloudTrail, que proporcionan visibilidad inmediata e información clave a partir de sus datos de auditoría y seguridad.
Creé un almacén de datos de eventos con un precio de retención de siete años. ¿Podré migrar el mismo almacén de datos de eventos a la opción de precios de retención ampliables por un año? ¿Qué sucede con mis datos actuales en el almacén de datos de eventos que se ingirieron según los precios de retención de siete años?
Sí. Puede actualizar la opción de precio de retención de siete años a precio de retención prorrogable de un año como parte de la configuración del almacén de datos de eventos. Los datos existentes permanecerán disponibles en el almacén de datos de eventos durante el período de retención configurado. Estos datos no incurrirán en cargos de retención prolongados. Sin embargo, cualquier nuevo dato que se ingiera seguirá las tarifas de retención prorrogable de un año, tanto para la ingestión como para la retención prorrogada.
Creé un almacén de datos de eventos con un precio de retención ampliable durante un año. ¿Podré migrar el mismo almacén de datos de eventos a la opción de precios de retención de siete años?
No. Actualmente, no admitimos la migración de un almacén de datos de eventos de un precio de retención ampliable de un año a un precio de retención de siete años. Sin embargo, podrá desactivar el registro del almacén de datos de eventos actual y, al mismo tiempo, crear un nuevo almacén de datos de eventos con un precio de retención de siete años para los datos recién ingeridos. Podrá retener y analizar los datos en ambos almacenes de datos de eventos con la opción de precios correspondiente y el período de retención configurado.
¿Por qué el período de retención de CloudTrail Lake se calcula en función de la hora del evento y no en función del tiempo de transferencia a CloudTrail Lake?
CloudTrail Lake es un lago de auditoría que ayuda a los clientes a satisfacer sus necesidades de casos de uso en relación con el cumplimiento y la auditoría. Según los mandatos de sus programas de cumplimiento, los clientes deben retener los registros de auditoría durante un período específico desde el momento en que se generaron los registros, independientemente del momento en que se ingirieron en CloudTrail Lake.
Si ingiero un evento histórico de CloudTrail de S3 a CloudTrail Lake y tengo el período de retención del almacén de datos de eventos configurado en 1 año, ¿este evento se almacenará siempre en CloudTrail Lake durante 1 año desde el momento de la ingesta?
No. Dado que se trataba de un evento histórico con una fecha de evento anterior, este evento se retendrá en CloudTrail Lake durante un período de retención de 1 año a partir de la hora del evento. Por lo tanto, la duración durante la cual se almacenará ese evento en CloudTrail Lake será inferior a 1 año.
¿Qué tipo de eventos de CloudTrail Lake puedo visualizar en los paneles hoy en día?
En la actualidad, los paneles de CloudTrail Lake admiten la administración de CloudTrail y los eventos de datos.
¿Están habilitados los paneles a nivel de cuenta o de almacén de datos de eventos?
Los paneles están habilitados actualmente a nivel de cuenta y se aplicarán a todos los almacenes de datos de eventos activos en esa cuenta que tengan habilitados los eventos de datos o la administración de CloudTrail.
¿En qué gastos se incurre al habilitar los paneles de CloudTrail Lake?
Los paneles de CloudTrail Lake funcionan con consultas de CloudTrail Lake. Al habilitar los paneles de CloudTrail Lake, se le cobrará por los datos analizados. Consulte la página de precios para obtener más información.
¿Puedo crear paneles personalizados actualmente?
No. En la actualidad, todos los paneles de CloudTrail Lake están seleccionados y predefinidos y no se pueden personalizar.
¿Qué casos de uso admiten los paneles de CloudTrail Lake?
Los ingenieros de auditoría y cumplimiento pueden utilizar los paneles de CloudTrail Lake para realizar un seguimiento del progreso de los mandatos de cumplimiento, como la migración a TLS 1.2 y a una versión posterior. Los paneles de CloudTrail Lake ayudarán a los ingenieros de seguridad a rastrear de cerca las actividades confidenciales de los usuarios, como la eliminación de rastros o los errores de denegación de acceso reiterados. Los ingenieros de operaciones en la nube pueden ver problemas como los principales errores de limitación de servicios desde el panel de control seleccionado.
Agrupación de archivos de registros
Tengo varias cuentas de AWS. Me gustaría que los archivos de registros de todas las cuentas se entregasen en un único bucket de S3. ¿Es posible?
Sí. Puede configurar un bucket de S3 como destino para varias cuentas. Para obtener instrucciones detalladas, consulte la sección sobre cómo agrupar archivos de registros en un único bucket de S3 de la Guía del usuario de CloudTrail.
Integración con Registros de CloudWatch
¿En qué consiste la integración de CloudTrail con Registros de CloudWatch?
La integración de CloudTrail con CloudWatch Logs envía los eventos de administración y datos que registra CloudTrail a una secuencia de registro de CloudWatch Logs en el grupo de registros de CloudWatch Logs que especifique.
¿Qué beneficios ofrece la integración de CloudTrail con Registros de CloudWatch?
Esta integración lo ayuda a recibir notificaciones de SNS sobre la actividad de la cuenta capturada por CloudTrail. Por ejemplo, puede crear alarmas de CloudWatch para monitorear las llamadas a la API que creen, modifiquen y eliminen grupos de seguridad y listas de control de acceso (ACL) de red.
¿Cómo se activa la integración de CloudTrail con Registros de CloudWatch?
La integración de CloudTrail con Registros de CloudWatch puede especificarse desde la consola de CloudTrail. Para ello, deberá especificar un grupo de registro de Registros de CloudWatch y un rol de IAM. También puede utilizar los SDK y la CLI de AWS para activar esta integración.
¿Qué sucede cuando se activa la integración de CloudTrail con Registros de CloudWatch?
Una vez activada la integración, CloudTrail enviará constantemente la actividad de la cuenta a un flujo de registro de Registros de CloudWatch del grupo de registro de Registros de CloudWatch que se especifique. CloudTrail sigue enviando registros a su bucket de S3 como antes.
¿Qué regiones de AWS admiten la integración de CloudTrail con Registros de CloudWatch?
Esta integración se encuentra disponible en todas las regiones que admiten Registros de CloudWatch. Para obtener más información, consulte Regiones y puntos de conexión en la Referencia general de AWS.
¿Cómo comunica CloudTrail a mis Registros de CloudWatch los eventos que contienen actividad de la cuenta?
CloudTrail asume el rol de IAM al que se asigna la responsabilidad de comunicar la actividad de la cuenta a Registros de CloudWatch. La función de IAM se limita exclusivamente a los permisos necesarios para comunicar eventos a su secuencia de registros de CloudWatch Logs. Para ver la política de rol de IAM, consulte la guía del usuario de la documentación de CloudTrail.
Una vez que active la integración de CloudTrail con Registros de CloudWatch, ¿qué cargos se me aplicarán?
Cuando active la integración de CloudTrail con Registros de CloudWatch, se le cobrarán los cargos estándar de Registros de CloudWatch y CloudWatch. Para obtener más detalles, consulte la página de precios de CloudWatch.
Cifrado de archivos de registros de CloudTrail con AWS KMS
¿Qué beneficios aporta el cifrado de archivos de registros de CloudTrail al usar el cifrado del servidor (SSE) con AWS KMS?
El cifrado de archivos de registros de CloudTrail con SSE-KMS permite agregar una capa adicional de seguridad a los archivos de registros de CloudTrail que se entregan a un bucket de S3 mediante el cifrado de los archivos de registros con una clave de KMS. De forma predeterminada, CloudTrail cifrará todos los archivos de registros que se entreguen a su bucket de S3 a través del cifrado del servidor (SSE) de S3.
Tengo una aplicación que recibe y procesa archivos de registros de CloudTrail. ¿Tengo que hacer algún cambio en la aplicación?
Con SSE-KMS, S3 descifrará automáticamente los archivos de registros para que no tenga que hacer ningún cambio en la aplicación. Como siempre, tiene que cerciorarse de que la aplicación tenga los permisos adecuados, es decir, los permisos S3 GetObject y AWS KMS Decrypt.
¿Cómo se configura el cifrado de archivos de registros de CloudTrail?
Puede usar la Consola de administración de AWS, AWS CLI o los SDK de AWS para configurar el cifrado de los archivos de registros. Para obtener instrucciones detalladas, consulte la documentación.
¿Qué cargos debo abonar una vez configurado el cifrado con SSE-KMS?
Cuando configure el cifrado con SSE-KMS, deberá abonar los cargos estándar de AWS KMS. Para obtener más detalles, consulte la página de precios de AWS KMS.
Validación de la integridad de los archivos de registros de CloudTrail
¿Qué es la validación de la integridad de los archivos de registros de CloudTrail?
La característica de validación de la integridad de los archivos de registros de CloudTrail lo ayuda a determinar si un archivo de registros de CloudTrail se cambió, eliminó o permaneció intacto desde que CloudTrail lo entregó al bucket especificado de S3.
¿Qué beneficio aporta la validación de la integridad de los archivos de registros de CloudTrail?
Puede apoyarse en la validación de la integridad de los archivos de registros para llevar a cabo los procesos de auditoría y seguridad de TI.
¿Cómo se habilita la validación de la integridad de los archivos de registros de CloudTrail?
Puede habilitar la característica de validación de la integridad de los archivos de registros de CloudTrail en la consola, AWS CLI o los SDK de AWS.
¿Qué sucede cuando se activa la característica de validación de la integridad de los archivos de registros?
Cuando se active la característica de validación de la integridad de los archivos de registros, CloudTrail entregará archivos de resumen cada hora. Los archivos de resumen tienen información sobre los archivos de registro que se entregaron al bucket de S3 y sobre los valores hash de esos archivos de registro. También, la sección de metadatos de S3 contiene las firmas digitales de los archivos de resumen anterior y actual. Para obtener más información sobre los archivos de resumen, las firmas digitales y los valores hash, visite la documentación de CloudTrail.
¿Dónde se entregan los archivos de resumen?
Los archivos de resumen se entregan al mismo bucket de S3 al que se envían los archivos de registros. Sin embargo, se entregan en una carpeta diferente para permitirle aplicar políticas de control de acceso pormenorizado. Para obtener más detalles, consulte la sección sobre la estructura del archivo de resumen en la documentación de CloudTrail.
¿Cómo se valida la integridad de un archivo de registros o un archivo de resumen entregado por CloudTrail?
Puede usar AWS CLI para validar la integridad de un archivo de registros de resumen. También puede crear sus propias herramientas para realizar la validación. Para obtener más detalles sobre el uso de AWS CLI para validar la integridad de un archivo de registros, consulte la documentación de CloudTrail.
Agregué todos mis archivos de registros de todas las regiones y de varias cuentas a un solo bucket de S3. ¿Los archivos de resumen se entregarán en el mismo bucket de S3?
Sí. CloudTrail entregará los archivos de resumen de todas las regiones y las distintas cuentas en el mismo bucket de S3.
Biblioteca de procesamiento de CloudTrail
¿Qué es la biblioteca de procesamiento de CloudTrail?
La biblioteca de procesamiento de CloudTrail es una biblioteca de Java que facilita la creación de una aplicación que lea y procese archivos de registros de CloudTrail. Puede descargar la biblioteca de procesamiento de CloudTrail desde GitHub.
¿Qué funcionalidad aporta la biblioteca de procesamiento de CloudTrail?
La biblioteca de procesamiento de CloudTrail aporta funcionalidad para administrar tareas como el sondeo continuo de una cola de SQS, la lectura y el análisis sintáctico de los mensajes de Amazon Simple Queue Service (Amazon SQS). También descarga los archivos de registros almacenados en S3, el análisis sintáctico y la serialización de eventos de archivos de registro con tolerancia a errores. Para obtener más información, consulte la guía del usuario de la documentación de CloudTrail.
¿Qué software necesito para comenzar a utilizar la biblioteca de procesamiento de CloudTrail?
Necesita la versión 1.9.3 de aws-java-sdk y Java 1.7 o superior.
Precios
¿Cómo se me cobrará por el seguimiento de CloudTrail?
CloudTrail lo ayuda a ver, buscar y descargar los últimos 90 días de los eventos de administración de su cuenta de forma gratuita. Puede entregar una copia de sus eventos de administración en curso a S3 de forma gratuita si crea un seguimiento. Tras configurar un seguimiento de CloudTrail, S3 aplica el cobro basándose en su uso.
Puede entregar copias adicionales de los eventos, incluidos los eventos de datos y los eventos de actividad de red (en versión preliminar), mediante el uso de seguimientos. Se le cobrará por los eventos de datos, los eventos de actividad de red y las copias adicionales de los eventos de administración. Obtenga más información en la página de precios.
Si solo tengo un seguimiento con eventos de administración y lo aplico en todas las regiones, ¿incurriré en gastos?
No. La primera copia de los eventos de administración se entrega de forma gratuita en cada región.
¿Se me cobrará si habilito los eventos de datos en un seguimiento existente con eventos de administración gratuitos?
Sí. Solo se le cobrará por los eventos de datos. La primera copia de los eventos de administración se proporciona de manera gratuita.
¿Cómo se me cobra por CloudTrail Lake?
Cuando utiliza CloudTrail Lake, paga por la ingesta y el almacenamiento conjuntamente, donde la facturación se basa en la cantidad de datos sin comprimir ingeridos y la cantidad de datos comprimidos almacenados. Cuando crea un almacén de datos de eventos, elige la opción de precios que quiere usar para el almacén de datos de eventos. La opción de precios determina el costo de la ingesta de eventos y el período de retención máximo y predeterminado del almacén de datos de eventos. Los cargos de consulta se basan en los datos comprimidos que elija analizar. Obtenga más información en la página de precios.
¿Puedo calcular mi uso estimado de ingestión de CloudTrail Lake si conozco mi uso histórico de CloudTrail en los seguimientos?
Sí. Cada evento de CloudTrail, en promedio, ocupa alrededor de 1500 bytes. Mediante este mapeo, podrá estimar la ingesta de CloudTrail Lake basándose en el uso de CloudTrail del mes anterior en seguimientos por número de eventos.
Socios
¿Cómo me ayudan las soluciones de socios de AWS a analizar los eventos registrados por CloudTrail?
Varios socios ofrecen soluciones integradas para analizar los registros de CloudTrail. Estas soluciones incluyen características como el seguimiento de los cambios, la solución de problemas y el análisis de seguridad. Para obtener más información, consulte la sección sobre socios de CloudTrail.
¿Cómo puedo incorporar una integración a CloudTrail Lake como origen disponible?
Para comenzar con la integración, puede revisar la Guía de incorporación de socios. Trabaje con su equipo de desarrollo de socios o arquitecto de soluciones de socios para conectarse con el equipo de CloudTrail Lake a fin de profundizar aún más o en caso de tener más preguntas.
Otros
Si activo CloudTrail, ¿se verá afectado el rendimiento de los recursos de AWS o aumentará la latencia de las llamadas a las API?
No. El hecho de activar CloudTrail no afecta el rendimiento de los recursos de AWS ni la latencia de las llamadas a las API.