|
En novembre 2013, nous a annoncé AWS CloudTrail pour suivre l’activité des utilisateurs et l’utilisation de l’API. AWS CloudTrail permet l’audit, la surveillance de la sécurité et le dépannage opérationnel. CloudTrail enregistre l’activité des utilisateurs et les appels d’API sur les providers AWS en tant qu’événements. Les événements CloudTrail vous aident à répondre aux questions « qui a fait quoi, où et quand ? ».
Récemment, nous avons amélioré la possibilité pour vous de simplifier votre audit et votre analyse de sécurité en utilisant Lac AWS CloudTrail. CloudTrail Lake est un lac de données géré pour la seize, le stockage, l’accès et l’analyse de l’activité des utilisateurs et des API sur AWS à des fins d’audit, de sécurité et opérationnelles. Vous pouvez agréger et stocker de manière immuable vos événements d’activité et exécuter des requêtes basées sur SQL pour la recherche et l’analyse.
Nous avons entendu vos commentaires selon lesquels l’agrégation des informations d’activité de diverses purposes dans des environnements hybrides est complexe et coûteuse, mais importante pour une picture complète de la sécurité et de la conformité de votre organisation.
Aujourd’hui, nous annonçons la prise en cost de l’ingestion d’événements d’activité provenant de sources non AWS à l’aide de CloudTrail Lake, ce qui en fait un emplacement distinctive d’événements d’activité d’utilisateur et d’API immuables pour les audits et les enquêtes de sécurité. Vous pouvez désormais consolider, stocker, rechercher et analyser de manière immuable les événements d’activité provenant de sources AWS et non AWS, telles que les purposes internes ou SaaS, en un seul endroit.
Utilisation du nouveau PutAuditEvents API dans CloudTrail Lake, vous pouvez centraliser les informations sur l’activité des utilisateurs provenant de sources disparates dans CloudTrail Lake, ce qui vous permet d’analyser, de dépanner et de diagnostiquer les problèmes à l’aide de ces données. CloudTrail Lake enregistre tous les événements dans un schéma standardisé, ce qui permet aux utilisateurs d’utiliser plus facilement ces informations pour répondre de manière complète et rapide aux incidents de sécurité ou aux demandes d’audit.
CloudTrail Lake est également intégré à certains partenaires AWS, tels que Cloud Storage Safety, Clumio, CrowdStrike, CyberArk, GitHub, Kong Inc, LaunchDarkly, MontyCloud, Netskope, Nordcloud, Okta, One Id, Shoreline.io, Snyk et Wiz, permettant vous permet d’activer facilement la journalisation d’audit by way of la console CloudTrail.
Commencer à intégrer des sources externes
Vous pouvez commencer à ingérer des événements d’activité à partir de vos propres sources de données ou d’purposes partenaires en choisissant Intégrations sous le Lac menus dans le Console AWS CloudTrail.
Pour créer une nouvelle intégration, choisissez Ajouter une intégration et saisissez le nom de votre chaîne. Vous pouvez choisir la supply d’utility partenaire à partir de laquelle vous souhaitez obtenir des événements. Si vous intégrez des événements à partir de vos propres purposes hébergées sur web site ou dans le cloud, choisissez Mon intégration personnalisée.
Pour Lieu de livraison de l’événement, vous pouvez choisir des locations pour vos événements à partir de cette intégration. Cela permet à votre utility ou à vos partenaires de diffuser des événements dans votre magasin de données d’événements de CloudTrail Lake. Un magasin de données d’événements peut conserver vos événements d’activité pendant une semaine à sept ans. Vous pouvez ensuite exécuter des requêtes sur le magasin de données d’événements.
Choisissez soit Utiliser les magasins de données d’événements existants ou Créer un nouveau magasin de données d’événement— pour recevoir des événements des intégrations. Pour en savoir plus sur le magasin de données d’événements, voir Créer un magasin de données d’événement dans la documentation AWS.
Vous pouvez également configurer la stratégie d’autorisations pour la ressource de canal créée avec cette intégration. Les informations requises pour la stratégie dépendent du kind d’intégration de chaque utility partenaire.
Il existe deux varieties d’intégrations : directe et de answer. Avec les intégrations directes, le partenaire appelle le PutAuditEvents API pour fournir des événements au magasin de données d’événements pour votre compte AWS. Dans ce cas, vous devez fournir ID externe, l’identifiant de compte distinctive fourni par le partenaire. Vous pouvez voir un lien vers le web site Net partenaire pour le information étape par étape. Avec les intégrations de options, l’utility s’exécute dans votre compte AWS et l’utility appelle le PutAuditEvents API pour fournir des événements au magasin de données d’événements pour votre Compte AWS.
Pour trouver le kind d’intégration pour votre partenaire, choisissez le Sources disponibles de la web page des intégrations.
Après avoir créé une intégration, vous devrez fournir cet ARN de canal à l’utility supply ou partenaire. Jusqu’à ce que ces étapes soient terminées, le statut restera comme incomplet. Une fois que CloudTrail Lake start à recevoir des événements pour le partenaire intégré ou l’utility, le champ d’état est mis à jour pour refléter l’état actuel.
Pour ingérer les événements d’activité de votre utility dans votre intégration, appelez le PutAuditEvents API pour ajouter la cost utile des événements. Assurez-vous qu’il n’y a pas d’informations sensibles ou d’identification personnelle dans la cost utile de l’événement avant de l’ingérer dans CloudTrail Lake.
Vous pouvez créer un tableau JSON d’objets d’événement, qui inclut un ID généré par l’utilisateur requis à partir de l’événement, la cost utile requise de l’événement en tant que valeur de EventData et une somme de contrôle facultative pour aider à valider l’intégrité de l’événement après l’ingestion dans CloudTrail Lac.
{
"AuditEvents": (
{
"Id": "event_ID",
"EventData": "{event_payload}", "EventDataChecksum": "optional_checksum",
},
... )
}L’exemple suivant montre remark utiliser le put-audit-events Commande AWS CLI.
$ aws cloudtrail-data put-audit-events
--channel-arn $ChannelArn
--external-id $UniqueExternalIDFromPartner
--audit-events
{
"Id": "87f22433-0f1f-4a85-9664-d50a3545baef",
"EventData":"{"eventVersion":�.01","eventSource":"MyCustomLog2", ...}",
},
{
"Id": "7e5966e7-a999-486d-b241-b33a1671aa74",
"EventData":"{"eventVersion":�.02","eventSource":"MyCustomLog1", ...}",
"EventDataChecksum":"848df986e7dd61f3eadb3ae278e61272xxxx",
}Sur le Éditeur dans l’onglet CloudTrail Lake, écrivez vos propres requêtes pour un nouveau magasin de données d’événements intégré afin de vérifier les événements livrés.
Vous pouvez créer votre propre requête d’intégration, comme obtenir tous les principaux sur AWS et les ressources externes qui ont effectué des appels d’API après une date particulière :
SELECT userIdentity.principalId FROM $AWS_EVENT_DATA_STORE_ID
WHERE eventTime > '2022-09-24 00:00:00'
UNION ALL
SELECT eventData.userIdentity.principalId FROM $PARTNER_EVENT_DATA_STORE_ID
WHRERE eventData.eventTime > '2022-09-24 00:00:00'Pour en savoir plus, consultez Schéma d’événement CloudTrail Lake et exemples de requêtes pour vous aider à démarrer.
Partenaires de lancement
Vous pouvez voir la liste de nos partenaires de lancement pour prendre en cost une choice d’intégration CloudTrail Lake dans le Sources disponibles languette. Voici les articles de weblog et les annonces de nos partenaires qui ont collaboré à ce lancement (certains seront ajoutés dans les prochains jours).
Maintenant disponible
Lac AWS CloudTrail prend désormais en cost l’ingestion d’événements d’activité à partir de sources externes dans toutes les régions AWS où CloudTrail Lake est disponible aujourd’hui. Pour en savoir plus, consultez le Documentation AWS et les guides de démarrage de chaque partenaire.
Si vous êtes intéressé à devenir un Partenaire AWS CloudTrailvous pouvez contacter vos interlocuteurs partenaires habituels.
– Channy
