 |
Hoje, tenho o prazer de anunciar novas atualizações para Lago AWS CloudTrailque é um knowledge lake gerenciado que você pode usar para agregar, armazenar de forma imutável e consultar eventos registrados por AWS CloudTrail para auditoria, investigação de segurança e solução de problemas operacionais.
As novas atualizações no CloudTrail Lake são:
- Opções aprimoradas de filtragem para eventos do CloudTrail
- Compartilhamento entre contas de armazenamentos de dados de eventos
- Disponibilidade geral da geração de consultas em linguagem pure alimentada por IA
- Capacidade de resumo de resultados de consulta com tecnologia de IA na visualização
- Recursos abrangentes de painel, incluindo um painel de visão geral de alto nível com insights baseados em IA (os insights baseados em IA estão em versão prévia), um conjunto de 14 painéis pré-construídos para vários casos de uso e a capacidade de criar painéis personalizados com atualizações programadas
Vamos examinar os novos recursos um por um.
Opções aprimoradas de filtragem para eventos do CloudTrail ingeridos em armazenamentos de dados de eventos
Os recursos aprimorados de filtragem de eventos oferecem maior controle sobre quais eventos do CloudTrail são ingeridos em seus armazenamentos de dados de eventos. Essas opções aprimoradas de filtragem fornecem controle mais rígido sobre os dados de atividades da AWS, melhorando a eficiência e a precisão das investigações operacionais, de segurança e conformidade. Além disso, as novas opções de filtragem ajudam a reduzir os custos do fluxo de trabalho de análise, ingerindo apenas os dados de eventos mais relevantes em seus armazenamentos de dados de eventos do CloudTrail Lake.
Você pode filtrar eventos de gerenciamento e de dados com base em atributos como eventSource, eventType, eventName, userIdentity.arne sessionCredentialFromConsole.
eu vou para o Console do AWS CloudTrail e escolha Armazenamentos de dados de eventos sob Lago no painel de navegação. eu escolho Criar armazenamento de dados de eventos. Na primeira etapa, insiro um nome no campo Nome do armazenamento de dados de eventos campo. Para esta demonstração, deixo outros campos como padrão. Você pode escolher as opções de preço e retenção que atendem às suas necessidades. Na próxima etapa, eu escolho Eventos de gestão e Eventos de dados sob Eventos do CloudTrail. Você pode incluir todas as opções necessárias em Eventos do CloudTrail. Você também tem a opção de escolher opções de ingestão. eu escolho Ingerir eventos para começar a ingerir quando for criado. Pode haver cenários em que você deseja desmarcar a opção Ingerir eventos opção para impedir que um armazenamento de dados de eventos ingira eventos. Por exemplo, você pode estar copiando eventos de trilha para o armazenamento de dados de eventos e não deseja que o armazenamento de dados de eventos colete eventos futuros. Você também pode optar por habilitar a ingestão para todas as contas da sua organização ou incluir apenas a região atual no seu armazenamento de dados de eventos.
O exemplo a seguir mostra um modelo pronto para uso para filtragem, que exclui quaisquer eventos de gerenciamento iniciados por um serviço da AWS. eu escolho Coleta avançada de eventos sob o Eventos de gerenciamento. eu escolho Excluir eventos iniciados pelo serviço AWS do Modelo de seletor de log suspenso. Você também pode expandir o Visualização JSON para ver como os filtros realmente se aplicam.
Sob o Eventos de dadoso exemplo a seguir cria um filtro para incluir eventos de dados do DynamoDB iniciados por um determinado usuário, ajudando-me a registrar eventos com base em um principal do IAM. eu escolho DynamoDB como Tipo de recurso. eu escolho Personalizado como Modelo de seletor de log. Sob o Seletor de eventos avançadoeu escolho userIdentity.arn como Campo e é igual como Operador. Eu insiro o ARN do usuário como Valor. eu escolho Próximo e escolha Criar armazenamento de dados de eventos na etapa closing.
Agora, tenho meu armazenamento de dados de eventos que me dá controle granular sobre os dados ingeridos do CloudTrail.
Esse conjunto expandido de opções de filtragem ajuda você a ser mais seletivo na captura apenas dos eventos mais relevantes para suas necessidades operacionais, de segurança e de conformidade.
Compartilhamento entre contas de armazenamentos de dados de eventos
Você pode usar o recurso de compartilhamento entre contas de armazenamentos de dados de eventos para aprimorar a análise colaborativa dentro das organizações. Ele permite o compartilhamento seguro de armazenamentos de dados de eventos com entidades principais selecionadas da AWS por meio de políticas baseadas em recursos (RBP). Essa funcionalidade permite que entidades autorizadas consultem armazenamentos de dados de eventos compartilhados na mesma região da AWS onde foram criados.
Para usar esse recurso, vou para o Console do AWS CloudTrail e escolha Armazenamentos de dados de eventos sob Lago no painel de navegação. Escolho um armazenamento de dados de eventos na lista e navego até sua página de detalhes. eu escolho Editar no Política de recursos seção. O exemplo de política a seguir inclui uma instrução que permite que usuários root nas contas 111111111111, 222222222222 e 333333333333 executem consultas e obtenham resultados de consultas no armazenamento de dados de eventos de propriedade do ID de conta 999999999999. Eu escolho Salvar alterações para salvar a política.
A geração de consultas de linguagem pure com tecnologia de IA generativa no CloudTrail Lake já está disponível para todos
Em junho, anunciamos esse recurso para o CloudTrail Lake em visualização. Com este lançamento, você pode gerar consultas SQL usando perguntas em linguagem pure para explorar e analisar facilmente os logs de atividades da AWS (somente eventos de gerenciamento, dados e atividades de rede) sem precisar de conhecimento técnico em SQL. O recurso usa IA generativa para converter perguntas de linguagem pure em consultas SQL prontas para uso que você pode executar diretamente no console do CloudTrail Lake. Isso simplifica o processo de exploração de armazenamentos de dados de eventos e recuperação de insights como contagens de erros, principais serviços usados e as causas dos erros. Este recurso também é acessível através do Interface de linha de comando da AWS (AWS CLI)proporcionando flexibilidade adicional para usuários que preferem operações de linha de comando. A postagem de visualização do weblog fornece instruções passo a passo sobre como começar a usar o recurso de geração de consultas em linguagem pure no CloudTrail Lake.
Capacidade de resumo de resultados de consulta com tecnologia de IA generativa do CloudTrail Lake na visualização
Com base na capacidade de geração de consultas em linguagem pure, estamos introduzindo um novo recurso de resumo de resultados de consultas com tecnologia de IA em versão prévia para simplificar ainda mais o processo de análise da atividade da conta da AWS. Com esse recurso, você pode extrair facilmente insights valiosos de seus logs de atividades da AWS (somente eventos de gerenciamento, dados e atividades de rede), resumindo automaticamente os pontos-chave dos resultados de sua consulta em linguagem pure, reduzindo o tempo e o esforço necessários para entender as informações. .
Para experimentar esse recurso, vou para o Console do AWS CloudTrail e escolha Consulta sob Lago no painel de navegação. Escolho um armazenamento de dados de eventos para minha consulta do CloudTrail Lake na lista suspensa em Armazenamento de dados de eventos. Você pode usar o resumo independentemente de a consulta ter sido escrita manualmente ou gerada por IA generativa. Neste exemplo, usarei o recurso de geração de consulta em linguagem pure. No Gerador de consultaeu insiro o seguinte immediate no Incitar campo usando linguagem pure:
What number of errors have been logged through the previous month for every service and what was the reason for every error?
Então, eu escolho Gerar consulta. A seguinte consulta SQL é gerada automaticamente:
SELECT eventsource,
errorcode,
errormessage,
depend(*) as errorcount
FROM a0******
WHERE eventtime >= '2024-10-14 00:00:00'
AND eventtime <= '2024-11-14 23:59:59'
AND (
errorcode IS NOT NULL
OR errormessage IS NOT NULL
)
GROUP BY 1,
2,
3
ORDER BY 4 DESC;eu escolho Correr para obter os resultados. Para usar o recurso de resumo, escolho Resuma os resultados no Resultados da consulta guia. O CloudTrail analisa automaticamente os resultados da consulta e fornece um resumo em linguagem pure dos principais insights. É importante observar que há uma cota mensal de 3 MB para resultados de consultas que podem ser resumidos.
Esse novo recurso de resumo pode economizar tempo e esforço na compreensão dos dados de atividades da AWS, gerando automaticamente resumos significativos das principais descobertas.
Recursos abrangentes de painel
Por fim, deixe-me falar sobre os novos recursos de painel do CloudTrail Lake para aprimorar a visibilidade e a análise em seus ambientes AWS.
O primeiro é um Destaques painel que fornece um resumo fácil de visualizar dos dados capturados no gerenciamento do CloudTrail Lake e dos eventos de dados armazenados em armazenamentos de dados de eventos. Esse painel facilita a identificação e a compreensão rápida de insights importantes, como as principais chamadas de API com falha, tendências em tentativas de login malsucedidas e picos na criação de recursos. Ele revela quaisquer anomalias ou tendências incomuns nos dados.
eu vou para o Console do AWS CloudTrail e escolha Painel sob Lago no painel de navegação para verificar o Destaques painel. Primeiro, habilito o painel de destaques escolhendo Concorde e ative os Destaques.
Eu verifico o painel de destaques quando ele é preenchido com dados.
A segunda adição aos novos recursos do painel é um conjunto de 14 painéis pré-construídos. Esses painéis são projetados para diferentes personas e casos de uso. Por exemplo, os painéis focados na segurança ajudam você a rastrear e analisar os principais indicadores de segurança, como principais eventos de acesso negado, tentativas malsucedidas de login no console e usuários que desabilitaram a autenticação multifator (MFA). Há também painéis pré-construídos para monitoramento operacional, destacando tendências em erros e problemas de disponibilidade, como principais APIs com erros de limitação e principais usuários com erros. Você também pode usar os painéis focados em serviços específicos da AWS, como Amazon EC2 e Amazon DynamoDBque ajudam a identificar riscos de segurança ou problemas operacionais nesses ambientes de serviço específicos.
Você pode criar seus próprios painéis e, opcionalmente, definir cronogramas para atualizá-los. Esse nível de personalização ajuda você a adaptar os recursos de análise do CloudTrail Lake às suas necessidades precisas de monitoramento e investigação em seus ambientes AWS.
eu mudo para o Painéis gerenciados e personalizados para observar os painéis personalizados e pré-construídos.
eu escolho Painel de atividades do IAM painel pré-construído para observar a atividade geral do IAM. Você pode escolher Salvar como novo painel para personalizar este painel.
Para criar um painel personalizado do zero, vou para Painel sob Lago no painel de navegação e escolha Construir meu próprio painel. Eu insiro um nome no Digite um nome para o painel campo e escolha armazenamentos de dados de eventos em Permissõespara visualizar os eventos. A seguir, eu escolho Criar painel.
Agora posso adicionar widgets ao meu painel. Você tem flexibilidade para personalizar seus painéis de várias maneiras. Você pode selecionar em uma lista de widgets de amostra pré-construídos usando Adicionar widget de amostraou você pode criar seus próprios widgets personalizados usando Criar novo widget. Para cada widget, você pode escolher o tipo de visualização de sua preferência, como gráfico de linhas, gráfico de barras ou outras opções para melhor representar seus dados.
Agora disponível
Os novos recursos em Lago AWS CloudTrail representam um grande avanço no fornecimento de uma solução abrangente de registro e análise de auditoria. Essas melhorias proporcionam a capacidade de obter um entendimento mais profundo e conduzir investigações mais rapidamente, auxiliando no monitoramento mais preventivo e no tratamento mais rápido de incidentes em todos os seus ambientes AWS.
Agora você pode começar a usar geradores Geração de consultas em linguagem pure com tecnologia de IA no CloudTrail Lake no Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon), Ásia-Pacífico (Mumbai), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), Canadá (Central) e Europa (Londres) Regiões da AWS.
Resultados de consulta generativos baseados em IA do CloudTrail Lake capacidade de resumo está disponível em versão prévia nas regiões Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon) e Ásia-Pacífico (Tóquio).
Opções de filtragem aprimoradas, compartilhamento entre contas de armazenamentos de dados de eventos e painéis estão disponíveis em todas as regiões onde O Lago CloudTrail está disponívelcom exceção do recurso de resumo generativo baseado em IA no painel Destaques que está disponível apenas nas regiões Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon) e Ásia-Pacífico (Tóquio).
A execução de consultas incorrerá em cobranças de consulta do CloudTrail Lake. Para mais detalhes sobre preços, visite Preço do AWS CloudTrail.