Comment utiliser AWS CloudTrail pour surveiller l’activité du compte
CloudTrail est un outil d’audit, de surveillance de la conformité et de gouvernance conçu pour surveiller l’historique de votre compte AWS et conserver des journaux détaillés de tous les événements. Vous pouvez utiliser cet historique des événements pour simplifier l’analyse de sécurité et pour détecter une activité inhabituelle dans votre compte.
Utiliser CloudTrail
Vous pouvez utiliser CloudTrail pour surveiller les 90 derniers jours gratuitement. Cependant, si vous souhaitez conserver des journaux étendus, vous devez payer pour le stockage S3 associé ainsi qu’une petite redevance pour 100 000 événements enregistrés. Pourtant, c’est relativement bon marché et cela ne fait pas de mal de commencer avec.
CloudTrail enregistre automatiquement les 90 derniers jours, vous pourrez donc vous diriger vers la console CloudTrail et afficher les derniers journaux de votre compte. Sur l’écran d’accueil, vous verrez les événements les plus récents:
Sous «Historique des événements» dans la barre latérale, vous pourrez afficher la liste complète des événements, par ordre chronologique.
C’est beaucoup de données, donc vous voudrez probablement filtrer pour tout ce que vous recherchez. Si vous auditez des comptes d’employés spécifiques, vous pouvez filtrer par nom d’utilisateur ou clé d’accès AWS, ou par d’autres facteurs tels que l’adresse IP source et les types de ressources. Vous pouvez également vous concentrer sur des plages horaires spécifiques.
Si vous cliquez sur un événement, vous pouvez afficher toutes les données collectées pour cet événement. Certains sont simples, comme «ConsoleLogin», qui suit les temps de connexion pour différents utilisateurs. D’autres sont plus spécifiques et afficheront plus de détails sur l’action de l’API sous-jacente.
Vous pouvez afficher toutes les données JSON de l’événement avec le bouton «Afficher l’événement».
Créer un sentier
Si vous souhaitez conserver des enregistrements pendant plus de 90 jours ou conserver des journaux étendus pour les événements de données S3 et Lambda, vous pouvez créer une trace. Gardez à l’esprit que vous devrez payer des frais de données pour le stockage des journaux S3, ainsi que des frais pour 100 000 événements enregistrés.
À partir de «Trails» dans la barre latérale, créez un nouveau sentier. Vous avez la possibilité d’utiliser ce sentier pour chaque région, ainsi que de l’appliquer à chaque compte d’une organisation AWS. Vous pouvez également sélectionner les types d’événements à consigner, ainsi qu’activer CloudTrail Insights pour ce parcours.
La section suivante est «Événements de données», qui peut être utilisée pour conserver des journaux étendus sur les compartiments S3 ou les fonctions Lambda. Pour S3, CloudTrail consignera les opérations au niveau du compartiment, telles que PutObject. Pour Lambda, CloudTrail consignera tout appel de la fonction Lambda donnée. Vous pouvez l’activer pour tous les compartiments ou en spécifier un par ARN.
Enfin, vous aurez besoin d’un compartiment nouveau ou existant dans lequel conserver les événements. Vous pouvez l’utiliser pour suivre la quantité de données utilisée par votre piste.
Les événements enregistrés par le sentier resteront indéfiniment dans l’historique des événements. Avec un parcours, vous pouvez activer CloudTrail Insights à partir de l’onglet «Insights» dans la barre latérale:
Cela prendra jusqu’à 36 heures pour analyser votre piste, et une fois cela fait, vous pourrez parcourir les résultats.
Si vous le souhaitez, vous pouvez également configurer CloudTrail pour envoyer des événements à CloudWatch Logs, ou l’utiliser avec Elasticsearch pour une surveillance plus détaillée.
