CloudTrail

¿Qué es?

AWS CloudTrail permite la auditoría, el monitoreo de la seguridad y la solución de problemas operativos a partir del seguimiento de la actividad del usuario y el uso de la API. CloudTrail registra, monitorea de forma continua y retiene la actividad de la cuenta relacionada con las acciones en toda la infraestructura de AWS, lo que le permite controlar las acciones de almacenamiento, análisis y reparación.

Este servicio rastrea y monitoriza las llamadas a la API de AWS realizadas dentro del entorno. Cada llamada a una API (evento) se registra. Cada evento registrado contiene

• El nombre de la API llamada: eventName

• El servicio llamado: eventSource

• La hora: eventTime

• La dirección IP: SourceIPAddress

• El método del agente: userAgent. Ejemplos:

• Signing.amazonaws.com - Desde la consola de administración de AWS

• console.amazonaws.com - Usuario raíz de la cuenta

• lambda.amazonaws.com - AWS Lambda

• Los parámetros de la solicitud: requestParameters

• Los elementos de la respuesta: responseElements

Evasión

El siguiente comando requiere el privilegio de cloudtrail:StopLogging y lo que hace es detener el log de eventos:

aws cloudtrail stop-logging --name <Nombre> --profile administrator

El siguiente comando requiere el privilegio de cloudtrail:UpdateTrail y permite actualizar los eventos, modificando la configuración global de los eventos comop el de IAM:

aws cloudtrail update-trail --name <Name> --no-include-global-service-events

El siguiente comando requiere del privilegio de cloudtrail:DeleteTrail y permite eliminar el grupo de registro específico de CloudTrail:

aws cloudtrail delete-trail --name <Name>