CloudTrail

¿Qué es?

AWS CloudTrail permite la auditoría, el monitoreo de la seguridad y la solución de problemas operativos a partir del seguimiento de la actividad del usuario y el uso de la API. CloudTrail registra, monitorea de forma continua y retiene la actividad de la cuenta relacionada con las acciones en toda la infraestructura de AWS, lo que le permite controlar las acciones de almacenamiento, análisis y reparación.

Este servicio rastrea y monitoriza las llamadas a la API de AWS realizadas dentro del entorno. Cada llamada a una API (evento) se registra. Cada evento registrado contiene

  • El nombre de la API llamada: eventName

  • El servicio llamado: eventSource

  • La hora: eventTime

  • La dirección IP: SourceIPAddress

  • El método del agente: userAgent. Ejemplos:

  • Signing.amazonaws.com - Desde la consola de administración de AWS

  • console.amazonaws.com - Usuario raíz de la cuenta

  • lambda.amazonaws.com - AWS Lambda

  • Los parámetros de la solicitud: requestParameters

  • Los elementos de la respuesta: responseElements

Evasión

El siguiente comando requiere el privilegio de cloudtrail:StopLogging y lo que hace es detener el log de eventos:

aws cloudtrail stop-logging --name <Nombre> --profile administrator

El siguiente comando requiere el privilegio de cloudtrail:UpdateTrail y permite actualizar los eventos, modificando la configuración global de los eventos comop el de IAM:

aws cloudtrail update-trail --name <Name> --no-include-global-service-events

El siguiente comando requiere del privilegio de cloudtrail:DeleteTrail y permite eliminar el grupo de registro específico de CloudTrail:

aws cloudtrail delete-trail --name <Name>
AnteriorBlue Team AWSSiguienteCloudWatch

Última actualización