Przedstawiamy pulpity nawigacyjne AWS CloudTrail Lake – wizualizuj i analizuj dane CloudTrail
W styczniu 2022 r. firma AWS ogłosiła powszechną dostępność AWS CloudTrail Lake, zarządzanego jeziora audytu i bezpieczeństwa, które umożliwia agregowanie, przechowywanie i przeszukiwanie dzienników aktywności w celu audytu, badania bezpieczeństwa i rozwiązywania problemów operacyjnych. Warto wiedzieć, że od momentu wprowadzenia na rynek tę funkcję przyjęły tysiące klientów.
Twórcy z radością ogłaszają, że pulpity nawigacyjne CloudTrail Lake są już ogólnie dostępne. Pulpity nawigacyjne CloudTrail Lake zapewniają natychmiastową widoczność i najlepsze spostrzeżenia z danych audytu i bezpieczeństwa bezpośrednio w konsoli CloudTrail Lake. CloudTrail Lake zawiera wiele kokpitów zarządzanych przez AWS, dzięki czemu możesz zacząć od razu – nie jest wymagana szczegółowa konfiguracja pulpitu nawigacyjnego ani doświadczenie w SQL. Oferuje również elastyczność w zakresie dodatkowych szczegółów, takich jak określona aktywność użytkownika lub zmienione zasoby do dalszej analizy i badania za pomocą zapytań CloudTrail Lake SQL.
Inżynierowie ds. audytu i zgodności mogą korzystać z pulpitów nawigacyjnych CloudTrail Lake, aby śledzić postępy w zakresie zgodności, takie jak migracja do TLS 1.2 i nowszych wersji. Pulpity nawigacyjne CloudTrail Lake pomogą inżynierom bezpieczeństwa dokładnie śledzić wrażliwe działania użytkowników, takie jak usuwanie śladów lub powtarzające się błędy odmowy dostępu. Inżynierowie ds. operacji w chmurze mogą uzyskiwać wgląd w problemy, takie jak błędy związane z ograniczaniem przepustowości najważniejszych usług, z wyselekcjonowanego pulpitu nawigacyjnego.
Przy pomocy tego artykułu autorzy przeprowadzą Cię przez proces korzystania z pulpitów nawigacyjnych CloudTrail Lake jako punktu wyjścia dla przepływów pracy analizy.
Wymagania wstępne dotyczące pulpitów nawigacyjnych CloudTrail Lake
- Aktywowanie CloudTrail Lake – zapoznaj się z tym artykułem, który wyjaśnia, jak włączyć CloudTrail Lake i przeczytaj ten artykuł, jeśli chcesz skopiować istniejące zdarzenia AWS CloudTrail do magazynu danych zdarzeń AWS CloudTrail Lake (EDS).
Wyświetlanie pulpitów nawigacyjnych CloudTrail Lake
Po utworzeniu EDS możesz przeglądać najważniejsze trendy i błędy dotyczące EDS w pulpitach nawigacyjnych Lake.
1. Przejdź do Dashboard pod Lake w menu CloudTrail z lewego menu nawigacyjnego.
2. Gdy po raz pierwszy użyjesz pulpitów nawigacyjnych CloudTrail Lake, zostanie wyświetlony komunikat z prośbą o przejrzenie i potwierdzenie, że jesteś świadomy, iż zostanie naliczona opłata za uruchamianie zapytań w EDS. Przejrzyj i potwierdź monit o rozliczenie.
3. Na stronie Dashboard wybierz EDS i pulpit nawigacyjny, które chcesz wyświetlić. Lista dostępnych pulpitów nawigacyjnych zmieni się w zależności od wydarzeń dostępnych w wybranym EDS. Pulpity nawigacyjne Overview i Management Events są dostępne dla EDS ze zdarzeniami zarządzania CloudTrail. Pulpit S3 Data Events będzie dostępny tylko wtedy, gdy masz EDS, który zbiera zdarzenia danych S3.
4. Wybierz zakres czasu do wyświetlenia i wybierz Run queries. Pulpity nawigacyjne uruchomią następnie szereg zapytań w celu pobrania danych dla pulpitu nawigacyjnego. Każdy widżet na pulpicie nawigacyjnym uruchomi własne zapytanie i wyświetli postęp ładowania. Czas wykonywania zapytania zależy przede wszystkim od ilości danych przechowywanych w EDS i wybranego zakresu czasu.
5. Na pulpicie nawigacyjnym zostaną wyświetlone dane po wykonaniu zapytań.
6. Jeśli chcesz przeprowadzić dalszą analizę dowolnego widżetu, możesz wybrać View and analyze in query editor, aby uzyskać dostęp do edytora zapytań CloudTrail Lake. Pozwala to na prowadzenie dalszej analizy i bardziej szczegółowe eksplorowanie danych.
7. Edytor zapytań CloudTrail Lake wypełni się zapytaniem używanym przez widżet. W razie potrzeby możesz zmodyfikować zapytanie w celu głębszej analizy.
Analizowanie kokpitów zarządzanych przez AWS
CloudTrail Lake będzie mieć zestaw wstępnie skonfigurowanych pulpitów nawigacyjnych, dzięki którym użytkownicy będą mogli łatwo rozpocząć wizualizację zdarzeń CloudTrail. W ramach tej premiery nie można dostosowywać pulpitów nawigacyjnych.
Aby rozpocząć, poniżej znajdują się 3 wyselekcjonowane pulpity nawigacyjne CloudTrail Lake:
1. Overview dashboard – pokazuje najbardziej aktywnych użytkowników, regiony AWS i usługi AWS według liczby zdarzeń. Możesz także przeglądać informacje o działaniach zdarzeń zarządzania odczytem i zapisem, najczęściej ograniczanych zdarzeniach i najczęstszych błędach. Ten pulpit nawigacyjny jest dostępny dla magazynów danych zdarzeń, które zbierają zdarzenia zarządzania.
2. Management Events dashboard – ten pulpit nawigacyjny jest dostępny dla EDS, który gromadzi zdarzenia zarządzania. Ten pulpit nawigacyjny pokazuje zdarzenia logowania do konsoli, zdarzenia odmowy dostępu, destrukcyjne działania i najważniejsze błędy według użytkownika. Możesz także przeglądać informacje o wersjach TLS i nieaktualnych wywołaniach TLS według użytkowników. Ze względu na to, że wszystkie punkty końcowe interfejsu API usługi AWS wymagają co najmniej TLS 1.2, zdarzenia zarządzania CloudTrail rejestrują również wersję TLS, co może być bardzo przydatne dla inżynierów ds. zgodności w celu poznania zasobów korzystających z TLSV1. Więcej informacji można znaleźć na tym blogu.
3. S3 Data Events dashboard – pokazuje aktywność konta S3, najczęściej odwiedzane obiekty S3, najlepszych użytkowników S3 i najważniejsze akcje S3. Ten pulpit nawigacyjny jest dostępny dla magazynów danych zdarzeń, które zbierają zdarzenia związane z danymi Amazon S3.
Powszechnie dostępne już dziś
Z pulpitów nawigacyjnych CloudTrail Lake można korzystać we wszystkich regionach AWS, w których dostępny jest AWS CloudTrail Lake, w tym w regionach AWS GovCloud (USA). Korzystanie z pulpitów nawigacyjnych AWS CloudTrail Lake spowoduje naliczenie opłat za zapytania CloudTrail Lake. Szczegółowe informacje znajdują się na stronie cennika CloudTrail. Aby rozpocząć, zapoznaj się z View Lake dashboards w Podręczniku użytkownika CloudTrail.
Wnioski
W omawianym artykule autorzy zapowiedzieli dostępność nowych pulpitów nawigacyjnych dostępnych w CloudTrail Lake. Przedstawili, jak można je aktywować, a także w jaki sposób można ich używać we własnej analizie przepływów pracy. Pulpity nawigacyjne CloudTrail Lake mogą być dobrym punktem wyjścia do badania danych CloudTrail, umożliwiając klientom AWS dokładniejsze zagłębianie się w elementy, których nigdy wcześniej nie rozważali. Twórcy nie mogą się doczekać, aby zobaczyć, jak klienci wykorzystują tę nową funkcję.
źródło: AWS