亚马逊AWS官方博客

AWS CloudTrail Lake 推出新功能,增强您的云可见性和调查能力

我非常高兴地宣布 AWS CloudTrail Lake 迎来新的更新。AWS CloudTrail Lake 是一个托管式数据湖,可用来聚合、不可变地存储和查询 AWS CloudTrail 记录的事件,以进行审计、安全调查和运营问题排查。

CloudTrail Lake 迎来的新更新包括:

  • 增强的 CloudTrail 事件筛选选项
  • 跨账户共享事件数据存储
  • 全面推出由生成式人工智能提供支持的自然语言查询生成功能
  • 由人工智能提供支持的查询结果总结功能现已提供预览版
  • 全面的控制面板功能,包括带有由人工智能提供支持的洞察(由人工智能提供支持的洞察现已提供预览版)的简要概览控制面板、一套面向多种使用案例的 14 个预构建控制面板,并且能够创建按计划刷新的自定义控制面板

让我们来逐个了解这些新功能。

增强了对摄取到事件数据存储空间中的 CloudTrail 事件的筛选选项

使用增强的事件筛选功能,您可以更好地控制将哪些 CloudTrail 事件摄取到事件数据存储空间中。使用这些增强的筛选选项,您可以更严格地控制 AWS 活动数据,因此提高了安全性、合规性和运营调查的效率和精度。此外,新的筛选选项只将最相关的事件数据摄取到 CloudTrail Lake 事件数据存储空间中,从而帮助您降低分析工作流成本。

您可以根据 eventSourceeventTypeeventNameuserIdentity.arnsessionCredentialFromConsole 等属性筛选管理事件和数据事件。

我要转到 AWS CloudTrail 控制台,并在导航窗格中的下方选择事件数据存储。我要选择创建事件数据存储。在第一步中,我要在事件数据存储名称字段中输入一个名称。在此次演示中,我要为其他字段保留默认设置。您可以选择适合自己需求的定价和保留选项。在下一步中,我要选择 CloudTrail 事件下方的管理事件数据事件。您可以在 CloudTrail 事件下方包括您需要的所有选项。您也可以选择摄取选项。我要选择摄取事件,以便在创建这些事件时开始进行摄取。在某些情况下,您可能希望取消选择摄取事件选项,以阻止事件数据存储空间摄取事件。例如,您可能正在将跟踪事件复制到事件数据存储空间中,而且不希望事件数据存储空间收集未来的任何事件。您也可以选择为贵组织中的所有账户启用摄取,或者在您的事件数据存储空间中只包含当前的区域。

如下示例显示了一个开箱即用的筛选模板,其中不包括由 AWS 服务发起的任何管理事件。我要在管理事件下方选择高级事件收集。我要从日志选择器模板下拉列表中选择排除 AWS 服务发起的事件。您也可以展开 JSON 视图,以查看筛选器实际上是如何应用的。

数据事件下方,如下示例将创建一个筛选器,以包含由某个用户发起的 DynamoDB 数据事件,这样可以帮助我根据 IAM 主体来记录事件。我要选择 DynamoDB 作为资源类型。我要选择自定义作为日志选择器模板。在高级事件选择器下方,我要选择 userIdentity.arn 作为字段,并选择等于作为运算符。 我要输入此用户的 ARN 作为。我要选择下一步,然后在最后一步中选择创建事件数据存储

现在,我拥有了事件数据存储,它能够让我对摄取的 CloudTrail 数据进行精细的控制。

这一组扩展的筛选选项可以帮助您更有选择性地只捕获与您的安全性、合规性和运营需求最相关的事件。

跨账户共享事件数据存储

您可以使用事件数据存储跨账户共享功能来增强组织内的协作分析。它可以通过基于资源的策略(RBP)与所选的 AWS 主体安全地共享事件数据存储。此功能允许经过授权的实体查询它们在被创建时所在的那个 AWS 区域内的共享事件数据存储。

要使用此功能,我需要转到 AWS CloudTrail 控制台,并在导航窗格中的下方选择事件数据存储。我要从列表中选择一个事件数据存储,并导航到它的详细信息页面。我要在资源策略部分中选择编辑。如下示例策略包含一条语句,它允许账户 111111111111、222222222222 和 333333333333 中的根用户对账户 ID 999999999999 拥有的事件数据存储运行查询并获得查询结果。我要选择保存更改,以保存此策略。

现已为 CloudTrail Lake 全面推出由生成式人工智能提供支持的自然语言查询生成功能

6 月份,我们宣布在预览版中推出这项适用于 CloudTrail Lake 的功能。通过此次发布,您可以利用自然语言问题生成 SQL 查询,这样,无需掌握技术 SQL 专业知识即可轻松浏览和分析 AWS 活动日志(只限于管理事件、数据事件和网络活动事件)。此功能利用生成式人工智能将自然语言问题转换成可直接在 CloudTrail Lake 控制台中运行的即用型 SQL 查询。这样就简化了浏览事件数据存储和检索洞察(例如错误计数、使用的热门服务和产生错误的原因)的过程。还可以通过 AWS 命令行界面(AWS CLI)访问此功能,因此为喜欢命令行操作的用户提供了额外的灵活性。预览版的博客文章提供了有关如何开始使用 CloudTrail Lake 中的自然语言查询生成功能的分步说明。

由生成式人工智能提供支持的 CloudTrail Lake 查询结果总结功能现已提供预览版

通过基于自然语言查询生成功能进行构建,我们在预览版中新推出了一项由人工智能提供支持的查询结果总结功能,以进一步简化 AWS 账户活动的分析过程。借助此功能,您可以使用自然语言自动从查询结果中总结关键点,从而轻松从 AWS 活动日志(只限于管理事件、数据事件和网络活动事件)中提取宝贵的洞察,这样就减少了了解这些信息时需要投入的时间和精力。

要试用此功能,我需要转到 AWS CloudTrail 控制台,并在导航窗格中的下方选择查询。我要从事件数据存储中的下拉列表中为我的 CloudTrail Lake 查询选择一个事件数据存储。无论查询是手动编写的还是由生成式人工智能生成,您都可以使用总结功能。对于此示例,我要使用自然语言查询生成功能。在查询生成器中,我要使用自然语言在提示字段中输入如下提示:

在过去的一个月中,每项服务记录了多少条错误,每条错误的原因分别是什么?

随后,我要选择生成查询。系统会自动生成如下 SQL 查询:

SELECT eventsource,
    errorcode,
    errormessage,
    count(*) as errorcount
FROM a0******
WHERE eventtime >= '2024-10-14 00:00:00'
    AND eventtime <= '2024-11-14 23:59:59'
    AND (
        errorcode IS NOT NULL
        OR errormessage IS NOT NULL
    )
GROUP BY 1,
    2,
    3
ORDER BY 4 DESC;

我要选择运行以查看结果。要使用总结功能,我要在查询结果选项卡中选择总结结果。CloudTrail 会自动分析查询结果,并提供关键洞察的自然语言摘要。请务必注意,对于可以总结的查询结果,每月有 3 MB 的配额。

新推出的这项总结功能可以自动为关键结果生成有意义的摘要,从而节省您了解 AWS 活动数据时需要投入的时间和精力。

全面的控制面板功能

最后,让我来介绍一下我们为 CloudTrail Lake 新推出的控制面板功能,这些功能可以增强您对 AWS 环境的可见性和分析能力。

第一项功能是要点控制面板,您可以使用它轻松查看在 CloudTrail Lake 管理中捕获的数据和存储在事件数据存储空间中的数据事件的摘要。使用此控制面板,您可以更轻松地快速识别和了解重要的洞察,例如失败次数最多的 API 调用、失败的登录尝试的趋势以及资源创建峰值。它可以显示数据中的任何异常或异常趋势。

我要转到 AWS CloudTrail 控制台,并在导航窗格中的下方选择控制面板,以查看要点控制面板。首先,我要选择同意并启用要点,以启用“要点”控制面板。

在“要点”控制面板中填充数据之后,我要查看“要点”控制面板。

为控制面板新增的第二项功能是一套 14 个预构建的控制面板。这些控制面板专为不同的角色和使用案例而设计。例如,以安全为中心的控制面板可以帮助您跟踪和分析关键安全指标,例如最常见的访问被拒绝事件、失败的控制台登录尝试以及禁用了多重身份验证(MFA)的用户。还有用于进行运营监控的预构建控制面板,它会突出显示错误和可用性问题的趋势,例如发生最多节流错误的 API 和遇到最多错误的用户。您还可以使用侧重于特定 AWS 服务(例如 Amazon EC2 和 Amazon DynamoDB)的控制面板,这些控制面板可以帮助您识别这些特定服务环境内的安全风险或运营问题。

您可以创建自己的控制面板,也可以选择性地设置用来刷新控制面板的时间表。这一级别的自定义可以帮助您定制 CloudTrail Lake 分析功能,以满足您在整个 AWS 环境中的精确监控和调查需求。

我要切换到托管式控制面板和自定义控制面板,以观察自定义控制面板和预构建的控制面板。

我要选择预构建的控制面板 IAM 活动控制面板,以观察整个 IAM 活动。您可以选择另存为新控制面板,以自定义此控制面板。

要从头开始创建一个自定义控制面板,我需要转到导航窗格中的下方的控制面板,然后选择构建我自己的控制面板。我要在为控制面板输入一个名称字段中输入一个名称,然后在权限下方选择事件数据存储,以便可视化事件。 接下来,我要选择创建控制面板

现在,我可以为我的控制面板添加小组件。您可以通过多种方式灵活地自定义控制面板。您可以使用添加示例小组件从预构建的示例小组件的列表中进行选择,也可以使用创建新的小组件创建您自己的自定义小组件。对于每个小组件,您可以选择您喜欢使用的可视化类型,例如折线图、条形图或其他选项,以便以最好的方式呈现您的数据。

现已推出

AWS CloudTrail Lake 中的新功能代表了在提供全面的审计记录和分析解决方案方面取得的重大进展。这些增强使您能够获得更深入的了解以及更快地执行调查,因此有助于在整个 AWS 环境中进行更多的预防性监控和更快的事件处理。

现在,您可以开始在美国东部(弗吉尼亚州北部)、美国西部(俄勒冈州)、亚太地区(孟买)、亚太地区(悉尼)、亚太地区(东京)、加拿大(中部)和欧洲地区(伦敦)的 AWS 区域的 CloudTrail Lake 中使用由生成式人工智能提供支持的自然语言查询生成功能

由生成式人工智能提供支持的 CloudTrail Lake 查询结果总结功能已在美国东部(弗吉尼亚州北部)、美国西部(俄勒冈州)和亚太地区(东京)区域中提供预览版。

增强的筛选选项跨账户共享事件数据存储控制面板已在所有推出了 CloudTrail Lake 的区域中提供,但“要点”控制面板上由生成式人工智能提供支持的总结功能只在美国东部(弗吉尼亚州北部)、美国西部(俄勒冈州)和亚太地区(东京)区域中推出。

运行查询时会产生 CloudTrail Lake 查询费用。有关定价的更多详细信息,请访问 AWS CloudTrail 定价

– Esra


*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您了解行业前沿技术和发展海外业务选择推介该服务。