将来自外部源的用户活动集中记录在Amazon CloudTrail Lake中

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/COP341-Centralize_user_activity_from_external_sources_in_AWS_CloudTrail_Lake-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 组织通常会使用多种工具来汇总和分析他们的用户活动。在这个闪电演讲中,了解一下您可以如何使用Amazon CloudTrail Lake将来自外部源的用户活动集中到一个地方。了解CloudTrail Lake如何帮助您快速查询、分析和排查潜在的运营问题和安全问题。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共700字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者Anya De Velda提出了一个关于我们是否在多个账户、服务和系统中难以像数字面包屑一样拼凑用户活动轨迹的问题。她还询问我们是否有幸能够完成手动关联CloudTrail事件日志、Linux服务器日志、Config快照以及Okta等外部身份验证系统的枯燥过程。这种繁琐的过程会占用更多有价值的工作时间。 De Velda指出，核心问题是用户活动数据分散在不同的账户、区域、服务和内部系统中。虽然我们在CloudTrail和Config中可能找到一些线索，但其他关键证据也存在于服务器日志、数据库和SaaS应用（如Okta）中。她强调，在压力下迅速找到答案的过程中，分析师试图收集和关联这些不同的数据来源所面临的挑战。如果任何日志被删除，关键的风险是失去数据完整性和不可变性。 为了说明这一点，De Velda提供了三个实际示例： 1. 一个CloudTrail事件显示，来自IP地址1.2.3.4的Mary在2022年11月15日14点55分43秒使用她的Mac在账号123456789012创建了用户Paolo。 2. 一个Config快照显示，有人在2022年11月15日14点55分43秒在S3存储桶example-bucket上启用了加密。 3. 一个Linux服务器日志行显示，用户在2022年11月15日14点55分43秒在服务器Web1上创建了用户AnyaDemo。 De Velda强调了分析师在不同账户、区域、服务和系统之间建立联系以揭示完整情况方面的困难。这种手动数据关联令人沮丧，耗时且容易错过关键证据。 作为解决方案架构师，De Velda建议采用亚马逊云科技的CloudTrail Lake来优雅地解决这些挑战。CloudTrail Lake聚合、可视化、分析和查询组织内的完全管理的数据湖中的用户活动数据。它原生集成亚马逊云科技的数据，如CloudTrail和Config,横跨整个组织。CloudTrail Lake还可以接收来自第三方ISV的数据，以及自定义来源，如内部服务器。一旦摄入，数据在长达10年的时间里具有不可更改性。 在这个演示中，De Velda展示了一个关于从Linux服务器的安全日志文件进行自定义集成的例子。她通过SSH连接到一个代表内部服务器的外部EC2实例。在添加测试用户'reInventUser'之后，她运行一个Python脚本，使用PutAuditEvents API将日志条目传入预定义的CloudTrail Lake通道。该脚本处理假设角色、指定日志文件、目标通道ARN、实例ID、解析日志、格式化数据以及调用API。 回到控制台后，De Velda立即使用Athena查询已输入的日志数据。她展示了分析人员如何能够无缝地在自定义日志数据和原生亚马逊云科技Amazon Web Services数据中搜索特定用户、IP地址或事件。这使加速调查成为可能，因为所有相关活动数据现在都集中在一个地方。 De Velda重申了CloudTrail Lake如何简化聚合以前孤立的数据源以进行审计、可视化和分析。更强大的摄入选项包括SSM自动化、Lambda函数，以及直接将日志航运嵌入到EC2用户数据中。她强调了CloudTrail Lake终于让分析人员能够在用户活动数据方面获得统一的窗口，消除了令人沮丧的手动数据关联问题。 De Velda提到的CloudTrail Lake可以提供帮助的额外使用案例包括： - 调查跨账户和服务滥用的授权凭证。分析人员可以从可疑IP地址转到所有关联的活动。 - 重建导致资源不符合要求的更改序列和操作员。 - 找到何时以及如何将UAT环境中的数据库服务器删除。 - 追踪哪个用户或服务跨账户删除了关键资源。 - 找准配置重大变更触发服务中断的根本原因。 总之，De Velda有力地证明了CloudTrail Lake可以解锁快速的统一调查。通过将不同的日志整合到不可变的数据湖中，CloudTrail Lake加速了威胁狩猎、合规审计和服务诊断。 **下面是一些演讲现场的精彩瞬间：** 安雅·德·韦尔德（Anya De Velda）详细阐述了如何在亚马逊云科技（Amazon Web Services）上利用CloudTrail LA集中管理来自外部来源的用户活动。  她强调了在处理跨多个账户、服务和混合环境的相关安全数据方面的挑战。  为了证明这一点，演讲者展示了如何将数据发送到CloudTrail LA。  通过对事件数据进行查询，可以找到具体且有用的结果。  在一个地方快速搜索并关联多个来源的安全数据，使得威胁调查变得更加迅速。  她还讨论了一些可扩展方法，如集中收集EC2实例数据并将其输入到CloudTrail Lake中的SSM自动化、Lambda函数以及定期运行的EC2用户数据脚本。  为了让用户快速开始，演讲者提供了一张包含示例CloudTrail日志分析查询的QR码，以及一些示例性的代码片段。  ## 总结 亚马逊云科技和re:Invent是亚马逊云科技发布新服务和功能的重要场合。在这些活动中，Anya De Velda探讨了如何将来自外部来源的用户活动日志集中到亚马逊云科技的CloudTrail Lake（一个托管的数据湖）中。她详细解释了在多个亚马逊云科技账户、服务和混合环境中跟踪用户操作所面临的挑战。由于数据分散在CloudTrail、Config、服务器、数据库等多个地方，使得追踪变得具有挑战性。CloudTrail Lake通过将所有数据汇总到一个可以轻松查询和分析的单一湖泊来解决这个问题。 De Velda在现场演示了如何使用一个简单的Python脚本和PutAuditEvents API将Linux服务器认证日志摄入到CloudTrail Lake中。一旦进入CloudTrail Lake，她就展示了如何跨服务查询特定用户或IP地址以调查问题。此外，她还强调，使用SSM自动化、Lambda或EC2用户数据在规模上更具威力。 总之，CloudTrail Lake通过集中所有来源的日志，使得审计用户活动变得更加容易。De Velda鼓励大家查看该服务和使用样例查询来开始使用。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")