CloudTrail Insights
CloudTrail Insights — это дополнительная функция сервиса AWS CloudTrail, предназначенная для автоматического обнаружения аномальной активности в учётной записи Amazon Web Services (AWS). Она анализирует события управления (write-события), записанные CloudTrail, и на основе машинного обучения выявляет отклонения от установившегося шаблона поведения. CloudTrail Insights не требует ручной настройки порогов или правил обнаружения; она использует исторические данные для построения базовой линии нормальной активности и сигнализирует о событиях, которые выходят за её пределы.
История и контекст появления
Функция CloudTrail Insights была анонсирована компанией Amazon Web Services в ноябре 2019 года на конференции AWS re:Invent. Её появление было обусловлено растущей потребностью в автоматизированных средствах безопасности для облачных сред. Традиционные инструменты мониторинга, такие как AWS CloudTrail и Amazon GuardDuty, уже предоставляли базовые возможности аудита и обнаружения угроз, но они либо требовали сложной настройки правил (CloudTrail), либо были ориентированы на конкретные типы угроз (GuardDuty). CloudTrail Insights заполнила нишу между ними, предложив подход на основе машинного обучения, который не требует от администратора глубоких знаний в области безопасности или написания сложных запросов.
Принцип работы
CloudTrail Insights работает в два этапа: обучение и обнаружение.
Обучение базовой линии
Сервис анализирует исторические данные CloudTrail за последний период (обычно до 30 дней). Для каждого типа события (например, CreateInstance, DeleteBucket, ModifyNetworkAcl) и для каждого ресурса (например, конкретной виртуальной машины EC2 или бакета S3) строится статистическая модель нормального поведения. Учитываются такие параметры, как частота событий, время суток, IP-адреса источника, регионы AWS и типы операций.
Обнаружение аномалий
После построения базовой линии CloudTrail Insights начинает в реальном времени сравнивать входящие события с этой моделью. Если какое-либо событие значительно отклоняется от ожидаемого шаблона, оно помечается как «аномальное» и записывается в отдельный журнал — CloudTrail Insights events. Отклонение может быть связано с:
- Необычной частотой: например, если обычно в день создаётся 1-2 экземпляра EC2, а внезапно за час создаётся 50.
- Необычным временем: например, если администратор обычно работает в рабочее время (9:00-18:00), а событие произошло в 3:00 ночи.
- Необычным источником: например, если запрос пришёл с IP-адреса, который никогда ранее не использовался для управления данной учётной записью.
- Необычным типом события: например, если в учётной записи, которая никогда не удаляла бакеты S3, вдруг произошло массовое удаление.
Типы аномалий
CloudTrail Insights выделяет несколько категорий аномалий, каждая из которых имеет свой идентификатор:
AWSInsightType_ApiCallRateInsight— аномалия, связанная с изменением частоты вызовов API. Например, резкий рост количества вызововDescribeInstancesилиRunInstances.AWSInsightType_ApiCallErrorRateInsight— аномалия, связанная с изменением частоты ошибок при вызовах API. Например, внезапное увеличение количества ошибокAccessDeniedилиThrottling.AWSInsightType_ApiCallVolumeInsight— аномалия, связанная с изменением общего объёма вызовов API. Например, если в учётной записи обычно совершается 1000 вызовов в день, а в один день их стало 10 000.
Интеграция и использование
Включение
CloudTrail Insights включается на уровне трейла (trail) CloudTrail. При создании нового трейла или редактировании существующего можно активировать опцию «Включить анализ Insights». После включения сервис начинает сбор данных и через несколько дней (обычно 1-2 дня) начинает генерировать первые отчёты об аномалиях. Важно отметить, что Insights анализирует только write-события (события управления), а не read-события или события уровня данных (data events).
Просмотр результатов
Аномалии можно просматривать:
- В консоли AWS CloudTrail, в разделе «Insights» (или «Аналитика»).
- Через AWS CLI с помощью команды
aws cloudtrail get-insight-selectorsиaws cloudtrail describe-trails. - Через API CloudTrail.
- В журналах CloudWatch Logs, если настроена соответствующая интеграция.
Оповещения
CloudTrail Insights может отправлять уведомления через Amazon Simple Notification Service (SNS). При обнаружении аномалии событие публикуется в указанный SNS-топик, откуда может быть перенаправлено в системы мониторинга (например, Slack, PagerDuty, email) или в SIEM-системы (например, Splunk, Elastic Stack).
Ограничения и критика
Несмотря на полезность, CloudTrail Insights имеет ряд ограничений:
- Только write-события: функция не анализирует read-события (например, чтение объектов S3 или описание инстансов EC2), что может пропустить некоторые типы разведки.
- Зависимость от исторических данных: для точной работы требуется не менее 7-14 дней исторических данных. В новой учётной записи Insights будет работать некорректно.
- Ложные срабатывания: в средах с нерегулярной активностью (например, в тестовых или staging-средах) количество ложных аномалий может быть высоким.
- Задержка: обнаружение аномалии может занимать до 15 минут после события, что не подходит для критически важных систем, требующих мгновенной реакции.
- Стоимость: CloudTrail Insights тарифицируется отдельно — за каждое проанализированное событие (write-событие) взимается дополнительная плата сверх стандартной стоимости CloudTrail. Для крупных учётных записей с высокой активностью это может стать значительным расходом.
Примеры использования
- Обнаружение компрометации учётной записи: если злоумышленник получил доступ к ключам доступа и начал массово создавать ресурсы, Insights может зафиксировать аномальный всплеск активности.
- Выявление неправильной конфигурации: если администратор случайно настроил автоматическое удаление бакетов, Insights может показать аномальное количество вызовов
DeleteBucket. - Мониторинг изменений в инфраструктуре: Insights помогает отслеживать неожиданные изменения в сетевых настройках, группах безопасности или политиках IAM.
Сравнение с другими сервисами AWS
| Сервис | Тип анализа | Требует настройки | Область применения |
|---|---|---|---|
| CloudTrail | Журналирование событий | Да (правила) | Аудит, расследование инцидентов |
| CloudTrail Insights | Аномалии на основе ML | Нет (автоматически) | Обнаружение необычной активности |
| Amazon GuardDuty | Угрозы (вредоносное ПО, подозрительные IP) | Нет (автоматически) | Обнаружение известных угроз |
| AWS Config | Соответствие конфигурации | Да (правила) | Мониторинг изменений конфигурации |
Источники
- AWS Documentation: «CloudTrail Insights» (Amazon Web Services, 2024)
- Документация AWS CloudTrail API (Amazon Web Services, 2024)
- Статья «AWS re:Invent 2019: New CloudTrail Insights feature» (AWS News Blog, 2019)
- Руководство по безопасности AWS: «Detecting anomalous activity with CloudTrail Insights» (AWS Security Blog, 2020)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →