AWS CloudTrail

Amazon Web Services

Log de auditoria de toda chamada de API da AWS — fonte forense primária na AWS.

Identidade, Nuvem e Acesso Comercial Plataforma / Suíte Em Estudo saas

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O AWS CloudTrail é o log de auditoria do control plane da AWS. Toda chamada de API — clique no console, chamada de SDK, AWS CLI ou ação entre serviços — gera um evento com identidade, IP de origem, parâmetros e resposta.

O candidato CySA+ deve conhecer:

Management events (padrão; control-plane).
Data events (nível de objeto S3, invocações Lambda; cobrados separadamente).
Insight events (detecção de atividade anômala).
Destinos: S3 para longo prazo, CloudWatch Logs para consultas, EventBridge para resposta em tempo real.
Organisation trails para ambientes multi-conta.

Casos de uso

Linha do tempo após comprometimento de conta AWS
Detecção de criação não autorizada de IAM role ou abuso de iam:PassRole
Evidência de auditoria para compliance (PCI, SOC 2)

Exemplo

# Query CloudTrail via Athena — console logins from outside known IPs
SELECT eventTime, userIdentity.arn, sourceIPAddress, awsRegion
FROM cloudtrail_logs
WHERE eventName = 'ConsoleLogin'
  AND sourceIPAddress NOT IN ('203.0.113.10', '203.0.113.11')
ORDER BY eventTime DESC
LIMIT 100;