使用 Amazon CloudTrail Lake 获得更深入的见解和更快的调查

亚马逊云科技最近对 Amazon CloudTrail Lake 推出了几项新的增强功能，这是一个托管数据湖，可帮助客户捕获、不可更改地存储、访问和分析其亚马逊云科技和非亚马逊云科技活动日志以及 Amazon Config 配置项目。这些最新更新为您提供了强大的新工具，可简化分析、发现异常并加快对存储在事件数据存储中的数据的调查。

增强功能包括：

为摄取到事件数据存储的 CloudTrail 事件提供了新的增强筛选选项
人工智能驱动的自然语言查询生成
人工智能驱动的查询结果摘要（预览版）
跨账户共享事件数据存储
其他全面的仪表板功能，包括：
- 一个新的控制面板，可概述您在事件数据存储中捕获的亚马逊云科技活动日志，以及基于人工智能的见解（人工智能驱动的见解功能目前处于预览阶段）
- 一套包含 14 个预先策划的仪表板，适用于不同的用例，例如安全性、合规性和运营监控
- 能够通过定期刷新创建自己的自定义仪表板

增强的事件过滤

Amazon CloudTrail Lake 正在增强其事件筛选功能，使您可以更好地控制将哪些 CloudTrail 事件提取到您的事件数据存储中。此更新允许您仅摄取与用例最相关的事件数据，从而提高了安全性、合规性和运营调查的效率和精度，同时降低了分析工作流程成本。

现在，您可以按事件名称、事件类型、事件源、发出请求的 IAM 实体（由 userIdentity.arn 字段识别）或事件是否源自亚马逊云科技管理控制台会话等属性筛选 Amazon CloudTrail 管理和数据事件。事件源筛选器允许您包含或排除任何亚马逊云科技服务。userIdentity.ARN 字段包含提出请求的 IAM 委托人的完整亚马逊资源名称 (ARN)，包括所涉及的用户、角色或服务。对于每个属性，您可以选择包含或排除特定值。

这些新的过滤器使您能够在捕获的数据中更具选择性。例如，您现在可以根据 UserIdentity.ARN 字段筛选 CloudTrail 事件，以排除特定 IAM 角色或用户生成的事件。您可以排除为监控目的频繁执行 API 调用的服务所使用的专用 IAM 角色。这使您可以显著减少摄入 CloudTrail Lake 的 CloudTrail 事件数量，从而降低成本，同时保持对相关用户和系统活动的可见性。

所有支持 Amazon CloudTrail Lake 的亚马逊云科技区域均提供增强事件筛选，无需额外付费。

人工智能驱动的自然语言查询

Amazon CloudTrail Lake 现在提供强大的新功能，可极大地简化对您的亚马逊云科技活动数据的探索。此功能使您能够用通俗易懂的英语询问有关您的亚马逊云科技 API 和用户活动的问题，而无需编写复杂的 SQL 查询。例如，您可以查询"上周对 S3 存储桶策略进行了哪些更改？"或"向我显示过去 24 小时内向用户授予管理访问权限的所有事件"。然后，CloudTrail Lake 将自动生成相应的 SQL 查询，从而简化对您的亚马逊云科技活动数据的分析。

请注意，运行查询将产生 CloudTrail Lake 查询费用。有关详情，请参阅 Amazon CloudTrail 定价。

人工智能驱动的查询结果摘要（预览版）

在自然语言查询生成的基础上，我们将进一步简化您分析亚马逊云科技账户活动的体验。我们在预览版中引入了人工智能驱动的查询结果汇总功能。此功能显著减少了从亚马逊云科技活动日志中提取有意义信息所需的时间和精力，从而做出更快、更明智的决策。

使用此功能，您只需单击湖泊查询结果的汇总结果按钮，CloudTrail 将自动分析数据并提供关键见解的自然语言摘要。例如，如果您运行查询来查找昨天发生的所有访问被拒绝事件，则可能会收到包含数百个事件的结果。您可以利用 AI 驱动的摘要功能快速获得输出摘要，而不必单独查看每个事件。它将分析结果并提供自然语言摘要，例如：

"查询结果显示各种 Amazon S3 操作的多个访问被拒绝错误实例。这些事件中的大多数都涉及假定角色 "Role1" 尝试对 "examplebucket-1a1b2c" 存储桶执行操作。这些操作包括 PutObject、HeadBucket 和 GetBucketEncryption，所有这些操作都因缺乏权限而被拒绝。尝试列出不同存储桶中的对象的匿名亚马逊云科技账户也出现了访问被拒绝事件。此外，还有一个例子，假定角色 "Role2" 被拒绝访问在与亚马逊云科技 QuickSetup 补丁策略相关的存储桶上执行 GetObject。这些事件表明 IAM 策略或存储桶权限中存在潜在的错误配置，需要解决。"

这种人工智能驱动的汇总功能将在预览版中推出，无需额外付费。

图 1：由 CloudTrail Lake AI 驱动的自然语言查询和查询结果汇总

跨账户共享事件数据存储

Amazon CloudTrail Lake 现在使您能够使用基于资源的策略 (RBP) 与选定的委托人（例如亚马逊云科技账户、IAM 用户或角色）安全地共享您的事件数据存储。然后，授权委托人可以在创建事件数据存储的同一亚马逊云科技区域内查询共享事件数据存储。此功能有助于跨不同账户进行分析，同时通过细粒度权限控制谁可以访问您的事件数据存储。此外，它通过减少账户间的数据重复来提高成本效益，从而有可能降低存储成本。

此功能在支持 Amazon CloudTrail Lake 的所有亚马逊云科技区域均可使用，无需额外付费。

全面的仪表板功能

我们将在 Amazon CloudTrail Lake 中推出新的亮点控制面板，该控制面板概述了过去 24 小时的亚马逊云科技活动日志（管理和数据事件）。此仪表板每 6 小时刷新一次，让您随时了解最新的数据。

它包括一个活动概述部分，其中显示了访问的区域和失败的 API 调用等关键指标。该仪表板包含基于人工智能的生成式见解，目前处于预览阶段，可提供账户活动的自然语言摘要，帮助您快速了解模式和异常情况。此外，仪表板还提供了关键安全和运营指标的交互式可视化效果，例如控制台登录尝试失败和 API 调用受限。每个可视化都允许您查看和编辑基础查询，从而在需要时进行更深入的调查。

此外，Amazon CloudTrail Lake 现在提供了一套 14 个预建的仪表板，这些仪表板专为不同的角色和用例而设计，包括为安全量身定制的仪表板，使您能够跟踪和分析关键安全指标，例如访问被拒绝事件、禁用多因素认证的用户等。这些预建的仪表板还包括适用于 Amazon EC2 和 DynamoDB 等服务的亚马逊云科技特定服务控制面板，允许您识别这些环境中的安全风险或操作问题。这些仪表板为您的团队提供了一个简化的起点，可以分析趋势、检测异常并在亚马逊云科技环境中进行更有效的调查。

您不仅限于预建的仪表板。Amazon CloudTrail Lake 还允许您创建自己的定制控制面板，以满足您的特定监控和调查需求。向这些仪表板添加可视化效果时，您可以从预先策划的可视化库中进行选择，也可以编写自己的查询并选择显示结果的方式。

这种双重方法使您可以使用预先策划的选项快速构建富有洞察力的仪表板，同时还可以灵活地为数据创建高度具体的自定义视图。您可以从演示选项中进行选择，包括条形图、折线图、饼图或表格。此外，您可以为这些仪表板设置刷新计划，确保您的可视化效果保持最新状态。

这些新的控制面板功能在支持 Amazon CloudTrail Lake 的所有亚马逊云科技区域均可用，但亮点控制面板上的人工智能洞察功能除外，该功能目前在部分地区提供预览版。虽然这些增强功能无需额外付费，但在 CloudTrail Lake 仪表板中运行可视化查询时，将收取标准的 CloudTrail Lake 查询费用。有关定价的更多信息，请访问 Amazon CloudTrail 定价。