# AWS - CloudTrail Lake/CloudTrail Insight
# CloudTrail Lake - 進階稽核查詢工具
CloudTrail Lake 可以用 SQL 查詢 API 行為紀錄的 CloudTrail 資料湖
# CloudTrail Lake 解決的問題
# 傳統 CloudTrail(S3 Logs)問題
- 查詢慢
- 要自己用 Athena 建表
- 跨帳號、跨區超麻煩
# CloudTrail Lake
- 內建資料表
- 即時查詢
- 原生跨帳號、跨區
- 不用自己建 Athena
# 常考情境
- 公司要查「誰刪了一個 S3 Bucket」,要能即時查詢,不用建 Athena
- CloudTrail Lake
- 資安單位要查「跨 5 個帳號,誰修改 IAM Policy」
- CloudTrail Lake + Organization Trail
# CloudTrail Insights — API「行為異常」自動偵測神器
CloudTrail Insights 是用 ML 自動偵測「API 呼叫行為異常」的服務,他並不是紀錄工具而是異常偵測工具
# CloudTrail Insight 能偵測甚麼?
| 異常類型 | 範例 |
|---|---|
| 異常高頻率 | 突然暴增的 RunInstances |
| 異常錯誤率 | AccessDenied 爆增 |
| 異常資源建立 | 突然大量建立 IAM / EC2 |
| 可疑用戶行為 | 半夜大量刪資源 |
# 偵測後怎麼處理
CloudTrail Insights → EventBridge → 觸發 Lambda / SSM / SNS
自動形成「資安自動反應系統」
# 常考情境
- 要偵測「API 呼叫模式是否偏離正常行為」
- CloudTrail Insights
- 發現疑似帳號被盜,要自動停權 IAM User
- CloudTrail Insight > EventBridge > Lambda > 停用 IAM Access Key
