Beispiele für Security Lake mit AWS CLI - AWS SDKCode-Beispiele
Aktionen

Weitere AWS SDK Beispiele sind im Repo AWS Doc SDK Examples GitHub verfügbar.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für Security Lake mit AWS CLI

Die folgenden Codebeispiele zeigen Ihnen, wie Sie AWS Command Line Interface mit Security Lake Aktionen ausführen und allgemeine Szenarien implementieren.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Aktionen zeigen Ihnen zwar, wie Sie einzelne Servicefunktionen aufrufen, aber Sie können Aktionen im Kontext der zugehörigen Szenarien sehen.

Jedes Beispiel enthält einen Link zum vollständigen Quellcode, in dem Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt die Verwendungcreate-aws-logsource.

AWS CLI

Um einen nativ unterstützten Amazon Web Service als Amazon Security Lake-Quelle hinzuzufügen

Im folgenden create-aws-logsource Beispiel werden VPC Flow Logs als Security Lake-Quelle in den angegebenen Konten und Regionen hinzugefügt.

aws securitylake create-aws-log-source \
    --sources '[{"regions": ["us-east-1"], "accounts": ["123456789012"], "sourceName": "SH_FINDINGS", "sourceVersion": "2.0"}]'

Ausgabe:

{
    "failed": [
        "123456789012"
    ]
}

Weitere Informationen finden Sie unter Hinzufügen eines AWS Service als Quelle im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-custom-logsource.

AWS CLI

So fügen Sie eine benutzerdefinierte Quelle als Amazon Security Lake-Quelle hinzu

Das folgende create-custom-logsource Beispiel fügt dem angegebenen Protokollanbieter-Konto und der angegebenen Region eine benutzerdefinierte Quelle als Security Lake-Quelle hinzu.

aws securitylake create-custom-log-source \
    --source-name "VPC_FLOW" \
    --event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
    --configuration '{"crawlerConfiguration": {"roleArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4"},"providerIdentity": {"principal": "029189416600","externalId": "123456789012"}}' --region "us-east-1"

Ausgabe:

{
    "customLogSource": {
        "attributes": {
            "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4",
            "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/E1WG1ZNPRXT0D4",
            "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/E1WG1ZNPRXT0D4"
        },
        "provider": {
            "location": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
            "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-testCustom2-eu-west-2"
        },
        "sourceName": "testCustom2"
        "sourceVersion": "2.0"
    }
}

Weitere Informationen finden Sie unter Hinzufügen einer benutzerdefinierten Quelle im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-data-lake-exception-subscription.

AWS CLI

Um Benachrichtigungen über Security Lake-Ausnahmen zu senden

Im folgenden create-data-lake-exception-subscription Beispiel werden Benachrichtigungen über Security Lake-Ausnahmen per SMS Zustellung an das angegebene Konto gesendet. Die Ausnahmemeldung bleibt für den angegebenen Zeitraum bestehen.

aws securitylake create-data-lake-exception-subscription \
    --notification-endpoint "123456789012" \
    --exception-time-to-live 30 \
    --subscription-protocol "sms"

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Problembehandlung bei Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-data-lake-organization-configuration.

AWS CLI

Um Security Lake in neuen Organisationskonten zu konfigurieren

Das folgende create-data-lake-organization-configuration Beispiel aktiviert Security Lake und die Erfassung der angegebenen Quellereignisse und Protokolle in neuen Organisationskonten.

aws securitylake create-data-lake-organization-configuration \
    --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS","sourceVersion": "1.0"}]}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltung mehrerer Konten bei AWS Organizations im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-data-lake.

AWS CLI

Beispiel 1: So konfigurieren Sie Ihren Data Lake in mehreren Regionen

Das folgende create-data-lake Beispiel aktiviert Amazon Security Lake in mehreren AWS Regionen und konfiguriert Ihren Data Lake.

aws securitylake create-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ausgabe:

{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-1:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-1",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-gnevt6s8z7bzby8oi3uiaysbr8v2ml",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        },
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        }
    ]
}

Weitere Informationen finden Sie unter Erste Schritte mit Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Beispiel 2: So konfigurieren Sie Ihren Data Lake in einer einzelnen Region

Das folgende create-data-lake Beispiel aktiviert Amazon Security Lake in einer einzelnen AWS Region und konfiguriert Ihren Data Lake.

aws securitylake create-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ausgabe:

{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 500
                },
                "transitions": [
                    {
                        "days": 30,
                        "storageClass": "GLACIER"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "77702a53-dcbf-493e-b8ef-518e362f3003",
                "status": "INITIALIZED"
            }
        }
    ]
}

Weitere Informationen finden Sie unter Erste Schritte mit Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

  • APIEinzelheiten finden Sie CreateDataLakeunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-subscriber-data-access.

AWS CLI

Um einen Abonnenten mit Datenzugriff zu erstellen

Im folgenden create-subscriber Beispiel wird ein Abonnent in Security Lake mit Zugriff auf Daten in der aktuellen AWS Region für die angegebene Abonnenten-Identität für eine AWS Quelle erstellt.

aws securitylake create-subscriber \
    --access-types "S3" \
    --sources '[{"awsLogSource": {"sourceName": "VPC_FLOW","sourceVersion": "2.0"}}]' \
    --subscriber-name "opensearch-s3" \
    --subscriber-identity '{"principal": "029189416600","externalId": "123456789012"}'

Ausgabe:

{
    "subscriber": {
        "accessTypes": [
            "S3"
        ],
        "createdAt": "2024-07-17T19:08:26.787000+00:00",
        "roleArn": "arn:aws:iam::773172568199:role/AmazonSecurityLake-896f218b-cfba-40be-a255-8b49a65d0407",
        "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-um632ufwpvxkyz0bc5hkb64atycnf3",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "2.0"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:us-east-1:773172568199:subscriber/896f218b-cfba-40be-a255-8b49a65d0407",
        "subscriberId": "896f218b-cfba-40be-a255-8b49a65d0407",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "029189416600"
        },
        "subscriberName": "opensearch-s3",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-07-17T19:08:27.133000+00:00"
    }
}

Weitere Informationen finden Sie unter Einen Abonnenten mit Datenzugriff erstellen im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-subscriber-notification.

AWS CLI

Um eine Abonnentenbenachrichtigung zu erstellen

Das folgende create-subscriber-notification Beispiel zeigt, wie Sie eine Abonnentenbenachrichtigung angeben, um eine Benachrichtigung zu erstellen, wenn neue Daten in den Data Lake geschrieben werden.

aws securitylake create-subscriber-notification \
    --subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
    --configuration '{"httpsNotificationConfiguration": {"targetRoleArn":"arn:aws:iam::XXX:role/service-role/RoleName", "endpoint":"https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}}'

Ausgabe:

{
    "subscriberEndpoint": [
        "https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"
    ]
}

Weitere Informationen finden Sie unter Abonnentenverwaltung im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-subscriber-query-access.

AWS CLI

Um einen Abonnenten mit Abfragezugriff zu erstellen

Im folgenden create-subscriber Beispiel wird ein Abonnent in Security Lake mit Abfragezugriff in der aktuellen AWS Region für die angegebene Abonnenten-Identität erstellt.

aws securitylake create-subscriber \
    --access-types "LAKEFORMATION" \
    --sources '[{"awsLogSource": {"sourceName": "VPC_FLOW","sourceVersion": "2.0"}}]' \
    --subscriber-name "opensearch-s3" \
    --subscriber-identity '{"principal": "029189416600","externalId": "123456789012"}'

Ausgabe:

{
    "subscriber": {
        "accessTypes": [
            "LAKEFORMATION"
        ],
        "createdAt": "2024-07-18T01:05:55.853000+00:00",
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8c31da49-c224-4f1e-bb12-37ab756d6d8a",
        "resourceShareName": "LakeFormation-V2-NAMENAMENA-123456789012",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "2.0"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:us-east-1:123456789012:subscriber/e762aabb-ce3d-4585-beab-63474597845d",
        "subscriberId": "e762aabb-ce3d-4585-beab-63474597845d",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "029189416600"
        },
        "subscriberName": "opensearch-s3",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-07-18T01:05:58.393000+00:00"
    }
}

Weitere Informationen finden Sie unter Einen Abonnenten mit Abfragezugriff erstellen im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-aws-logsource.

AWS CLI

Um einen nativ unterstützten Dienst zu entfernen. AWS

Im folgenden delete-aws-logsource Beispiel werden VPC Flow Logs als Security Lake-Quelle in den angegebenen Konten und Regionen gelöscht.

aws securitylake delete-aws-log-source \
    --sources '[{"regions": ["us-east-1"], "accounts": ["123456789012"], "sourceName": "SH_FINDINGS", "sourceVersion": "2.0"}]'

Ausgabe:

{
    "failed": [
        "123456789012"
    ]
}

Weitere Informationen finden Sie unter Entfernen eines AWS Dienstes als Quelle im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-custom-logsource.

AWS CLI

Um eine benutzerdefinierte Quelle zu entfernen.

Im folgenden delete-custom-logsource Beispiel wird eine benutzerdefinierte Quelle im angegebenen Protokollanbieter-Konto in der angegebenen Region gelöscht.

aws securitylake delete-custom-log-source \
    --source-name "CustomSourceName"

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Löschen einer benutzerdefinierten Quelle im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-data-lake-organization-configuration.

AWS CLI

Um die automatische Quellenerfassung in Mitgliedskonten zu beenden

Im folgenden delete-data-lake-organization-configuration Beispiel wird die automatische Erfassung von AWS Security Hub Hub-Ergebnissen von neuen Mitgliedskonten, die der Organisation beitreten, gestoppt. Nur der delegierte Security Lake-Administrator kann diesen Befehl ausführen. Er verhindert, dass neue Mitgliedskonten automatisch Daten zum Data Lake beitragen.

aws securitylake delete-data-lake-organization-configuration \
    --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltung mehrerer Konten bei AWS Organizations im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-data-lake.

AWS CLI

Um Ihren Data Lake zu deaktivieren

Im folgenden delete-data-lake Beispiel wird Ihr Data Lake in den angegebenen AWS Regionen deaktiviert. In den angegebenen Regionen tragen Quellen keine Daten mehr zum Data Lake bei. Bei einer Security Lake-Bereitstellung, die AWS Organizations verwendet, kann nur der delegierte Security Lake-Administrator für die Organisation Security Lake für Konten in der Organisation deaktivieren.

aws securitylake delete-data-lake \
    --regions "ap-northeast-1" "eu-central-1"

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Deaktivierung von Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-subscriber-notification.

AWS CLI

Um eine Abonnentenbenachrichtigung zu löschen

Das folgende delete-subscriber-notification Beispiel zeigt, wie die Abonnentenbenachrichtigung für einen bestimmten Security Lake-Abonnenten gelöscht wird.

aws securitylake delete-subscriber-notification \
    --subscriber-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Abonnentenverwaltung im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-subscriber.

AWS CLI

Um einen Abonnenten zu löschen

Das folgende delete-subscriber Beispiel zeigt, wie Sie einen Abonnenten entfernen, wenn Sie nicht mehr möchten, dass ein Abonnent Daten aus Security Lake nutzt.

aws securitylake delete-subscriber \
    --subscriber-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Abonnentenverwaltung im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-data-lake-exception-subscription.

AWS CLI

Um Details zu einem Ausnahmeabonnement zu erhalten

Das folgende get-data-lake-exception-subscription Beispiel enthält Details zu einem Security Lake-Ausnahmeabonnement. In diesem Beispiel wird der Benutzer des angegebenen AWS Kontos bei der SMS Zustellung über Fehler informiert. Die Ausnahmemeldung verbleibt für den angegebenen Zeitraum im Konto. Ein Ausnahmeabonnement benachrichtigt einen Security Lake-Benutzer über das bevorzugte Protokoll des Antragstellers über einen Fehler.

aws securitylake get-data-lake-exception-subscription

Ausgabe:

{
    "exceptionTimeToLive": 30,
    "notificationEndpoint": "123456789012",
    "subscriptionProtocol": "sms"
}

Weitere Informationen finden Sie unter Fehlerbehebung beim Data Lake-Status im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-data-lake-organization-configuration.

AWS CLI

Um Details zur Konfiguration für neue Organisationskonten zu erhalten

Im folgenden get-data-lake-organization-configuration Beispiel werden Details zu den Quellprotokollen abgerufen, die neue Organisationskonten nach dem Onboarding in Amazon Security Lake senden.

aws securitylake get-data-lake-organization-configuration

Ausgabe:

{
    "autoEnableNewAccount": [
        {
            "region": "us-east-1",
            "sources": [
                {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "1.0"
                },
                {
                    "sourceName": "ROUTE53",
                    "sourceVersion": "1.0"
                },
                {
                    "sourceName": "SH_FINDINGS",
                    "sourceVersion": "1.0"
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie unter Verwaltung mehrerer Konten bei AWS Organizations im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-data-lake-sources.

AWS CLI

Um den Status der Protokollsammlung abzurufen

Im folgenden get-data-lake-sources Beispiel wird eine Momentaufnahme der Protokollsammlung für das angegebene Konto in der aktuellen AWS Region abgerufen. Für das Konto ist Amazon Security Lake aktiviert.

aws securitylake get-data-lake-sources \
    --accounts "123456789012"

Ausgabe:

{
    "dataLakeSources": [
        {
            "account": "123456789012",
            "sourceName": "SH_FINDINGS",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "VPC_FLOW",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "NOT_COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "LAMBDA_EXECUTION",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "ROUTE53",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "CLOUD_TRAIL_MGMT",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        }
    ],
    "dataLakeArn": null
}

Weitere Informationen finden Sie unter Sammeln von Daten aus AWS Diensten im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-subscriber.

AWS CLI

Um die Abonnementinformationen abzurufen

Im folgenden get-subscriber Beispiel werden die Abonnementinformationen für den angegebenen Security Lake-Abonnenten abgerufen.

aws securitylake get-subscriber \
    --subscriber-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Ausgabe:

{
    "subscriber": {
        "accessTypes": [
            "LAKEFORMATION"
        ],
        "createdAt": "2024-04-19T15:19:44.421803+00:00",
        "resourceShareArn": "arn:aws:ram:eu-west-2:123456789012:resource-share/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "resourceShareName": "LakeFormation-V3-TKJGBHCKTZ-123456789012",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "LAMBDA_EXECUTION",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "EKS_AUDIT",
                    "sourceVersion": "2.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "ROUTE53",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "SH_FINDINGS",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "1.0"
                }
            },
            {
                "customLogSource": {
                    "attributes": {
                        "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/testCustom2",
                        "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/amazon_security_lake_glue_db_eu_west_2",
                        "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/amazon_security_lake_table_eu_west_2_ext_testcustom2"
                    },
                    "provider": {
                        "location": "s3://aws-security-data-lake-eu-west-2-8ugsus4ztnsfpjbldwbgf4vge98av9/ext/testCustom2/",
                        "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-testCustom2-eu-west-2"
                    },
                    "sourceName": "testCustom2"
                }
            },
            {
                "customLogSource": {
                    "attributes": {
                        "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/TestCustom",
                        "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/amazon_security_lake_glue_db_eu_west_2",
                        "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/amazon_security_lake_table_eu_west_2_ext_testcustom"
                    },
                    "provider": {
                        "location": "s3://aws-security-data-lake-eu-west-2-8ugsus4ztnsfpjbldwbgf4vge98av9/ext/TestCustom/",
                        "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-TestCustom-eu-west-2"
                    },
                    "sourceName": "TestCustom"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:eu-west-2:123456789012:subscriber/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "123456789012"
        },
        "subscriberName": "test",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-04-19T15:19:55.230588+00:00"
    }
}

Weitere Informationen finden Sie unter Abonnentenverwaltung im Amazon Security Lake-Benutzerhandbuch.

  • APIEinzelheiten finden Sie GetSubscriberin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-data-lake-exceptions.

AWS CLI

Um die Probleme aufzulisten, die Ihren Data Lake betreffen

Im folgenden list-data-lake-exceptions Beispiel werden die Probleme aufgeführt, die Ihren Data Lake in den letzten 14 Tagen in den angegebenen AWS Regionen beeinträchtigt haben.

aws securitylake list-data-lake-exceptions \
    --regions "us-east-1" "eu-west-3"

Ausgabe:

{
    "exceptions": [
        {
            "exception": "The account does not have the required role permissions. Update your role permissions to use the new data source version.",
            "region": "us-east-1",
            "timestamp": "2024-02-29T12:24:15.641725+00:00"
        },
        {
            "exception": "The account does not have the required role permissions. Update your role permissions to use the new data source version.",
            "region": "eu-west-3",
            "timestamp": "2024-02-29T12:24:15.641725+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Problembehandlung bei Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-data-lakes.

AWS CLI

Um das Security Lake-Konfigurationsobjekt aufzulisten

Das folgende list-data-lakes Beispiel listet das Amazon Security Lake-Konfigurationsobjekt für die angegebene AWS Region auf. Sie können diesen Befehl verwenden, um festzustellen, ob Security Lake in einer oder mehreren bestimmten Regionen aktiviert ist.

aws securitylake list-data-lakes \
    --regions "us-east-1"

Ausgabe:

{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-1:123456789012:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-1",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:123456789012:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-1234567890abcdef0",
            "updateStatus": {
                "exception": {
                    "code": "software.amazon.awssdk.services.s3.model.S3Exception",
                    "reason": ""
                },
                "requestId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                "status": "FAILED"
            }
        }
    ]
}

Weitere Informationen finden Sie unter Überprüfen des Regionsstatus im Amazon Security Lake-Benutzerhandbuch.

  • APIEinzelheiten finden Sie ListDataLakesunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-log-sources.

AWS CLI

Um die Amazon Security Lake-Protokollquellen abzurufen

Das folgende list-log-sources Beispiel listet die Amazon Security Lake-Protokollquellen in einem angegebenen Konto auf.

aws securitylake list-log-sources \
    --accounts "123456789012"

Ausgabe:

{
    "account": "123456789012",
    "region": "xy-region-1",
    "sources": [
        {
               "awsLogSource": {
                "sourceName": "VPC_FLOW",
                "sourceVersion": "2.0"
            }
        },
        {
            "awsLogSource": {
                "sourceName": "SH_FINDINGS",
                "sourceVersion": "2.0"
            }
        }
    ]
}

Weitere Informationen finden Sie unter Quellenverwaltung im Amazon Security Lake-Benutzerhandbuch.

  • APIEinzelheiten finden Sie ListLogSourcesin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-subscribers.

AWS CLI

Um die Amazon Security Lake-Abonnenten abzurufen

Das folgende list-subscribers Beispiel listet alle Amazon Security Lake-Abonnenten in einem bestimmten Konto auf.

aws securitylake list-subscribers

Ausgabe:

{
    "subscribers": [
        {
            "accessTypes": [
                "S3"
            ],
            "createdAt": "2024-06-04T15:02:28.921000+00:00",
            "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-E1WG1ZNPRXT0D4",
            "s3BucketArn": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
            "sources": [
                {
                    "awsLogSource": {
                        "sourceName": "CLOUD_TRAIL_MGMT",
                        "sourceVersion": "2.0"
                    }
                },
                {
                    "awsLogSource": {
                        "sourceName": "LAMBDA_EXECUTION",
                        "sourceVersion": "1.0"
                    }
                },
                {
                    "customLogSource": {
                        "attributes": {
                            "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4",
                            "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/E1WG1ZNPRXT0D4",
                            "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/E1WG1ZNPRXT0D4"
                        },
                        "provider": {
                            "location": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
                            "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-E1WG1ZNPRXT0D4"
                        },
                        "sourceName": "testCustom2"
                    }
                }
            ],
            "subscriberArn": "arn:aws:securitylake:eu-west-2:123456789012:subscriber/E1WG1ZNPRXT0D4",
            "subscriberEndpoint": "arn:aws:sqs:eu-west-2:123456789012:AmazonSecurityLake-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111-Main-Queue",
            "subscriberId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "subscriberIdentity": {
                "externalId": "ext123456789012",
                "principal": "123456789012"
            },
            "subscriberName": "Test",
            "subscriberStatus": "ACTIVE",
            "updatedAt": "2024-06-04T15:02:35.617000+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Abonnentenverwaltung im Amazon Security Lake-Benutzerhandbuch.

  • APIEinzelheiten finden Sie ListSubscribersin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-tags-for-resource.

AWS CLI

Um Tags für eine vorhandene Ressource aufzulisten

Das folgende list-tags-for-resource Beispiel listet Tags für den angegebenen Amazon Security Lake-Abonnenten auf. In diesem Beispiel ist dem Tagschlüssel Owner kein Tag-Wert zugeordnet. Mit diesem Vorgang können Sie auch Tags für andere vorhandene Security Lake-Ressourcen auflisten.

aws securitylake list-tags-for-resource \
    --resource-arn "arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab"

Ausgabe:

{
    "tags": [
        {
            "key": "Environment",
            "value": "Cloud"
        },
        {
            "key": "CostCenter",
            "value": "12345"
        },
        {
            "key": "Owner",
            "value": ""
        }
    ]
}

Weitere Informationen finden Sie unter Tagging Amazon Security Lake-Ressourcen im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungregister-data-lake-delegated-administrator.

AWS CLI

Um die delegierten Administratoren zu bestimmen

Im folgenden register-data-lake-delegated-administrator Beispiel wird das angegebene AWS Konto als delegierter Amazon Security Lake-Administrator bezeichnet.

aws securitylake register-data-lake-delegated-administrator \
    --account-id 123456789012

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwaltung mehrerer Konten bei AWS Organizations im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungtag-resource.

AWS CLI

Um einer vorhandenen Ressource Tags hinzuzufügen

Im folgenden tag-resource Beispiel werden einer vorhandenen Abonnentenressource Tags hinzugefügt. Verwenden Sie diesen Vorgang nicht, um eine neue Ressource zu erstellen und ihr ein oder mehrere Tags hinzuzufügen. Verwenden Sie stattdessen den entsprechenden Erstellungsvorgang für den Ressourcentyp, den Sie erstellen möchten.

aws securitylake tag-resource \
    --resource-arn "arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab" \
    --tags key=Environment,value=Cloud

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging Amazon Security Lake-Ressourcen im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunguntag-resource.

AWS CLI

Um Tags aus einer vorhandenen Ressource zu entfernen

Im folgenden untag-resource Beispiel werden die angegebenen Tags aus einer vorhandenen Abonnentenressource entfernt.

aws securitylake untag-resource \
    --resource-arn "arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab" \
    --tags Environment Owner

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Tagging Amazon Security Lake-Ressourcen im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-data-lake-exception-subscription.

AWS CLI

Um das Benachrichtigungsabonnement für Security Lake-Ausnahmen zu aktualisieren

Im folgenden update-data-lake-exception-subscription Beispiel wird das Benachrichtigungsabonnement aktualisiert, das Benutzer über Security Lake-Ausnahmen informiert.

aws securitylake update-data-lake-exception-subscription \
    --notification-endpoint "123456789012" \
    --exception-time-to-live 30 \
    --subscription-protocol "email"

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Problembehandlung bei Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-data-lake.

AWS CLI

Beispiel 1: Um Ihre Data Lake-Einstellungen zu aktualisieren

Das folgende update-data-lake Beispiel aktualisiert die Einstellungen Ihres Amazon Security Lake Data Lakes. Mit diesem Vorgang können Sie die Regionseinstellungen für Datenverschlüsselung, Speicherung und Rollup angeben.

aws securitylake update-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ausgabe:

{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-1:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-1",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-gnevt6s8z7bzby8oi3uiaysbr8v2ml",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        },
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        }
    ]
}

Weitere Informationen finden Sie unter Erste Schritte mit Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

Beispiel 2: So konfigurieren Sie Ihren Data Lake in einer einzelnen Region

Das folgende create-data-lake Beispiel aktiviert Amazon Security Lake in einer einzelnen AWS Region und konfiguriert Ihren Data Lake.

aws securitylake create-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ausgabe:

{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 500
                },
                "transitions": [
                    {
                        "days": 30,
                        "storageClass": "GLACIER"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "77702a53-dcbf-493e-b8ef-518e362f3003",
                "status": "INITIALIZED"
            }
        }
    ]
}

Weitere Informationen finden Sie unter Erste Schritte mit Amazon Security Lake im Amazon Security Lake-Benutzerhandbuch.

  • APIEinzelheiten finden Sie UpdateDataLakeunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupdate-subscriber-notification.

AWS CLI

Um eine Abonnentenbenachrichtigung zu aktualisieren

Das folgende update-subscriber-notification Beispiel zeigt, wie Sie die Benachrichtigungsmethode für einen Abonnenten aktualisieren können.

aws securitylake update-subscriber-notification \
    --subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
    --configuration '{"httpsNotificationConfiguration": {"targetRoleArn":"arn:aws:iam::XXX:role/service-role/RoleName", "endpoint":"https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}}'

Ausgabe:

{
    "subscriberEndpoint": [
        "https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"
    ]
}

Weitere Informationen finden Sie unter Abonnentenverwaltung im Amazon Security Lake-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-subscriber.

AWS CLI

Um einen Amazon Security Lake-Abonnenten zu aktualisieren.

Im folgenden update-subscriber Beispiel werden die Security Lake-Datenzugriffsquellen für einen bestimmten Security Lake-Abonnenten aktualisiert.

aws securitylake update-subscriber \
    --subscriber-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Ausgabe:

{
    "subscriber": {
        "accessTypes": [
            "LAKEFORMATION"
        ],
        "createdAt": "2024-04-19T15:19:44.421803+00:00",
        "resourceShareArn": "arn:aws:ram:eu-west-2:123456789012:resource-share/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "resourceShareName": "LakeFormation-V3-TKJGBHCKTZ-123456789012",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "LAMBDA_EXECUTION",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "EKS_AUDIT",
                    "sourceVersion": "2.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "ROUTE53",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "SH_FINDINGS",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "1.0"
                }
            },
            {
                "customLogSource": {
                    "attributes": {
                        "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4",
                        "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/E1WG1ZNPRXT0D4",
                        "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/E1WG1ZNPRXT0D4"
                    },
                    "provider": {
                        "location": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
                        "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-E1WG1ZNPRXT0D4"
                    },
                    "sourceName": "testCustom2"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:eu-west-2:123456789012:subscriber/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "123456789012"
        },
        "subscriberName": "test",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-07-18T20:47:37.098000+00:00"
    }
}

Weitere Informationen finden Sie unter Abonnentenverwaltung im Amazon Security Lake-Benutzerhandbuch.