Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Daten aus AWS-Services Security Lake sammeln
Amazon Security Lake kann Protokolle und Ereignisse von den folgenden nativ AWS-Services unterstützten Geräten sammeln:
-
AWS CloudTrail Verwaltung und Datenereignisse (S3, Lambda)
-
Auditprotokolle von Amazon Elastic Kubernetes Service (AmazonEKS)
-
Amazon-Route-53-Resolver-Abfrageprotokolle
-
AWS Security Hub Ergebnisse
-
Ablaufprotokolle von Amazon Virtual Private Cloud (AmazonVPC)
-
AWS WAF v2-Protokolle
Security Lake wandelt diese Daten automatisch in das Apache Öffnen Sie das Cybersecurity Schema Framework (OCSF) in Security Lake Parquet-Format um.
Um einen oder mehrere der oben genannten Dienste als Protokollquelle in Security Lake hinzuzufügen, müssen Sie die Protokollierung für diese Dienste nicht separat konfigurieren, mit Ausnahme von CloudTrail Verwaltungsereignissen. Wenn Sie die Protokollierung in diesen Diensten konfiguriert haben, müssen Sie Ihre Protokollierungskonfiguration nicht ändern, um sie als Protokollquellen in Security Lake hinzuzufügen. Security Lake ruft Daten über einen unabhängigen und duplizierten Ereignisstrom direkt von diesen Diensten ab.
Voraussetzung: Überprüfen Sie die Berechtigungen
Um eine AWS-Service als Quelle in Security Lake hinzuzufügen, benötigen Sie die erforderlichen Berechtigungen. Stellen Sie sicher, dass die Richtlinie AWS Identity and Access Management (IAM), die der Rolle zugeordnet ist, die Sie zum Hinzufügen einer Quelle verwenden, berechtigt ist, die folgenden Aktionen auszuführen:
Es wird empfohlen, dass die Rolle über die folgenden Bedingungen und den folgenden Ressourcenbereich für die s3:PutObject Berechtigungen S3:getObject und verfügt.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatingSecurityLakeS3Buckets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::aws-security-data-lake*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
Diese Aktionen ermöglichen es Ihnen, Protokolle und Ereignisse aus dem AN zu sammeln AWS-Service und sie an die richtige AWS Glue Datenbank und Tabelle zu senden.
Wenn Sie einen AWS KMS Schlüssel für die serverseitige Verschlüsselung Ihres Data Lakes verwenden, benötigen Sie auch eine Genehmigung dafürkms:DescribeKey.
Eine AWS-Service als Quelle hinzufügen
Nachdem Sie eine AWS-Service als Quelle hinzugefügt haben, beginnt Security Lake automatisch mit der Erfassung von Sicherheitsprotokollen und Ereignissen aus dieser Quelle. In diesen Anweisungen erfahren Sie, wie Sie eine nativ unterstützte Quelle in AWS-Service Security Lake hinzufügen. Anweisungen zum Hinzufügen einer benutzerdefinierten Quelle finden Sie unter. Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake
- Console
-
So fügen Sie eine AWS Protokollquelle hinzu (Konsole)
Öffnen Sie die Security Lake-Konsole unter https://console.aws.amazon.com/securitylake/.
-
Wählen Sie im Navigationsbereich Quellen aus.
-
Wählen Sie AWS-Service die Datei aus, von der Sie Daten sammeln möchten, und klicken Sie auf Konfigurieren.
-
Aktivieren Sie im Abschnitt Quelleinstellungen die Quelle und wählen Sie die Version der Datenquelle aus, die Sie für die Datenaufnahme verwenden möchten. Standardmäßig wird die neueste Version der Datenquelle von Security Lake aufgenommen.
Wenn Sie nicht über die erforderlichen Rollenberechtigungen verfügen, um die neue Version der AWS Protokollquelle in der angegebenen Region zu aktivieren, wenden Sie sich an Ihren Security Lake-Administrator. Weitere Informationen finden Sie unter Rollenberechtigungen aktualisieren.
Damit Ihre Abonnenten die ausgewählte Version der Datenquelle aufnehmen können, müssen Sie auch Ihre Abonnenteneinstellungen aktualisieren. Einzelheiten zur Bearbeitung eines Abonnenten finden Sie unter Abonnentenverwaltung in Amazon Security Lake.
Optional können Sie festlegen, dass nur die neueste Version aufgenommen und alle vorherigen Quellversionen, die für die Datenaufnahme verwendet wurden, deaktiviert werden.
Wählen Sie im Abschnitt Regionen die Regionen aus, in denen Sie Daten für die Quelle sammeln möchten. Security Lake sammelt Daten aus der Quelle von allen Konten in den ausgewählten Regionen.
Wählen Sie Enable (Aktivieren) aus.
- API
-
Um eine AWS Protokollquelle hinzuzufügen (API)
Um eine programmgesteuert AWS-Service als Quelle hinzuzufügen, verwenden Sie den CreateAwsLogSourceBetrieb des Security Lake. API Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl aus. create-aws-log-source Die Parameter sourceName und regions müssen angegeben werden. Optional können Sie den Umfang der Quelle auf einen bestimmten accounts oder einen bestimmten Bereich beschränkensourceVersion.
Wenn Sie in Ihrem Befehl keinen Parameter angeben, geht Security Lake davon aus, dass sich der fehlende Parameter auf den gesamten Satz bezieht. Wenn Sie den accounts Parameter beispielsweise nicht angeben, gilt der Befehl für die gesamte Gruppe von Konten in Ihrer Organisation.
Im folgenden Beispiel werden VPC Flow Logs als Quelle in den angegebenen Konten und Regionen hinzugefügt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.
Wenn Sie diese Anfrage auf eine Region anwenden, in der Sie Security Lake nicht aktiviert haben, erhalten Sie eine Fehlermeldung. Sie können den Fehler beheben, indem Sie Security Lake in dieser Region aktivieren oder indem Sie den regions Parameter verwenden, um nur die Regionen anzugeben, in denen Sie Security Lake aktiviert haben.
$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"
Den Status der Quellensammlung abrufen
Wählen Sie Ihre Zugriffsmethode und folgen Sie den Schritten, um einen Überblick über die Konten und Quellen zu erhalten, für die die Protokollerfassung in der aktuellen Region aktiviert ist.
- Console
-
Um den Status der Protokollerfassung in der aktuellen Region abzurufen
Öffnen Sie die Security Lake-Konsole unter https://console.aws.amazon.com/securitylake/.
-
Wählen Sie im Navigationsbereich Accounts aus.
-
Zeigen Sie mit der Maus auf die Zahl in der Spalte Quellen, um zu sehen, welche Protokolle für das ausgewählte Konto aktiviert sind.
- API
-
Um den Status der Protokollerfassung in der aktuellen Region abzurufen, verwenden Sie den GetDataLakeSourcesBetrieb des Security LakeAPI. Wenn Sie den verwenden AWS CLI, führen Sie den get-data-lake-sourcesBefehl aus. Für den accounts Parameter können Sie einen oder mehrere Parameter AWS-Konto IDs als Liste angeben. Wenn Ihre Anfrage erfolgreich ist, gibt Security Lake einen Snapshot für die Konten in der aktuellen Region zurück, einschließlich der AWS Quellen, aus denen Security Lake Daten sammelt, und des Status der einzelnen Quellen. Wenn Sie den accounts Parameter nicht angeben, enthält die Antwort den Status der Protokollerfassung für alle Konten, für die Security Lake in der aktuellen Region konfiguriert ist.
Mit dem folgenden AWS CLI Befehl wird beispielsweise der Status der Protokollerfassung für die angegebenen Konten in der aktuellen Region abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
