Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recopilación de datos de Servicios de AWS
Amazon Security Lake puede recopilar registros y eventos de los siguientes Servicios de AWS compatibles de forma nativa:
-
AWS CloudTrail eventos de administración y datos (S3, Lambda)
-
Registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS)
-
Registros de consultas de Amazon Route 53 Resolver
-
AWS Security Hub conclusiones
-
Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC)
-
AWS WAF registros v2
Security Lake transforma automáticamente estos datos a Open Cybersecurity Schema Framework (OCSF) y al formato Apache Parquet.
sugerencia
Para agregar uno o más de los servicios anteriores como fuente de registro en Security Lake, no necesita configurar el registro de estos servicios por separado, excepto en los eventos CloudTrail de administración. Si tiene el registro configurado en estos servicios, no necesita cambiar la configuración de registro para añadirlos como fuentes de registro en Security Lake. Security Lake extrae los datos directamente de estos servicios a través de un flujo de eventos independiente y duplicado.
Prerrequisito: verificar permisos
Para añadir un Servicio de AWS como fuente en Security Lake, debe tener los permisos necesarios. Compruebe que la política AWS Identity and Access Management (IAM) asociada a la función que utilice para añadir una fuente tenga permiso para realizar las siguientes acciones:
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:GetDatabase
-
glue:GetTable
-
glue:UpdateTable
iam:CreateServiceLinkedRole
s3:GetObject
s3:PutObject
Se recomienda que el rol tenga las siguientes condiciones y alcance de recursos para los s3:PutObject
permisos S3:getObject
y.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Estas acciones le permiten recopilar registros y eventos de la an Servicio de AWS y enviarlos a la AWS Glue base de datos y tabla correctas.
Si utiliza una AWS KMS clave para cifrar su lago de datos desde el servidor, también necesitará permiso para hacerlo. kms:DescribeKey
CloudTrail registros de eventos
AWS CloudTrail te proporciona un historial de las llamadas a la AWS API de tu cuenta, incluidas las llamadas a la AWS Management Console API realizadas con los AWS SDK, las herramientas de línea de comandos y determinados AWS servicios. CloudTrail también te permite identificar qué usuarios y cuentas llamaron a AWS las API de los servicios compatibles CloudTrail, la dirección IP de origen desde la que se realizaron las llamadas y cuándo se produjeron. Para obtener más información, consulte la Guía del usuario de AWS CloudTrail.
Security Lake puede recopilar registros asociados a eventos CloudTrail de administración y eventos de CloudTrail datos para S3 y Lambda. CloudTrail los eventos de administración, los eventos de datos de S3 y los eventos de datos de Lambda son tres fuentes independientes en Security Lake. Como resultado, tienen valores diferentes para sourceName
cuando se agrega uno de ellos como origen de registro ingerido. Los eventos de administración, también conocidos como eventos del plano de control, proporcionan información sobre las operaciones de administración que se llevan a cabo con los recursos de su Cuenta de AWS empresa. CloudTrail los eventos de datos, también conocidos como operaciones del plano de datos, muestran las operaciones de recursos realizadas en sus recursos o dentro de ellos Cuenta de AWS. Estas operaciones suelen ser actividades de gran volumen.
Para recopilar los eventos CloudTrail de administración en Security Lake, debe tener al menos un registro organizativo CloudTrail multirregional que recopile los eventos de CloudTrail administración de lectura y escritura. El registro debe estar habilitado para el registro de seguimiento. Si tiene el registro configurado en los otros servicios, no necesita cambiar la configuración de registro para añadirlos como fuentes de registro en Security Lake. Security Lake extrae los datos directamente de estos servicios a través de un flujo de eventos independiente y duplicado.
Un seguimiento de múltiples regiones distribuye los archivos de registro desde múltiples regiones a un único bucket de Amazon Simple Storage Service (Amazon S3) para una única Cuenta de AWS. Si ya tiene un registro multirregional gestionado a través de la CloudTrail consola o AWS Control Tower, no es necesario realizar ninguna otra acción.
Para obtener información sobre la creación y la gestión de un recorrido CloudTrail, consulte Creación de un sendero para una organización en la Guía del AWS CloudTrail usuario.
-
Para obtener información sobre la creación y la gestión de un recorrido AWS Control Tower, consulte Registrar AWS Control Tower acciones con él AWS CloudTrail en la Guía del AWS Control Tower usuario.
Cuando agrega CloudTrail eventos como fuente, Security Lake comienza inmediatamente a recopilar sus registros de CloudTrail eventos. Consume los eventos CloudTrail de administración y datos directamente CloudTrail a través de un flujo de eventos independiente y duplicado.
Security Lake no administra sus CloudTrail eventos ni afecta a sus CloudTrail configuraciones existentes. Para administrar el acceso y la retención de sus CloudTrail eventos directamente, debe usar la consola de CloudTrail servicio o la API. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos en la Guía del AWS CloudTrail usuario.
La siguiente lista proporciona enlaces de GitHub repositorios a la referencia cartográfica sobre cómo Security Lake normaliza CloudTrail los eventos según el OCSF.
GitHub Repositorio de eventos de OCSF CloudTrail
-
Versión de origen 1 (v1.0.0-rc.2
)
Registros de auditoría de Amazon EKS
Cuando agrega Amazon EKS Audit Logs como fuente, Security Lake comienza a recopilar información detallada sobre las actividades realizadas en los recursos de Kubernetes que se ejecutan en sus clústeres de Elastic Kubernetes Service (EKS). Los registros de auditoría de EKS le ayudan a detectar actividades potencialmente sospechosas en sus clústeres de EKS dentro de Amazon Elastic Kubernetes Service.
Security Lake consume los eventos del registro de auditoría de EKS directamente desde la función de registro del plano de control de Amazon EKS a través de un flujo independiente y duplicado de registros de auditoría. Este proceso está diseñado para no requerir una configuración adicional ni afectar a las configuraciones de registro del plano de control de Amazon EKS existentes que pueda tener. Para obtener más información, consulte Registros del plano de control del clúster de Amazon EKS en la Guía del usuario de Amazon EKS.
Los registros de auditoría de Amazon EKS solo se admiten en OCSF v1.1.0. Para obtener información sobre cómo Security Lake normaliza los eventos de registros de auditoría de EKS a OCSF, consulte la referencia de mapeo en el repositorio de GitHub OCSF para los eventos de registros de auditoría de Amazon EKS (
Registros de consultas de Route 53 Resolver
Los registros de consultas de Route 53 Resolver rastrean las consultas de DNS realizadas por los recursos dentro de Amazon Virtual Private Cloud (Amazon VPC). Esto le ayuda a entender cómo funcionan sus aplicaciones y a detectar las amenazas de seguridad.
Cuando agrega los registros de consultas de resolución de Route 53 como origen en Security Lake, Security Lake comienza inmediatamente a recopilar los registros de consultas de resolución directamente desde Route 53 a través de un flujo de eventos independiente y duplicado.
Security Lake no administra los registros de Route 53 ni afecta a las configuraciones de registro de consultas de los solucionadores existentes. Para administrar los registros de consultas de resolución, debe utilizar la consola de servicio de Route 53. Para obtener más información, consulte Administración del registro de consultas de Resolver en la Guía para desarrolladores de Amazon Route 53.
La siguiente lista proporciona enlaces de GitHub repositorios a la referencia de mapeo sobre cómo Security Lake normaliza los registros de Route 53 a OCSF.
GitHub Repositorio de OCSF para los registros de Route 53
-
Versión de origen 1 (v1.0.0-rc.2
)
Resultados de Security Hub
Las conclusiones de Security Hub le ayudan a entender su postura de seguridad AWS y le permiten comparar su entorno con los estándares y las mejores prácticas del sector de la seguridad. Security Hub recopila las conclusiones de diversas fuentes, incluidas las integraciones con otras integraciones de productos de terceros Servicios de AWS, y las compara con los controles de Security Hub. Security Hub procesa las conclusiones en un formato estándar denominado AWS Security Finding Format (ASFF).
Cuando agrega los resultados de Security Hub como origen en Security Lake, Security Lake comienza inmediatamente a recopilar sus resultados directamente desde Security Hub a través de un flujo de eventos independiente y duplicado. Security Lake también transforma los resultados de ASFF a Open Cybersecurity Schema Framework (OCSF) (OCSF).
Security Lake no gestiona los resultados de Security Hub ni afecta a la configuración de Security Hub. Para gestionar las conclusiones de Security Hub, debe utilizar la consola del servicio Security Hub, la API o AWS CLI. Para obtener más información, consulte Resultados en AWS Security Hub en la Guía del usuario de AWS Security Hub .
La siguiente lista proporciona enlaces de GitHub repositorios a la referencia de mapeo sobre cómo Security Lake normaliza los hallazgos de Security Hub a OCSF.
GitHub Repositorio OCSF para los hallazgos de Security Hub
-
Versión de origen 1 (v1.0.0-rc.2
)
Logs de flujo de VPC
La característica de los registros de flujo de Amazon VPC captura información sobre el tráfico IP entrante y saliente de las interfaces de red de su entorno de VPC.
Cuando agrega registros de flujo de VPC como origen en Security Lake, Security Lake comienza inmediatamente a recopilar sus registros de flujo de VPC. Consume los registros de flujo de VPC directamente desde Amazon VPC a través de un flujo de registros de flujo independiente y duplicado.
Security Lake no administra los registros de flujo de VPC ni afecta a las configuraciones de Amazon VPC. Para administrar sus registros de flujo, debe utilizar la consola de servicio de Amazon VPC. Para obtener más información, consulte Uso de registros de flujo en la Guía para desarrolladores de Amazon VPC.
La siguiente lista proporciona enlaces de GitHub repositorios a la referencia de mapeo sobre cómo Security Lake normaliza los registros de flujo de VPC a OCSF.
GitHub Repositorio OCSF para registros de flujo de VPC
-
Versión de origen 1 (v1.0.0-rc.2)
AWS WAF registros
Cuando se agrega AWS WAF como fuente de registros en Security Lake, Security Lake comienza a recopilar los registros inmediatamente. AWS WAF es un firewall de aplicaciones web que puede utilizar para supervisar las solicitudes web que los usuarios finales envían a sus aplicaciones y para controlar el acceso a su contenido. La información registrada incluye la hora en que se AWS WAF recibió una solicitud web de su AWS recurso, información detallada sobre la solicitud y detalles sobre las reglas con las que coincidió la solicitud.
Security Lake consume AWS WAF los registros directamente AWS WAF a través de un flujo de registros independiente y duplicado. Este proceso está diseñado para no requerir una configuración adicional ni afectar a AWS WAF las configuraciones existentes que pueda tener. Para obtener más información sobre cómo AWS WAF proteger los recursos de la aplicación, consulte Cómo AWS WAF funciona en la Guía para AWS WAF desarrolladores.
importante
Si utilizas la CloudFront distribución de Amazon como tipo de recurso AWS WAF, debes seleccionar US East (Virginia del Norte) para ingerir los registros globales de Security Lake.
AWS WAF Los registros solo se admiten en OCSF v1.1.0. Para obtener información sobre cómo Security Lake normaliza los eventos de AWS WAF registro a OCSF, consulte la referencia de mapeo en el repositorio de registros de GitHub OCSF
Añadir un como fuente Servicio de AWS
Después de agregar una Servicio de AWS como fuente, Security Lake comienza a recopilar automáticamente los registros de seguridad y los eventos de esa fuente. Estas instrucciones le indican cómo agregar una fuente compatible de forma nativa Servicio de AWS en Security Lake. Para obtener instrucciones sobre cómo añadir un origen personalizado, consulte Recopilación de datos de orígenes personalizados.
Actualización de los permisos de los roles
Si no tiene los permisos o recursos de rol necesarios (nueva AWS Lambda función y cola de Amazon Simple Queue Service (Amazon SQS)) para ingerir datos de una nueva versión de la fuente de datos, debe actualizar los permisos de AmazonSecurityLakeMetaStoreManagerV2
su rol y crear un nuevo conjunto de recursos para procesar los datos de sus fuentes.
Elija el método que prefiera y siga las instrucciones para actualizar los permisos de su rol y crear nuevos recursos para procesar los datos de una nueva versión de una fuente de AWS registro en una región específica. Se trata de una acción que se realiza una sola vez, ya que los permisos y los recursos se aplican automáticamente a futuras versiones de fuentes de datos.
Eliminar el AmazonSecurityLakeMetaStoreManager rol
importante
Tras actualizar los permisos del rol aAmazonSecurityLakeMetaStoreManagerV2
, confirme que el lago de datos funciona correctamente antes de eliminar el AmazonSecurityLakeMetaStoreManager
rol anterior. Se recomienda esperar al menos 4 horas antes de eliminar el rol.
Si decide eliminar el rol, primero debe eliminarlo de AmazonSecurityLakeMetaStoreManager
AWS Lake Formation.
Siga estos pasos para eliminar el AmazonSecurityLakeMetaStoreManager
rol de la consola de Lake Formation.
-
Inicie sesión en la AWS Management Console consola de Lake Formation y ábrala en https://console.aws.amazon.com/lakeformation/
. -
En la consola de Lake Formation, en el panel de navegación, elija Funciones y tareas administrativas.
-
Eliminar
AmazonSecurityLakeMetaStoreManager
de cada región.
Eliminar un Servicio de AWS como fuente
Elija su método de acceso y siga estos pasos para eliminar una fuente de Security Lake compatible de forma nativa Servicio de AWS . Puede eliminar un origen de una o más regiones. Al eliminar el origen, Security Lake deja de recopilar datos de ese origen en las regiones y cuentas especificadas, y los suscriptores ya no pueden consumir nuevos datos del origen. Sin embargo, los suscriptores pueden seguir consumiendo los datos que Security Lake recopiló del origen antes de la eliminación. Solo puedes usar estas instrucciones para eliminar como fuente una fuente compatible de forma nativa. Servicio de AWS Para obtener información acerca de cómo eliminar un origen personalizado, consulte Recopilación de datos de orígenes personalizados.
Obtener el estado de la colección de fuentes
Elija su método de acceso y siga los pasos para obtener una instantánea de las cuentas y fuentes para las que está habilitada la recopilación de registros en la región actual.