Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Recopilación de datos desde Servicios de AWS Security Lake
Amazon Security Lake puede recopilar registros y eventos de los siguientes Servicios de AWS compatibles de forma nativa:
-
AWS CloudTrail eventos de administración y datos (S3, Lambda)
-
Registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS)
-
Registros de consultas de Amazon Route 53 Resolver
-
AWS Security Hub conclusiones
-
Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC)
-
AWS WAF registros v2
Security Lake transforma automáticamente estos datos a Marco de esquema de ciberseguridad abierto (OCSF) en Security Lake y al formato Apache Parquet.
Para agregar uno o más de los servicios anteriores como fuente de registro en Security Lake, no necesita configurar el registro de estos servicios por separado, excepto en los eventos CloudTrail de administración. Si tiene el registro configurado en estos servicios, no necesita cambiar la configuración de registro para añadirlos como fuentes de registro en Security Lake. Security Lake extrae los datos directamente de estos servicios a través de un flujo de eventos independiente y duplicado.
Prerrequisito: verificar permisos
Para añadir un Servicio de AWS como fuente en Security Lake, debe tener los permisos necesarios. Compruebe que la política AWS Identity and Access Management (IAM) asociada a la función que utilice para añadir una fuente tenga permiso para realizar las siguientes acciones:
Se recomienda que el rol tenga las siguientes condiciones y alcance de recursos para los s3:PutObject permisos S3:getObject y.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatingSecurityLakeS3Buckets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::aws-security-data-lake*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
Estas acciones le permiten recopilar registros y eventos de la an Servicio de AWS y enviarlos a la AWS Glue base de datos y tabla correctas.
Si utiliza una AWS KMS clave para cifrar su lago de datos desde el servidor, también necesitará permiso para hacerlo. kms:DescribeKey
Añadir una Servicio de AWS como fuente
Después de agregar una Servicio de AWS como fuente, Security Lake comienza a recopilar automáticamente los registros de seguridad y los eventos de esa fuente. Estas instrucciones le indican cómo agregar una fuente compatible de forma nativa Servicio de AWS en Security Lake. Para obtener instrucciones sobre cómo añadir un origen personalizado, consulte Recopilación de datos de fuentes personalizadas en Security Lake.
- Console
-
Para agregar una fuente de AWS registro (consola)
Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.
-
En el panel de navegación, elija Orígenes.
-
Seleccione la Servicio de AWS fuente de la que desee recopilar datos y elija Configurar.
-
En la sección Configuración de la fuente, habilite la fuente y seleccione la versión de la fuente de datos que desee usar para la ingesta de datos. De forma predeterminada, Security Lake ingiere la última versión de la fuente de datos.
Si no tiene los permisos de rol necesarios para habilitar la nueva versión de la fuente de AWS registro en la región especificada, póngase en contacto con el administrador de Security Lake. Para obtener más información, consulte Actualizar los permisos de los roles.
Para que sus suscriptores ingieran la versión seleccionada de la fuente de datos, también debe actualizar la configuración de los suscriptores. Para obtener más información sobre cómo editar un suscriptor, consulte Administración de suscriptores en Amazon Security Lake.
Si lo desea, puede optar por ingerir solo la versión más reciente y deshabilitar todas las versiones de origen anteriores utilizadas para la ingesta de datos.
-
En la sección Regiones, seleccione las regiones en las que desee recopilar datos para la fuente. Security Lake recopilará datos del origen de todas las cuentas de las regiones seleccionadas.
-
Elija Habilitar.
- API
-
Para añadir una fuente de AWS registro (API)
Para añadir una fuente Servicio de AWS como fuente mediante programación, utilice la CreateAwsLogSourceoperación de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el create-aws-log-sourcecomando. Los parámetros sourceName y regions son obligatorios. Si lo desea, puede limitar el alcance de la fuente a algo específico accounts o a uno específicosourceVersion.
Si no proporciona un parámetro en el comando, Security Lake asume que el parámetro que falta se refiere a todo el conjunto. Por ejemplo, si no proporciona el accounts parámetro, el comando se aplica a todo el conjunto de cuentas de la organización.
En el siguiente ejemplo, se agregan registros de flujo de VPC como fuente en las cuentas y regiones designadas. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
Si aplicas esta solicitud a una región en la que no has activado Security Lake, recibirás un error. Puede resolver el error habilitando Security Lake en esa región o utilizando el regions parámetro para especificar solo las regiones en las que ha activado Security Lake.
$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"
Obtener el estado de la recopilación de fuentes
Elija su método de acceso y siga los pasos para obtener una instantánea de las cuentas y fuentes para las que está habilitada la recopilación de registros en la región actual.
- Console
-
Para obtener el estado de la recopilación de registros en la región actual
Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.
-
En el panel de navegación, elija Cuentas.
-
Pase el cursor sobre el número de la columna Fuentes para ver qué registros están habilitados para la cuenta seleccionada.
- API
-
Para obtener el estado de la recopilación de registros en la región actual, utilice el GetDataLakeSourcesfuncionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el get-data-lake-sourcescomando. Para el accounts parámetro, puede especificar uno o más Cuenta de AWS IDs como una lista. Si su solicitud es correcta, Security Lake devolverá una instantánea de las cuentas de la región actual, incluidas AWS las fuentes de las que Security Lake recopila datos y el estado de cada fuente. Si no incluye el accounts parámetro, la respuesta incluye el estado de la recopilación de registros de todas las cuentas en las que Security Lake está configurado en la región actual.
Por ejemplo, el siguiente AWS CLI comando recupera el estado de la recopilación de registros de las cuentas especificadas en la región actual. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
Eliminar un como fuente Servicio de AWS
Elija su método de acceso y siga estos pasos para eliminar una fuente de Security Lake compatible de forma nativa Servicio de AWS . Puede eliminar un origen de una o más regiones. Al eliminar el origen, Security Lake deja de recopilar datos de ese origen en las regiones y cuentas especificadas, y los suscriptores ya no pueden consumir nuevos datos del origen. Sin embargo, los suscriptores pueden seguir consumiendo los datos que Security Lake recopiló del origen antes de la eliminación. Solo puede usar estas instrucciones para eliminar un Servicio de AWS compatible de forma nativa como origen. Para obtener información acerca de cómo eliminar un origen personalizado, consulte Recopilación de datos de fuentes personalizadas en Security Lake.
- Console
-
Abra la consola de Security Lake en. https://console.aws.amazon.com/securitylake/
-
En el panel de navegación, elija Orígenes.
-
Seleccione un origen y elija Desactivar.
-
Seleccione una o varias regiones en las que desee dejar de recopilar datos de este origen. Security Lake dejará de recopilar datos del origen de todas las cuentas de las regiones seleccionadas.
- API
-
Para eliminar un Servicio de AWS como fuente mediante programación, utilice el DeleteAwsLogSourcefuncionamiento de la API de Security Lake. Si está utilizando AWS Command Line Interface (AWS CLI), ejecute el delete-aws-log-sourcecomando. Los parámetros sourceName y regions son obligatorios. Si lo desea, puede limitar el alcance de la eliminación a algo específico accounts o a uno específicosourceVersion.
Si no proporciona un parámetro en el comando, Security Lake asume que el parámetro que falta se refiere a todo el conjunto. Por ejemplo, si no proporciona el accounts parámetro, el comando se aplica a todo el conjunto de cuentas de la organización.
En el siguiente ejemplo, se eliminan los registros de flujo de VPC como fuente en las cuentas y regiones designadas.
$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
En el siguiente ejemplo, se elimina Route 53 como fuente en la cuenta y las regiones designadas.
$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
Los ejemplos anteriores están formateados para Linux, macOS o Unix y utilizan el carácter de continuación de línea con barra invertida (\) para mejorar la legibilidad.
