Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan pipa OpenSearch Ingestion dengan Amazon Security Lake
Anda dapat menggunakan plugin sumber S3
Untuk mengonfigurasi pipeline agar dibaca dari Security Lake, gunakan cetak biru Security Lake yang telah dikonfigurasi sebelumnya. Cetak biru mencakup konfigurasi default untuk menelan file parket Open Cybersecurity Schema Framework (OCSF) dari Security Lake. Untuk informasi selengkapnya, lihat Menggunakan cetak biru untuk membuat pipeline.
Prasyarat
Sebelum Anda membuat pipeline OpenSearch Ingestion, lakukan langkah-langkah berikut:
-
Buat pelanggan di Security Lake.
-
Pilih sumber yang ingin Anda konsumsi ke dalam pipa Anda.
-
Untuk kredensi Pelanggan, tambahkan ID Akun AWS tempat Anda ingin membuat pipeline. Untuk ID eksternal, tentukan
OpenSearchIngestion-
.{accountid}
-
Untuk metode akses Data, pilih S3.
-
Untuk detail Pemberitahuan, pilih SQSantrian.
-
Saat Anda membuat pelanggan, Security Lake secara otomatis membuat dua kebijakan izin sebaris—satu untuk S3 dan satu untuk. SQS Kebijakan mengambil format berikut: AmazonSecurityLake-
dan{12345}
-S3AmazonSecurityLake-
. Untuk memungkinkan pipeline mengakses sumber pelanggan, Anda harus mengaitkan izin yang diperlukan dengan peran pipeline Anda.{12345}
-SQS
Langkah 1: Konfigurasikan peran pipeline
Buat kebijakan izin baru yang hanya menggabungkan izin IAM yang diperlukan dari dua kebijakan yang dibuat secara otomatis Security Lake. Contoh kebijakan berikut menunjukkan hak istimewa paling sedikit yang diperlukan untuk pipeline OpenSearch Ingestion untuk membaca data dari beberapa sumber Security Lake:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":[ "arn:aws:s3:::aws-security-data-lake-
{region}
-abcde
/aws/LAMBDA_EXECUTION/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/S3_DATA/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/VPC_FLOW/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/ROUTE53/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/SH_FINDINGS/1.0/*" ] }, { "Effect":"Allow", "Action":[ "sqs:ReceiveMessage", "sqs:DeleteMessage" ], "Resource":[ "arn:aws:sqs:{region}
:{account-id}
:AmazonSecurityLake-abcde
-Main-Queue" ] } ] }
penting
Security Lake tidak mengelola kebijakan peran pipeline untuk Anda. Jika Anda menambah atau menghapus sumber dari langganan Security Lake, Anda harus memperbarui kebijakan secara manual. Security Lake membuat partisi untuk setiap sumber log, jadi Anda perlu menambahkan atau menghapus izin secara manual dalam peran pipeline.
Anda harus melampirkan izin ini ke IAM peran yang Anda tentukan dalam sts_role_arn
opsi dalam konfigurasi plugin sumber S3, di bawah. sqs
version: "2" source: s3: ... sqs: queue_url: "https://sqs.
{region}
.amazonaws.com/{account-id}
/AmazonSecurityLake-abcde
-Main-Queue" aws: ... sts_role_arn: arn:aws:iam::{account-id}
:role/pipeline-role
processor: ... sink: - opensearch: ...
Langkah 2: Buat pipa
Setelah menambahkan izin ke peran pipeline, gunakan cetak biru Security Lake yang telah dikonfigurasi sebelumnya untuk membuat pipeline. Untuk informasi selengkapnya, lihat Menggunakan cetak biru untuk membuat pipeline.
Anda harus menentukan queue_url
opsi dalam konfigurasi s3
sumber, yang merupakan SQS antrian Amazon URL untuk dibaca. Untuk memformatURL, cari titik akhir Langganan dalam konfigurasi pelanggan dan ubah arn:aws:
ke. https://
Misalnya, https://sqs.
.{region}
.amazonaws.com/{account-id}
/AmazonSecurityLake-abdcef
-Main-Queue
sts_role_arn
Yang Anda tentukan dalam konfigurasi sumber S3 harus menjadi peran pipeline. ARN