Menggunakan pipa OpenSearch Ingestion dengan Amazon Security Lake - OpenSearch Layanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan pipa OpenSearch Ingestion dengan Amazon Security Lake

Anda dapat menggunakan plugin sumber S3 untuk menyerap data dari Amazon Security Lake ke dalam pipeline OpenSearch Ingestion Anda. Security Lake secara otomatis memusatkan data keamanan dari AWS lingkungan, lingkungan lokal, dan penyedia SaaS ke dalam data lake yang dibuat khusus. Anda dapat membuat langganan yang mereplikasi data dari Security Lake ke pipeline OpenSearch Ingestion Anda, yang kemudian menuliskannya ke domain OpenSearch Layanan atau OpenSearch koleksi Tanpa Server Anda.

Untuk mengonfigurasi pipeline agar dibaca dari Security Lake, gunakan cetak biru Security Lake yang telah dikonfigurasi sebelumnya. Cetak biru mencakup konfigurasi default untuk menelan file parket Open Cybersecurity Schema Framework (OCSF) dari Security Lake. Untuk informasi selengkapnya, lihat Menggunakan cetak biru untuk membuat pipeline.

Prasyarat

Sebelum Anda membuat pipeline OpenSearch Ingestion, lakukan langkah-langkah berikut:

  • Aktifkan Danau Keamanan.

  • Buat pelanggan di Security Lake.

    • Pilih sumber yang ingin Anda konsumsi ke dalam pipa Anda.

    • Untuk kredensi Pelanggan, tambahkan ID Akun AWS tempat Anda ingin membuat pipeline. Untuk ID eksternal, tentukanOpenSearchIngestion-{accountid}.

    • Untuk metode akses Data, pilih S3.

    • Untuk detail Pemberitahuan, pilih SQSantrian.

Saat Anda membuat pelanggan, Security Lake secara otomatis membuat dua kebijakan izin sebaris—satu untuk S3 dan satu untuk. SQS Kebijakan mengambil format berikut: AmazonSecurityLake-{12345}-S3 danAmazonSecurityLake-{12345}-SQS. Untuk memungkinkan pipeline mengakses sumber pelanggan, Anda harus mengaitkan izin yang diperlukan dengan peran pipeline Anda.

Langkah 1: Konfigurasikan peran pipeline

Buat kebijakan izin baru yang hanya menggabungkan izin IAM yang diperlukan dari dua kebijakan yang dibuat secara otomatis Security Lake. Contoh kebijakan berikut menunjukkan hak istimewa paling sedikit yang diperlukan untuk pipeline OpenSearch Ingestion untuk membaca data dari beberapa sumber Security Lake:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":[ "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/LAMBDA_EXECUTION/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/S3_DATA/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/VPC_FLOW/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/ROUTE53/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/SH_FINDINGS/1.0/*" ] }, { "Effect":"Allow", "Action":[ "sqs:ReceiveMessage", "sqs:DeleteMessage" ], "Resource":[ "arn:aws:sqs:{region}:{account-id}:AmazonSecurityLake-abcde-Main-Queue" ] } ] }
penting

Security Lake tidak mengelola kebijakan peran pipeline untuk Anda. Jika Anda menambah atau menghapus sumber dari langganan Security Lake, Anda harus memperbarui kebijakan secara manual. Security Lake membuat partisi untuk setiap sumber log, jadi Anda perlu menambahkan atau menghapus izin secara manual dalam peran pipeline.

Anda harus melampirkan izin ini ke IAM peran yang Anda tentukan dalam sts_role_arn opsi dalam konfigurasi plugin sumber S3, di bawah. sqs

version: "2" source: s3: ... sqs: queue_url: "https://sqs.{region}.amazonaws.com/{account-id}/AmazonSecurityLake-abcde-Main-Queue" aws: ... sts_role_arn: arn:aws:iam::{account-id}:role/pipeline-role processor: ... sink: - opensearch: ...

Langkah 2: Buat pipa

Setelah menambahkan izin ke peran pipeline, gunakan cetak biru Security Lake yang telah dikonfigurasi sebelumnya untuk membuat pipeline. Untuk informasi selengkapnya, lihat Menggunakan cetak biru untuk membuat pipeline.

Anda harus menentukan queue_url opsi dalam konfigurasi s3 sumber, yang merupakan SQS antrian Amazon URL untuk dibaca. Untuk memformatURL, cari titik akhir Langganan dalam konfigurasi pelanggan dan ubah arn:aws: ke. https:// Misalnya, https://sqs.{region}.amazonaws.com/{account-id}/AmazonSecurityLake-abdcef-Main-Queue.

sts_role_arnYang Anda tentukan dalam konfigurasi sumber S3 harus menjadi peran pipeline. ARN