Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menambahkan sumber khusus di Security Lake
Setelah membuat IAM peran untuk memanggil AWS Glue crawler, ikuti langkah-langkah berikut untuk menambahkan sumber kustom di Security Lake.
- Console
-
Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.
-
Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin membuat sumber kustom.
-
Pilih Sumber kustom di panel navigasi, lalu pilih Buat sumber kustom.
-
Di bagian Detail sumber kustom, masukkan nama unik global untuk sumber kustom Anda. Kemudian, pilih kelas OCSF acara yang menjelaskan jenis data yang akan dikirim sumber kustom ke Security Lake.
-
Untuk Akun AWS dengan izin untuk menulis data, masukkan Akun AWS ID dan ID Eksternal dari sumber kustom yang akan menulis log dan peristiwa ke data lake.
-
Untuk Akses Layanan, buat dan gunakan peran layanan baru atau gunakan peran layanan yang ada yang memberikan izin Security Lake untuk memanggil AWS Glue.
-
Pilih Buat.
- API
-
Untuk menambahkan sumber khusus secara terprogram, gunakan CreateCustomLogSourcepengoperasian Danau Keamanan. API Gunakan operasi di Wilayah AWS tempat Anda ingin membuat sumber kustom. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan create-custom-log-sourceperintah.
Dalam permintaan Anda, gunakan parameter yang didukung untuk menentukan pengaturan konfigurasi untuk sumber kustom:
-
sourceName— Tentukan nama untuk sumbernya. Nama harus menjadi nilai Regional yang unik.
-
eventClasses— Tentukan satu atau beberapa kelas OCSF acara untuk menggambarkan jenis data yang akan dikirim sumber ke Security Lake. Untuk daftar kelas OCSF acara yang didukung sebagai sumber di Security Lake, lihat Open Cybersecurity Schema Framework () OCSF.
-
sourceVersion— Secara opsional, tentukan nilai untuk membatasi pengumpulan log ke versi tertentu dari data sumber kustom.
-
crawlerConfiguration— Tentukan Amazon Resource Name (ARN) dari IAM peran yang Anda buat untuk memanggil AWS Glue
crawler. Untuk langkah-langkah mendetail untuk membuat IAM peran, lihat Prasyarat untuk menambahkan sumber kustom
-
providerIdentity— Tentukan AWS identitas dan ID eksternal yang akan digunakan sumber untuk menulis log dan peristiwa ke danau data.
Contoh berikut menambahkan sumber kustom sebagai sumber log di akun penyedia log yang ditunjuk di Wilayah yang ditunjuk. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
$ aws securitylake create-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE \
--event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
--configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"} \
--region=[“ap-southeast-2”]
Menjaga data sumber kustom diperbarui di AWS Glue
Setelah Anda menambahkan sumber kustom di Security Lake, Security Lake membuat AWS Glue crawler. Crawler terhubung ke sumber kustom Anda, menentukan struktur data, dan mengisi Katalog AWS Glue Data dengan tabel.
Sebaiknya jalankan crawler secara manual agar skema sumber kustom Anda tetap mutakhir dan mempertahankan fungsionalitas kueri di Athena dan layanan kueri lainnya. Secara khusus, Anda harus menjalankan crawler jika salah satu dari perubahan berikut terjadi dalam kumpulan data input Anda untuk sumber kustom:
Untuk petunjuk tentang menjalankan crawler, lihat Menjadwalkan AWS Glue crawler di Panduan Pengembang.AWS Glue
Security Lake tidak dapat menghapus atau memperbarui crawler yang ada di akun Anda. Jika Anda menghapus sumber kustom, sebaiknya hapus crawler terkait jika Anda berencana membuat sumber kustom dengan nama yang sama di masa mendatang.
