Mengumpulkan data dari sumber khusus di Security Lake - Amazon Security Lake
Persyaratan partisi untuk menelan sumber khususPrasyarat untuk menambahkan sumber kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengumpulkan data dari sumber khusus di Security Lake

Amazon Security Lake dapat mengumpulkan log dan peristiwa dari sumber kustom pihak ketiga. Sumber kustom Security Lake adalah layanan pihak ketiga yang mengirimkan log keamanan dan peristiwa ke Amazon Security Lake. Sebelum mengirim data, sumber kustom harus mengonversi log dan peristiwa ke Open Cybersecurity Schema Framework (OCSF) dan memenuhi persyaratan sumber untuk Security Lake termasuk partisi, format file parket dan ukuran objek dan persyaratan tarif.

Untuk setiap sumber kustom, Security Lake menangani hal berikut:

  • Memberikan awalan unik untuk sumber di bucket Amazon S3 Anda.

  • Membuat peran dalam AWS Identity and Access Management (IAM) yang memungkinkan sumber kustom untuk menulis data ke danau data. Batas izin untuk peran ini ditetapkan oleh kebijakan AWS terkelola yang disebut. AmazonSecurityLakePermissionsBoundary

  • Membuat AWS Lake Formation tabel untuk mengatur objek yang ditulis sumber ke Security Lake.

  • Menetapkan AWS Glue crawler untuk mempartisi data sumber Anda. Crawler mengisi AWS Glue Data Catalog dengan tabel. Ini juga secara otomatis menemukan data sumber baru dan mengekstrak definisi skema.

catatan

Anda dapat menambahkan hingga maksimal 50 sumber log kustom di akun.

Untuk menambahkan sumber khusus ke Security Lake, itu harus memenuhi persyaratan berikut. Kegagalan untuk memenuhi persyaratan ini dapat berdampak pada kinerja, dan dapat memengaruhi kasus penggunaan analitik seperti kueri.

  • Tujuan — Sumber kustom harus dapat menulis data ke Security Lake sebagai satu set objek S3 di bawah awalan yang ditetapkan ke sumber. Untuk sumber yang berisi beberapa kategori data, Anda harus mengirimkan setiap kelas acara Open Cybersecurity Schema Framework (OCSF) yang unik sebagai sumber terpisah. Security Lake membuat IAM peran yang memungkinkan sumber kustom untuk menulis ke lokasi yang ditentukan di bucket S3 Anda.

  • Format - Setiap objek S3 yang dikumpulkan dari sumber kustom harus diformat sebagai file Apache Parquet.

  • Skema - Kelas OCSF acara yang sama harus berlaku untuk setiap catatan dalam objek berformat Parket. Security Lake mendukung Parket versi 1.x dan 2.x. Ukuran halaman data harus dibatasi hingga 1 MB (tidak terkompresi). Ukuran grup baris tidak boleh lebih besar dari 256 MB (dikompresi). Untuk kompresi dalam objek Parket, zstandard lebih disukai.

  • Partisi - Objek harus dipartisi berdasarkan wilayah, akun,. AWS eventDay Objek harus diawali dengansource location/region=region/accountId=accountID/eventDay=yyyyMMdd/.

  • Ukuran dan tarif objek - File yang dikirim ke Security Lake harus dikirim secara bertahap antara 5 menit dan 1 hari acara. Pelanggan dapat mengirim file lebih sering dari 5 menit jika file berukuran lebih besar dari 256MB. Persyaratan objek dan ukuran adalah mengoptimalkan Security Lake untuk Kinerja Kueri. Tidak mengikuti persyaratan sumber kustom mungkin berdampak pada kinerja Security Lake Anda.

  • Penyortiran — Dalam setiap objek yang diformat Parket, catatan harus diurutkan berdasarkan waktu untuk mengurangi biaya kueri data.

catatan

Gunakan alat OCSF Validasi untuk memverifikasi apakah sumber kustom kompatibel dengan. OCSF Schema

Persyaratan partisi untuk menelan sumber khusus di Security Lake

Untuk memfasilitasi pemrosesan dan kueri data yang efisien, kami perlu memenuhi persyaratan partisi dan objek dan ukuran saat menambahkan sumber khusus ke Security Lake:

Partisi

Objek harus dipartisi berdasarkan lokasi sumber,, Wilayah AWS Akun AWS, dan tanggal.

  • Jalur data partisi diformat sebagai

    /ext/custom-source-name/region=region/accountId=accountID/eventDay=YYYYMMDD.

    Partisi sampel dengan contoh nama bucket adalahaws-security-data-lake-us-west-2-lake-uid/ext/custom-source-name/region=us-west-2/accountId=123456789012/eventDay=20230428/.

Daftar berikut menjelaskan parameter yang digunakan dalam partisi jalur S3:

  • Nama bucket Amazon S3 tempat Security Lake menyimpan data sumber kustom Anda.

  • source-location— Awalan untuk sumber kustom di bucket S3 Anda. Security Lake menyimpan semua objek S3 untuk sumber tertentu di bawah awalan ini, dan awalan unik untuk sumber yang diberikan.

  • region— Wilayah AWS ke mana data diunggah. Misalnya, Anda harus menggunakan US East (N. Virginia) untuk mengunggah data ke bucket Security Lake Anda di wilayah AS Timur (Virginia N.).

  • accountId— Akun AWS ID yang berkaitan dengan catatan di partisi sumber. Untuk catatan yang berkaitan dengan akun di luar AWS, sebaiknya gunakan string seperti external atauexternal_externalAccountId. Dengan mengadopsi konveksi penamaan ini, Anda dapat menghindari ambiguitas dalam penamaan akun eksternal IDs sehingga tidak bertentangan dengan AWS akun IDs atau akun eksternal yang IDs dikelola oleh sistem manajemen identitas lainnya.

  • eventDay— UTC stempel waktu rekaman, dipotong menjadi jam diformat sebagai string delapan karakter (). YYYYMMDD Jika catatan menentukan zona waktu yang berbeda dalam stempel waktu acara, Anda harus mengonversi stempel waktu menjadi UTC kunci partisi ini.

Prasyarat untuk menambahkan sumber khusus di Security Lake

Saat menambahkan sumber khusus, Security Lake membuat IAM peran yang memungkinkan sumber untuk menulis data ke lokasi yang benar di danau data. Nama peran mengikuti formatAmazonSecurityLake-Provider-{name of the custom source}-{region}, Wilayah AWS di region mana Anda menambahkan sumber kustom. Security Lake melampirkan kebijakan untuk peran yang memungkinkan akses ke danau data. Jika Anda telah mengenkripsi data lake dengan AWS KMS kunci yang dikelola pelanggan, Security Lake juga melampirkan kebijakan dengan kms:Decrypt dan kms:GenerateDataKey izin ke peran tersebut. Batas izin untuk peran ini ditetapkan oleh kebijakan AWS terkelola yang disebut. AmazonSecurityLakePermissionsBoundary

Memverifikasi izin

Sebelum menambahkan sumber kustom, verifikasi bahwa Anda memiliki izin untuk melakukan tindakan berikut.

Untuk memverifikasi izin Anda, gunakan IAM untuk meninjau IAM kebijakan yang dilampirkan pada IAM identitas Anda. Kemudian, bandingkan informasi dalam kebijakan tersebut dengan daftar tindakan berikut yang harus diizinkan untuk dilakukan untuk menambahkan sumber kustom.

  • glue:CreateCrawler

  • glue:CreateDatabase

  • glue:CreateTable

  • glue:StopCrawlerSchedule

  • iam:GetRole

  • iam:PutRolePolicy

  • iam:DeleteRolePolicy

  • iam:PassRole

  • lakeformation:RegisterResource

  • lakeformation:GrantPermissions

  • s3:ListBucket

  • s3:PutObject

Tindakan ini memungkinkan Anda mengumpulkan log dan peristiwa dari sumber khusus, mengirimkannya ke AWS Glue database dan tabel yang benar, dan menyimpannya di Amazon S3.

Jika Anda menggunakan AWS KMS kunci untuk enkripsi sisi server data lake Anda, Anda juga memerlukan izin untuk,kms:CreateGrant, kms:DescribeKey dan. kms:GenerateDataKey

penting

Jika Anda berencana menggunakan konsol Security Lake untuk menambahkan sumber khusus, Anda dapat melewati langkah berikutnya dan melanjutkan keMenambahkan sumber khusus di Security Lake. Konsol Security Lake menawarkan proses yang efisien untuk memulai, dan menciptakan semua peran yang diperlukan atau menggunakan IAM peran yang ada atas nama Anda.

Jika Anda berencana untuk menggunakan Security Lake API atau AWS CLI menambahkan sumber kustom, lanjutkan dengan langkah berikutnya untuk membuat IAM peran untuk mengizinkan akses tulis ke lokasi bucket Security Lake.

Buat IAM peran untuk mengizinkan akses tulis ke lokasi bucket Security Lake (APIdan langkah AWS CLI-only)

Jika Anda menggunakan Security Lake API atau AWS CLI menambahkan sumber kustom, tambahkan IAM peran ini untuk memberikan AWS Glue izin untuk merayapi data sumber kustom Anda dan mengidentifikasi partisi dalam data. Partisi ini diperlukan untuk mengatur data Anda dan membuat serta memperbarui tabel di Katalog Data.

Setelah membuat IAM peran ini, Anda akan memerlukan Amazon Resource Name (ARN) peran untuk menambahkan sumber kustom.

Anda harus melampirkan kebijakan yang arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole AWS dikelola.

Untuk memberikan izin yang diperlukan, Anda juga harus membuat dan menyematkan kebijakan sebaris berikut dalam peran Anda Perayap AWS Glue untuk mengizinkan membaca file data dari sumber kustom dan membuat/memperbarui tabel di Katalog Data. AWS Glue 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3WriteRead",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::{{bucketName}}/*"
            ]
        }
    ]
}

Lampirkan kebijakan kepercayaan berikut untuk mengizinkan penggunaan yang dapat mengambil peran berdasarkan ID eksternal: Akun AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Tampilkan lebih banyakTampilkan lebih sedikit

Jika bucket S3 di Wilayah tempat Anda menambahkan sumber kustom dienkripsi dengan pengelola pelanggan AWS KMS key, Anda juga harus melampirkan kebijakan berikut ke peran dan kebijakan utama Anda: KMS

{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
        "kms:Decrypt"
    ],
    "Condition": {
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::{{name of S3 bucket created by Security Lake}"
            ]
        }
    },
    "Resource": [
        "{{ARN of customer managed key}}"
    ]
}
Tampilkan lebih banyakTampilkan lebih sedikit