Mengumpulkan data dari Layanan AWS Danau Keamanan - Danau Keamanan Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengumpulkan data dari Layanan AWS Danau Keamanan

Amazon Security Lake dapat mengumpulkan log dan peristiwa dari yang didukung secara asli Layanan AWS berikut ini:

  • AWS CloudTrail manajemen dan peristiwa data (S3, Lambda)

  • Log Audit Amazon Elastic Kubernetes Service (Amazon) EKS

  • Log kueri Amazon Route 53 Resolver

  • AWS Security Hub temuan

  • Log Aliran Amazon Virtual Private Cloud (AmazonVPC)

  • AWS WAF log v2

Security Lake secara otomatis mengubah data ini menjadi format Buka Kerangka Skema Keamanan Siber (OCSF) di Danau Keamanan dan Apache Parquet.

Tip

Untuk menambahkan satu atau beberapa layanan sebelumnya sebagai sumber log di Security Lake, Anda tidak perlu mengonfigurasi pencatatan secara terpisah di layanan ini, kecuali peristiwa CloudTrail manajemen. Jika Anda memiliki log yang dikonfigurasi dalam layanan ini, Anda tidak perlu mengubah konfigurasi logging Anda untuk menambahkannya sebagai sumber log di Security Lake. Security Lake menarik data langsung dari layanan ini melalui aliran peristiwa independen dan duplikat.

Prasyarat: Verifikasi izin

Untuk menambahkan Layanan AWS sebagai sumber di Security Lake, Anda harus memiliki izin yang diperlukan. Verifikasi bahwa kebijakan AWS Identity and Access Management (IAM) yang dilampirkan pada peran yang Anda gunakan untuk menambahkan sumber memiliki izin untuk melakukan tindakan berikut:

  • glue:CreateDatabase

  • glue:CreateTable

  • glue:GetDatabase

  • glue:GetTable

  • glue:UpdateTable

  • iam:CreateServiceLinkedRole

  • s3:GetObject

  • s3:PutObject

Disarankan agar peran memiliki kondisi dan ruang lingkup sumber daya berikut untuk s3:PutObject izin S3:getObject dan.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }

Tindakan ini memungkinkan Anda untuk mengumpulkan log dan peristiwa dari an Layanan AWS dan mengirimkannya ke AWS Glue database dan tabel yang benar.

Jika Anda menggunakan AWS KMS kunci untuk enkripsi sisi server data lake Anda, Anda juga memerlukan izin untuk. kms:DescribeKey

Menambahkan Layanan AWS sebagai sumber

Setelah Anda menambahkan Layanan AWS sebagai sumber, Security Lake secara otomatis mulai mengumpulkan log keamanan dan peristiwa darinya. Petunjuk ini memberi tahu Anda cara menambahkan yang didukung secara asli Layanan AWS sebagai sumber di Security Lake. Untuk petunjuk tentang menambahkan sumber kustom, lihatMengumpulkan data dari sumber khusus di Security Lake.

Console
Untuk menambahkan sumber AWS log (konsol)
  1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

  2. Pilih Sumber dari panel navigasi.

  3. Pilih Layanan AWS yang ingin Anda kumpulkan datanya, dan pilih Konfigurasi.

  4. Di bagian Pengaturan sumber, aktifkan sumber dan pilih Versi sumber data yang ingin Anda gunakan untuk konsumsi data. Secara default, versi terbaru dari sumber data dicerna oleh Security Lake.

    penting

    Jika Anda tidak memiliki izin peran yang diperlukan untuk mengaktifkan versi baru sumber AWS log di Wilayah yang ditentukan, hubungi administrator Security Lake Anda. Untuk informasi selengkapnya, lihat Memperbarui izin peran.

    Agar pelanggan Anda dapat menelan versi sumber data yang dipilih, Anda juga harus memperbarui pengaturan pelanggan Anda. Untuk detail tentang cara mengedit pelanggan, lihat Manajemen pelanggan di Amazon Security Lake.

    Secara opsional, Anda dapat memilih untuk menelan versi terbaru saja dan menonaktifkan semua versi sumber sebelumnya yang digunakan untuk konsumsi data.

  5. Di bagian Wilayah, pilih Wilayah tempat Anda ingin mengumpulkan data untuk sumbernya. Security Lake akan mengumpulkan data dari sumber dari semua akun di Wilayah yang dipilih.

  6. Pilih Aktifkan.

API

Untuk menambahkan sumber AWS log (API)

Untuk menambahkan Layanan AWS sebagai sumber secara terprogram, gunakan CreateAwsLogSourcepengoperasian Danau Keamanan. API Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan create-aws-log-sourceperintah. Parameter sourceName dan regions diperlukan. Secara opsional, Anda dapat membatasi ruang lingkup sumber ke spesifik accounts atau spesifiksourceVersion.

penting

Bila Anda tidak memberikan parameter dalam perintah Anda, Security Lake mengasumsikan bahwa parameter yang hilang mengacu pada seluruh rangkaian. Misalnya, jika Anda tidak memberikan accounts parameter, perintah berlaku untuk seluruh rangkaian akun di organisasi Anda.

Contoh berikut menambahkan Log VPC Aliran sebagai sumber di akun dan Wilayah yang ditunjuk. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

catatan

Jika Anda menerapkan permintaan ini ke Wilayah di mana Anda belum mengaktifkan Security Lake, Anda akan menerima kesalahan. Anda dapat mengatasi kesalahan dengan mengaktifkan Security Lake di Wilayah tersebut atau dengan menggunakan regions parameter untuk menentukan hanya Wilayah di mana Anda telah mengaktifkan Security Lake.

$ aws securitylake create-aws-log-source \ --sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"

Mendapatkan status koleksi sumber

Pilih metode akses Anda, dan ikuti langkah-langkah untuk mendapatkan snapshot akun dan sumber yang pengumpulan lognya diaktifkan di Wilayah saat ini.

Console
Untuk mendapatkan status pengumpulan log di Wilayah saat ini
  1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

  2. Pada panel navigasi, pilih Akun.

  3. Arahkan kursor ke nomor di kolom Sumber untuk melihat log mana yang diaktifkan untuk akun yang dipilih.

API

Untuk mendapatkan status pengumpulan log di Wilayah saat ini, gunakan GetDataLakeSourcespengoperasian Danau KeamananAPI. Jika Anda menggunakan AWS CLI, jalankan get-data-lake-sourcesperintah. Untuk accounts parameter, Anda dapat menentukan satu atau lebih Akun AWS IDs sebagai daftar. Jika permintaan Anda berhasil, Security Lake mengembalikan snapshot untuk akun tersebut di Wilayah saat ini, termasuk AWS sumber mana Security Lake mengumpulkan data dan status setiap sumber. Jika Anda tidak menyertakan accounts parameter, respons mencakup status pengumpulan log untuk semua akun di mana Security Lake dikonfigurasi di Wilayah saat ini.

Misalnya, AWS CLI perintah berikut mengambil status pengumpulan log untuk akun yang ditentukan di Wilayah saat ini. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securitylake get-data-lake-sources \ --accounts "123456789012" "111122223333"