Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengumpulkan data dari Layanan AWS Danau Keamanan
Amazon Security Lake dapat mengumpulkan log dan peristiwa dari yang didukung secara asli Layanan AWS berikut ini:
-
AWS CloudTrail manajemen dan peristiwa data (S3, Lambda)
-
Log Audit Amazon Elastic Kubernetes Service (Amazon) EKS
-
Log kueri Amazon Route 53 Resolver
-
AWS Security Hub temuan
-
Log Aliran Amazon Virtual Private Cloud (AmazonVPC)
-
AWS WAF log v2
Security Lake secara otomatis mengubah data ini menjadi format Buka Kerangka Skema Keamanan Siber (OCSF) di Danau Keamanan dan Apache Parquet.
Untuk menambahkan satu atau beberapa layanan sebelumnya sebagai sumber log di Security Lake, Anda tidak perlu mengonfigurasi pencatatan secara terpisah di layanan ini, kecuali peristiwa CloudTrail manajemen. Jika Anda memiliki log yang dikonfigurasi dalam layanan ini, Anda tidak perlu mengubah konfigurasi logging Anda untuk menambahkannya sebagai sumber log di Security Lake. Security Lake menarik data langsung dari layanan ini melalui aliran peristiwa independen dan duplikat.
Prasyarat: Verifikasi izin
Untuk menambahkan Layanan AWS sebagai sumber di Security Lake, Anda harus memiliki izin yang diperlukan. Verifikasi bahwa kebijakan AWS Identity and Access Management (IAM) yang dilampirkan pada peran yang Anda gunakan untuk menambahkan sumber memiliki izin untuk melakukan tindakan berikut:
Disarankan agar peran memiliki kondisi dan ruang lingkup sumber daya berikut untuk s3:PutObject
izin S3:getObject
dan.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatingSecurityLakeS3Buckets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::aws-security-data-lake*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
Tindakan ini memungkinkan Anda untuk mengumpulkan log dan peristiwa dari an Layanan AWS dan mengirimkannya ke AWS Glue database dan tabel yang benar.
Jika Anda menggunakan AWS KMS kunci untuk enkripsi sisi server data lake Anda, Anda juga memerlukan izin untuk. kms:DescribeKey
Menambahkan Layanan AWS sebagai sumber
Setelah Anda menambahkan Layanan AWS sebagai sumber, Security Lake secara otomatis mulai mengumpulkan log keamanan dan peristiwa darinya. Petunjuk ini memberi tahu Anda cara menambahkan yang didukung secara asli Layanan AWS sebagai sumber di Security Lake. Untuk petunjuk tentang menambahkan sumber kustom, lihatMengumpulkan data dari sumber khusus di Security Lake.
- Console
-
Untuk menambahkan sumber AWS log (konsol)
Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.
-
Pilih Sumber dari panel navigasi.
-
Pilih Layanan AWS yang ingin Anda kumpulkan datanya, dan pilih Konfigurasi.
-
Di bagian Pengaturan sumber, aktifkan sumber dan pilih Versi sumber data yang ingin Anda gunakan untuk konsumsi data. Secara default, versi terbaru dari sumber data dicerna oleh Security Lake.
Jika Anda tidak memiliki izin peran yang diperlukan untuk mengaktifkan versi baru sumber AWS log di Wilayah yang ditentukan, hubungi administrator Security Lake Anda. Untuk informasi selengkapnya, lihat Memperbarui izin peran.
Agar pelanggan Anda dapat menelan versi sumber data yang dipilih, Anda juga harus memperbarui pengaturan pelanggan Anda. Untuk detail tentang cara mengedit pelanggan, lihat Manajemen pelanggan di Amazon Security Lake.
Secara opsional, Anda dapat memilih untuk menelan versi terbaru saja dan menonaktifkan semua versi sumber sebelumnya yang digunakan untuk konsumsi data.
Di bagian Wilayah, pilih Wilayah tempat Anda ingin mengumpulkan data untuk sumbernya. Security Lake akan mengumpulkan data dari sumber dari semua akun di Wilayah yang dipilih.
Pilih Aktifkan.
- API
-
Untuk menambahkan sumber AWS log (API)
Untuk menambahkan Layanan AWS sebagai sumber secara terprogram, gunakan CreateAwsLogSourcepengoperasian Danau Keamanan. API Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan create-aws-log-sourceperintah. Parameter sourceName
dan regions
diperlukan. Secara opsional, Anda dapat membatasi ruang lingkup sumber ke spesifik accounts
atau spesifiksourceVersion
.
Bila Anda tidak memberikan parameter dalam perintah Anda, Security Lake mengasumsikan bahwa parameter yang hilang mengacu pada seluruh rangkaian. Misalnya, jika Anda tidak memberikan accounts
parameter, perintah berlaku untuk seluruh rangkaian akun di organisasi Anda.
Contoh berikut menambahkan Log VPC Aliran sebagai sumber di akun dan Wilayah yang ditunjuk. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
Jika Anda menerapkan permintaan ini ke Wilayah di mana Anda belum mengaktifkan Security Lake, Anda akan menerima kesalahan. Anda dapat mengatasi kesalahan dengan mengaktifkan Security Lake di Wilayah tersebut atau dengan menggunakan regions
parameter untuk menentukan hanya Wilayah di mana Anda telah mengaktifkan Security Lake.
$
aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW
,accounts='["123456789012", "111122223333"]'
,regions=["us-east-2"]
,sourceVersion="2.0"
Mendapatkan status koleksi sumber
Pilih metode akses Anda, dan ikuti langkah-langkah untuk mendapatkan snapshot akun dan sumber yang pengumpulan lognya diaktifkan di Wilayah saat ini.
- Console
-
- API
-
Untuk mendapatkan status pengumpulan log di Wilayah saat ini, gunakan GetDataLakeSourcespengoperasian Danau KeamananAPI. Jika Anda menggunakan AWS CLI, jalankan get-data-lake-sourcesperintah. Untuk accounts
parameter, Anda dapat menentukan satu atau lebih Akun AWS IDs sebagai daftar. Jika permintaan Anda berhasil, Security Lake mengembalikan snapshot untuk akun tersebut di Wilayah saat ini, termasuk AWS sumber mana Security Lake mengumpulkan data dan status setiap sumber. Jika Anda tidak menyertakan accounts
parameter, respons mencakup status pengumpulan log untuk semua akun di mana Security Lake dikonfigurasi di Wilayah saat ini.
Misalnya, AWS CLI perintah berikut mengambil status pengumpulan log untuk akun yang ditentukan di Wilayah saat ini. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
$
aws securitylake get-data-lake-sources \
--accounts "123456789012
" "111122223333
"