Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di una pipeline OpenSearch di ingestione con Amazon Security Lake
Puoi utilizzare il plug-in sorgente S3
Per configurare la pipeline in modo che legga da Security Lake, utilizza il blueprint Security Lake preconfigurato. Il blueprint include una configurazione predefinita per l'importazione dei file parquet di Open Cybersecurity Schema Framework () OCSF da Security Lake. Per ulteriori informazioni, consulta Utilizzo dei blueprint per creare una pipeline.
Prerequisiti
Prima di creare la pipeline di OpenSearch Ingestion, effettuate le seguenti operazioni:
-
Crea un abbonato in Security Lake.
-
Scegli le fonti che desideri inserire nella tua pipeline.
-
Per le credenziali dell'abbonato, aggiungi l'ID del Account AWS luogo in cui intendi creare la pipeline. Per l'ID esterno, specificare.
OpenSearchIngestion-
{accountid}
-
Per il metodo di accesso ai dati, scegli S3.
-
Per i dettagli della notifica, scegli SQScoda.
-
Quando crei un abbonato, Security Lake crea automaticamente due policy di autorizzazione in linea, una per S3 e una per. SQS Le politiche hanno il seguente formato: e. AmazonSecurityLake-
{12345}
-S3AmazonSecurityLake-
Per consentire alla pipeline di accedere alle fonti degli abbonati, devi associare le autorizzazioni richieste al tuo ruolo di pipeline.{12345}
-SQS
Fase 1: Configurare il ruolo della pipeline
Crea una nuova politica di autorizzazioni IAM che combini solo le autorizzazioni necessarie delle due politiche create automaticamente da Security Lake. La seguente policy di esempio mostra il privilegio minimo richiesto a una pipeline di OpenSearch Ingestion per leggere i dati da più fonti Security Lake:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":[ "arn:aws:s3:::aws-security-data-lake-
{region}
-abcde
/aws/LAMBDA_EXECUTION/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/S3_DATA/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/VPC_FLOW/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/ROUTE53/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}
-abcde
/aws/SH_FINDINGS/1.0/*" ] }, { "Effect":"Allow", "Action":[ "sqs:ReceiveMessage", "sqs:DeleteMessage" ], "Resource":[ "arn:aws:sqs:{region}
:{account-id}
:AmazonSecurityLake-abcde
-Main-Queue" ] } ] }
Importante
Security Lake non gestisce al posto tuo la policy relativa ai ruoli della pipeline. Se aggiungi o rimuovi fonti dal tuo abbonamento a Security Lake, devi aggiornare manualmente la politica. Security Lake crea partizioni per ogni origine di registro, quindi è necessario aggiungere o rimuovere manualmente le autorizzazioni nel ruolo della pipeline.
È necessario associare queste autorizzazioni al IAM ruolo specificato nell'sts_role_arn
opzione all'interno della configurazione del plug-in di origine S3, sotto. sqs
version: "2" source: s3: ... sqs: queue_url: "https://sqs.
{region}
.amazonaws.com/{account-id}
/AmazonSecurityLake-abcde
-Main-Queue" aws: ... sts_role_arn: arn:aws:iam::{account-id}
:role/pipeline-role
processor: ... sink: - opensearch: ...
Fase 2: Creare la pipeline
Dopo aver aggiunto le autorizzazioni al ruolo della pipeline, utilizza il blueprint Security Lake preconfigurato per creare la pipeline. Per ulteriori informazioni, consulta Utilizzo dei blueprint per creare una pipeline.
È necessario specificare l'queue_url
opzione all'interno della configurazione di s3
origine, che è la SQS coda URL Amazon da cui leggere. Per formattare ilURL, individua l'endpoint dell'abbonamento nella configurazione dell'abbonato e passa a. arn:aws:
https://
Ad esempio https://sqs.
.{region}
.amazonaws.com/{account-id}
/AmazonSecurityLake-abdcef
-Main-Queue
sts_role_arn
Quello che specifichi nella configurazione di origine di S3 deve appartenere al ruolo ARN della pipeline.