Utilizzo di una pipeline OpenSearch di ingestione con Amazon Security Lake - OpenSearch Servizio Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di una pipeline OpenSearch di ingestione con Amazon Security Lake

Puoi utilizzare il plug-in sorgente S3 per importare dati da Amazon Security Lake nella tua pipeline di OpenSearch ingestione. Security Lake centralizza automaticamente i dati di sicurezza provenienti da AWS ambienti, ambienti locali e provider SaaS in un data lake appositamente progettato. È possibile creare un abbonamento che replica i dati da Security Lake alla pipeline di OpenSearch Ingestion, che poi li scrive nel dominio di servizio o nella raccolta Serverless. OpenSearch OpenSearch

Per configurare la pipeline in modo che legga da Security Lake, utilizza il blueprint Security Lake preconfigurato. Il blueprint include una configurazione predefinita per l'importazione dei file parquet di Open Cybersecurity Schema Framework () OCSF da Security Lake. Per ulteriori informazioni, consulta Utilizzo dei blueprint per creare una pipeline.

Prerequisiti

Prima di creare la pipeline di OpenSearch Ingestion, effettuate le seguenti operazioni:

  • Abilita Security Lake.

  • Crea un abbonato in Security Lake.

    • Scegli le fonti che desideri inserire nella tua pipeline.

    • Per le credenziali dell'abbonato, aggiungi l'ID del Account AWS luogo in cui intendi creare la pipeline. Per l'ID esterno, specificare. OpenSearchIngestion-{accountid}

    • Per il metodo di accesso ai dati, scegli S3.

    • Per i dettagli della notifica, scegli SQScoda.

Quando crei un abbonato, Security Lake crea automaticamente due policy di autorizzazione in linea, una per S3 e una per. SQS Le politiche hanno il seguente formato: e. AmazonSecurityLake-{12345}-S3 AmazonSecurityLake-{12345}-SQS Per consentire alla pipeline di accedere alle fonti degli abbonati, devi associare le autorizzazioni richieste al tuo ruolo di pipeline.

Fase 1: Configurare il ruolo della pipeline

Crea una nuova politica di autorizzazioni IAM che combini solo le autorizzazioni necessarie delle due politiche create automaticamente da Security Lake. La seguente policy di esempio mostra il privilegio minimo richiesto a una pipeline di OpenSearch Ingestion per leggere i dati da più fonti Security Lake:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":[ "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/LAMBDA_EXECUTION/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/S3_DATA/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/VPC_FLOW/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/ROUTE53/1.0/*", "arn:aws:s3:::aws-security-data-lake-{region}-abcde/aws/SH_FINDINGS/1.0/*" ] }, { "Effect":"Allow", "Action":[ "sqs:ReceiveMessage", "sqs:DeleteMessage" ], "Resource":[ "arn:aws:sqs:{region}:{account-id}:AmazonSecurityLake-abcde-Main-Queue" ] } ] }
Importante

Security Lake non gestisce al posto tuo la policy relativa ai ruoli della pipeline. Se aggiungi o rimuovi fonti dal tuo abbonamento a Security Lake, devi aggiornare manualmente la politica. Security Lake crea partizioni per ogni origine di registro, quindi è necessario aggiungere o rimuovere manualmente le autorizzazioni nel ruolo della pipeline.

È necessario associare queste autorizzazioni al IAM ruolo specificato nell'sts_role_arnopzione all'interno della configurazione del plug-in di origine S3, sotto. sqs

version: "2" source: s3: ... sqs: queue_url: "https://sqs.{region}.amazonaws.com/{account-id}/AmazonSecurityLake-abcde-Main-Queue" aws: ... sts_role_arn: arn:aws:iam::{account-id}:role/pipeline-role processor: ... sink: - opensearch: ...

Fase 2: Creare la pipeline

Dopo aver aggiunto le autorizzazioni al ruolo della pipeline, utilizza il blueprint Security Lake preconfigurato per creare la pipeline. Per ulteriori informazioni, consulta Utilizzo dei blueprint per creare una pipeline.

È necessario specificare l'queue_urlopzione all'interno della configurazione di s3 origine, che è la SQS coda URL Amazon da cui leggere. Per formattare ilURL, individua l'endpoint dell'abbonamento nella configurazione dell'abbonato e passa a. arn:aws: https:// Ad esempio https://sqs.{region}.amazonaws.com/{account-id}/AmazonSecurityLake-abdcef-Main-Queue.

sts_role_arnQuello che specifichi nella configurazione di origine di S3 deve appartenere al ruolo ARN della pipeline.