기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에서 데이터 수집 AWS 서비스
Amazon Security Lake는 기본적으로 지원되는 AWS 서비스에서 로그 및 이벤트를 수집할 수 있습니다.
-
AWS CloudTrail 관리 및 데이터 이벤트 (S3, Lambda)
-
아마존 엘라스틱 쿠버네티스 서비스 (아마존 EKS) 감사 로그
-
Amazon Route 53 Resolver 쿼리 로그
-
AWS Security Hub 조사 결과
-
Amazon Virtual Private Cloud(VPC) 흐름 로그
-
AWS WAF v2 로그
Security Lake는 이 데이터를 개방형 사이버 보안 스키마 프레임워크 (OCSF) 및 Apache Parquet 형식으로 자동 변환합니다.
작은 정보
위의 서비스 중 하나 이상을 Security Lake의 로그 소스로 추가하려면 CloudTrail 관리 이벤트를 제외하고 이러한 서비스에서 로깅을 별도로 구성할 필요가 없습니다. 이러한 서비스에 로깅이 구성되어 있는 경우 Security Lake의 로그 소스로 추가하기 위해 로깅 구성을 변경할 필요가 없습니다. Security Lake는 독립적이고 복제된 이벤트 스트림을 통해 이러한 서비스에서 직접 데이터를 가져옵니다.
사전 조건: 권한 검증
AWS 서비스 Security Lake에서 소스로 추가하려면 필요한 권한이 있어야 합니다. 소스를 추가하는 데 사용하는 역할에 연결된 AWS Identity and Access Management (IAM) 정책에 다음 작업을 수행할 권한이 있는지 확인하십시오.
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:GetDatabase
-
glue:GetTable
-
glue:UpdateTable
iam:CreateServiceLinkedRole
s3:GetObject
s3:PutObject
역할에는 및 s3:PutObject
권한에 대한 다음과 같은 조건과 리소스 범위를 갖는 것이 좋습니다. S3:getObject
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
이러한 작업을 통해 AWS 서비스 AN에서 로그와 이벤트를 수집하여 올바른 AWS Glue 데이터베이스와 테이블로 보낼 수 있습니다.
데이터 레이크의 서버 측 암호화에 AWS KMS 키를 사용하는 경우 에 대한 권한도 필요합니다. kms:DescribeKey
CloudTrail 이벤트 로그
AWS CloudTrail , AWS SDK, 명령줄 도구 및 특정 AWS 서비스를 사용하여 이루어진 API 호출을 포함하여 계정에 대한 API 호출 기록을 제공합니다. AWS AWS Management Console CloudTrail 또한 지원하는 서비스의 AWS API를 호출한 사용자 및 계정, 호출이 이루어진 소스 IP 주소 CloudTrail, 호출이 발생한 시기도 식별할 수 있습니다. 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.
Security Lake는 S3 및 Lambda의 CloudTrail 관리 이벤트 및 CloudTrail 데이터 이벤트와 관련된 로그를 수집할 수 있습니다. CloudTrail 관리 이벤트, S3 데이터 이벤트 및 Lambda 데이터 이벤트는 Security Lake의 세 가지 개별 소스입니다. 따라서 이들 중 하나를 수집된 로그 소스로 추가하면 sourceName
값이 달라집니다. 컨트롤 플레인 이벤트라고도 하는 관리 이벤트는 사용자의 리소스에서 수행되는 관리 작업에 대한 통찰력을 제공합니다. AWS 계정 CloudTrail 데이터 플레인 작업이라고도 하는 데이터 이벤트는 내 리소스에서 또는 해당 리소스 내에서 수행된 리소스 작업을 보여줍니다 AWS 계정. 이러한 작업은 대량의 활동인 경우가 많습니다.
Security Lake에서 CloudTrail 관리 이벤트를 수집하려면 읽기 및 쓰기 CloudTrail 관리 이벤트를 수집하는 CloudTrail 다중 지역 조직 트레일이 하나 이상 있어야 합니다. 추적에 대한 로깅이 활성화되어 있어야 합니다. 다른 서비스에 로깅을 구성한 경우 Security Lake의 로그 소스로 추가하기 위해 로깅 구성을 변경할 필요가 없습니다. Security Lake는 독립적이고 복제된 이벤트 스트림을 통해 이러한 서비스에서 직접 데이터를 가져옵니다.
다중 리전 추적은 여러 리전의 로그 파일을 단일 AWS 계정에 대한 Amazon Simple Storage Service(S3) 버킷으로 전송합니다. CloudTrail 콘솔 또는 AWS Control Tower를 통해 관리되는 다중 지역 트레일이 이미 있는 경우 추가 조치가 필요하지 않습니다.
트레일 스루를 만들고 관리하는 방법에 대한 자세한 내용은 AWS CloudTrail 사용 설명서의 조직을 위한 트레일 만들기를 참조하십시오. CloudTrail
-
트레일 스루 AWS Control Tower만들기 및 관리에 대한 자세한 내용은 AWS Control Tower 사용 설명서의 AWS Control Tower 작업 로깅을 참조하십시오. AWS CloudTrail
CloudTrail 이벤트를 소스로 추가하면 Security Lake는 즉시 CloudTrail 이벤트 로그 수집을 시작합니다. 독립적이고 복제된 이벤트 스트림을 CloudTrail 통해 직접 CloudTrail 관리 및 데이터 이벤트를 소비합니다.
Security Lake는 CloudTrail 이벤트를 관리하거나 기존 CloudTrail 구성에 영향을 주지 않습니다. CloudTrail 이벤트 액세스 및 보존을 직접 관리하려면 CloudTrail 서비스 콘솔 또는 API를 사용해야 합니다. 자세한 내용은 AWS CloudTrail 사용 설명서의 CloudTrail 이벤트 기록으로 이벤트 보기를 참조하십시오.
다음 목록은 Security Lake가 CloudTrail 이벤트를 OCSF로 정규화하는 방법에 대한 매핑 참조로 연결되는 GitHub 리포지토리 링크를 제공합니다.
GitHub OCSF 이벤트 리포지토리 CloudTrail
-
소스 버전 1 (
v1.0.0-rc.2) -
소스 버전 2 (v1.1.0)
아마존 EKS 감사 로그
Amazon EKS 감사 로그를 소스로 추가하면 Security Lake는 EKS (엘라스틱 쿠버네티스 서비스) 클러스터에서 실행되는 쿠버네티스 리소스에서 수행된 활동에 대한 심층 정보를 수집하기 시작합니다. EKS 감사 로그는 Amazon Elastic Kubernetes Service 내의 EKS 클러스터에서 잠재적으로 의심스러운 활동을 탐지하는 데 도움이 됩니다.
Security Lake는 독립적이고 중복된 감사 로그 스트림을 통해 Amazon EKS 컨트롤 플레인 로깅 기능에서 직접 EKS 감사 로그 이벤트를 사용합니다. 이 프로세스는 추가 설정이 필요하지 않거나 기존 Amazon EKS 컨트롤 플레인 로깅 구성에 영향을 주지 않도록 설계되었습니다. 자세한 내용을 알아보려면 Amazon EKS 사용자 설명서의 Amazon EKS 클러스터 컨트롤 플레인 로깅을 참조하세요.
Amazon EKS 감사 로그는 OCSF v1.1.0에서만 지원됩니다. Security Lake가 EKS 감사 로그 이벤트를 OCSF로 정규화하는 방법에 대한 자세한 내용은 Amazon EKS 감사 로그 이벤트에 대한 GitHub OCSF 리포지토리의
Route 53 Resolver 쿼리 로그
Route 53 resolver 쿼리 로그는 Amazon Virtual Private Cloud(VPC)내의 리소스에서 만든 DNS 쿼리를 추적합니다. 이를 통해 애플리케이션 작동 방식을 이해하고 보안 위협을 찾아낼 수 있습니다.
Route 53 resolver 쿼리 로그를 Security Lake의 소스로 추가하면 Security Lake는 독립적이고 복제된 이벤트 스트림을 통해 Route 53에서 직접 resolver 쿼리 로그를 즉시 수집하기 시작합니다.
Security Lake는 Route 53 로그를 관리하거나 기존 Resolver 쿼리 로깅 구성에 영향을 주지 않습니다. Resolver 쿼리 로그를 관리하려면 Route 53 서비스 콘솔을 사용해야 합니다. Resolver 쿼리 로깅에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 Resolver 쿼리 로깅 구성 관리를 참조하세요.
다음 목록은 Security Lake가 Route 53 로그를 OCSF로 정규화하는 방법에 대한 매핑 참조로 연결되는 GitHub 리포지토리 링크를 제공합니다.
GitHub Route 53 로그용 OCSF 리포지토리
-
소스 버전 1 (
v1.0.0-rc.2) -
소스 버전 2 (v1.1.0)
Security Hub 조사 결과
Security Hub 조사 결과는 보안 상태를 이해하는 데 도움이 되며 보안 업계 표준 AWS 및 모범 사례와 비교하여 환경을 점검할 수 있습니다. Security Hub는 다른 타사 제품 통합과의 통합 AWS 서비스, Security Hub 제어 항목 비교 등 다양한 소스에서 결과를 수집합니다. Security Hub는 검색 결과를 AWS 보안 검색 형식 (ASFF) 이라는 표준 형식으로 처리합니다.
Security Hub 조사 결과를 Security Lake의 소스로 추가하면 Security Lake는 즉시 독립적이고 복제된 이벤트 스트림을 통해 Security Hub에서 직접 결과를 수집하기 시작합니다. 또한 Security Lake는 조사 결과를 ASFF에서 개방형 사이버 보안 스키마 프레임워크 (OCSF) (OCSF) 로 변환합니다.
Security Lake는 Security Hub 조사 결과를 관리하거나 Security Hub 설정에 영향을 주지 않습니다. Security Hub 검색 결과를 관리하려면 Security Hub 서비스 콘솔, API 또는 를 사용해야 AWS CLI합니다. 자세한 내용은 AWS Security Hub 사용 설명서의 조사 결과 AWS Security Hub를 참조하세요.
다음 목록은 Security Lake가 Security Hub 검색 결과를 OCSF로 정규화하는 방법에 대한 매핑 참조에 대한 GitHub 리포지토리 링크를 제공합니다.
GitHub Security Hub 조사 결과를 위한 OCSF 리포지토리
-
소스 버전 1 (
v1.0.0-rc.2) -
소스 버전 2 (v1.1.0)
VPC 흐름 로그
Amazon VPC의 VPC 흐름 로그 기능은 환경 내 네트워크 인터페이스와 주고받는 IP 트래픽에 대한 정보를 캡처합니다.
Security Lake에서 VPC 흐름 로그를 소스로 추가하면 Security Lake는 즉시 VPC 흐름 로그를 수집하기 시작합니다. 독립적이고 중복된 흐름 로그 스트림을 통해 Amazon VPC에서 직접 VPC 흐름 로그를 사용합니다.
Security Lake는 VPC 흐름 로그를 관리하거나 Amazon VPC 구성에 영향을 주지 않습니다. 흐름 로그를 관리하려면 Amazon VPC 서비스 콘솔을 사용해야 합니다. 자세한 내용은 Amazon VPC 개발자 안내서의 흐름 로그로 작업을 참조하세요.
다음 목록은 Security Lake가 VPC 흐름 로그를 OCSF로 정규화하는 방법에 대한 매핑 참조에 대한 GitHub 리포지토리 링크를 제공합니다.
GitHub VPC 플로우 로그를 위한 OCSF 리포지토리
AWS WAF 로그
Security Lake에 로그 AWS WAF 소스로 추가하면 Security Lake가 즉시 로그 수집을 시작합니다. AWS WAF 최종 사용자가 애플리케이션에 보내는 웹 요청을 모니터링하고 콘텐츠에 대한 액세스를 제어하는 데 사용할 수 있는 웹 애플리케이션 방화벽입니다. 로깅되는 정보에는 AWS 리소스로부터 웹 요청을 AWS WAF 받은 시간, 요청에 대한 세부 정보, 요청과 일치하는 규칙에 대한 세부 정보가 포함됩니다.
Security Lake는 독립적이고 복제된 로그 스트림을 AWS WAF 통해 직접 AWS WAF 로그를 소비합니다. 이 프로세스는 추가 설정이 필요하거나 기존 AWS WAF 구성에 영향을 주지 않도록 설계되었습니다. 애플리케이션 리소스를 보호하는 AWS WAF 데 사용할 수 있는 방법에 대한 자세한 내용은 AWS WAF 개발자 안내서의 AWS WAF 작동 방식을 참조하십시오.
중요
Amazon CloudFront 배포를 리소스 유형으로 사용하는 경우 Security Lake의 AWS WAF글로벌 로그를 수집하려면 미국 동부 (버지니아 북부) 를 선택해야 합니다.
AWS WAF 로그는 OCSF v1.1.0에서만 지원됩니다. Security Lake가 AWS WAF 로그 이벤트를 OCSF로 정규화하는 방법에 대한 자세한 내용은 OCSF 리포지토리의 로그 매핑 참조 (v1.1.0) 를 참조하십시오. GitHub AWS WAF
소스로 추가 AWS 서비스
AWS 서비스 소스로 추가하면 Security Lake는 해당 소스에서 보안 로그와 이벤트를 자동으로 수집하기 시작합니다. 이 지침은 기본적으로 지원되는 소스를 Security AWS 서비스 Lake에 추가하는 방법을 설명합니다. 사용자 지정 소스 추가에 대한 지침은 사용자 지정 소스에서 데이터 수집 단원을 참조하십시오.
역할 권한 업데이트
새 버전의 데이터 소스에서 데이터를 수집하는 데 필요한 역할 권한 또는 리소스 (새 AWS Lambda 함수 및 Amazon Simple Queue Service (Amazon SQS) 큐) 가 없는 경우, 역할 권한을 AmazonSecurityLakeMetaStoreManagerV2
업데이트하고 소스에서 데이터를 처리하는 데 필요한 새 리소스 세트를 생성해야 합니다.
원하는 방법을 선택하고 지침에 따라 역할 권한을 업데이트하고 새 리소스를 생성하여 지정된 지역의 새 버전의 AWS 로그 소스에서 데이터를 처리하십시오. 권한 및 리소스가 향후 데이터 원본 릴리스에 자동으로 적용되므로 이는 일회성 작업입니다.
AmazonSecurityLakeMetaStoreManager 역할 삭제
중요
역할 권한을 로 AmazonSecurityLakeMetaStoreManagerV2
업데이트한 후 이전 AmazonSecurityLakeMetaStoreManager
역할을 제거하기 전에 데이터 레이크가 제대로 작동하는지 확인하십시오. 4시간 이상 기다린 후 역할을 제거하는 것이 좋습니다.
역할을 제거하기로 결정한 경우 먼저 역할을 삭제해야 합니다. AmazonSecurityLakeMetaStoreManager
AWS Lake Formation
Lake Formation 콘솔에서 AmazonSecurityLakeMetaStoreManager
역할을 제거하려면 다음 단계를 따르십시오.
-
에 AWS Management Console로그인하고 https://console.aws.amazon.com/lakeformation/
에서 Lake Formation 콘솔을 엽니다. -
Lake Formation 콘솔의 탐색 창에서 관리자 역할 및 작업을 선택합니다.
-
각 지역에서
AmazonSecurityLakeMetaStoreManager
제거하세요.
AWS 서비스 소스로 삭제하기
액세스 방법을 선택하고 다음 단계에 따라 기본적으로 지원되는 Security Lake 소스를 AWS 서비스 제거하세요. 하나 이상의 리전에 대한 소스를 제거할 수 있습니다. 소스를 제거하면 Security Lake는 지정된 리전 및 계정의 해당 소스에서 데이터 수집을 중단하고 구독자는 더 이상 원본의 새 데이터를 사용할 수 없습니다. 하지만 구독자는 Security Lake가 제거 전에 소스에서 수집한 데이터를 계속 사용할 수 있습니다. 이 지침은 기본적으로 AWS 서비스 지원되는 소스를 제거할 때만 사용할 수 있습니다. 사용자 지정 소스 제거에 대한 자세한 내용은 사용자 지정 소스에서 데이터 수집을 참조하십시오.
소스 컬렉션 상태 가져오기
액세스 방법을 선택하고 단계에 따라 현재 지역에서 로그 수집이 활성화된 계정 및 소스의 스냅샷을 가져오세요.