Exemplos de Security Lake usando AWS CLI

Os exemplos de código a seguir mostram como realizar ações e implementar cenários comuns usando o AWS Command Line Interface com o Security Lake.

Ações são trechos de código de programas maiores e devem ser executadas em contexto. Embora as ações mostrem como chamar funções de serviço individuais, é possível ver as ações no contexto em seus cenários relacionados.

Cada exemplo inclui um link para o código-fonte completo, onde você pode encontrar instruções sobre como configurar e executar o código no contexto.

Tópicos

Ações

Ações

O código de exemplo a seguir mostra como usar create-aws-logsource.

AWS CLI

Para adicionar um Amazon Web Service com suporte nativo como fonte do Amazon Security Lake

O create-aws-logsource exemplo a seguir adiciona registros de VPC fluxo como uma fonte do Security Lake nas contas e regiões designadas.


aws securitylake create-aws-log-source \
    --sources '[{"regions": ["us-east-1"], "accounts": ["123456789012"], "sourceName": "SH_FINDINGS", "sourceVersion": "2.0"}]'

Saída:


{
    "failed": [
        "123456789012"
    ]
}

Para obter mais informações, consulte Adicionar um AWS serviço como fonte no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateAwsLogsourcena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-custom-logsource.

AWS CLI

Para adicionar uma fonte personalizada como fonte do Amazon Security Lake

O create-custom-logsource exemplo a seguir adiciona uma fonte personalizada como fonte do Security Lake na conta do provedor de log designado e na região designada.


aws securitylake create-custom-log-source \
    --source-name "VPC_FLOW" \
    --event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
    --configuration '{"crawlerConfiguration": {"roleArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4"},"providerIdentity": {"principal": "029189416600","externalId": "123456789012"}}' --region "us-east-1"

Saída:


{
    "customLogSource": {
        "attributes": {
            "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4",
            "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/E1WG1ZNPRXT0D4",
            "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/E1WG1ZNPRXT0D4"
        },
        "provider": {
            "location": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
            "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-testCustom2-eu-west-2"
        },
        "sourceName": "testCustom2"
        "sourceVersion": "2.0"
    }
}

Para obter mais informações, consulte Adicionar uma fonte personalizada no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateCustomLogsourcena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-data-lake-exception-subscription.

AWS CLI

Para enviar notificações de exceções do Security Lake

O create-data-lake-exception-subscription exemplo a seguir envia notificações de exceções do Security Lake para a conta especificada por meio da SMS entrega. A mensagem de exceção permanece pelo período especificado.


aws securitylake create-data-lake-exception-subscription \
    --notification-endpoint "123456789012" \
    --exception-time-to-live 30 \
    --subscription-protocol "sms"

Este comando não produz saída.

Para obter mais informações, consulte Solução de problemas do Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateDataLakeExceptionSubscriptionna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-data-lake-organization-configuration.

AWS CLI

Para configurar o Security Lake em novas contas da organização

O create-data-lake-organization-configuration exemplo a seguir ativa o Security Lake e a coleta dos eventos e registros de origem especificados nas novas contas da organização.


aws securitylake create-data-lake-organization-configuration \
    --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS","sourceVersion": "1.0"}]}]'

Este comando não produz saída.

Para obter mais informações, consulte Gerenciando várias contas com AWS Organizations no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateDataLakeOrganizationConfigurationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-data-lake.

AWS CLI

Exemplo 1: Para configurar seu data lake em várias regiões

O create-data-lake exemplo a seguir ativa o Amazon Security Lake em várias AWS regiões e configura seu data lake.


aws securitylake create-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Saída:


{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-1:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-1",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-gnevt6s8z7bzby8oi3uiaysbr8v2ml",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        },
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        }
    ]
}

Para obter mais informações, consulte Introdução ao Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Exemplo 2: Para configurar seu data lake em uma única região

O create-data-lake exemplo a seguir habilita o Amazon Security Lake em uma única AWS região e configura seu data lake.


aws securitylake create-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Saída:


{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 500
                },
                "transitions": [
                    {
                        "days": 30,
                        "storageClass": "GLACIER"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "77702a53-dcbf-493e-b8ef-518e362f3003",
                "status": "INITIALIZED"
            }
        }
    ]
}

Para obter mais informações, consulte Introdução ao Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateDataLakena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-subscriber-data-access.

AWS CLI

Para criar um assinante com acesso a dados

O create-subscriber exemplo a seguir cria um assinante no Security Lake com acesso aos dados na AWS região atual para a identidade de assinante especificada para uma AWS fonte.


aws securitylake create-subscriber \
    --access-types "S3" \
    --sources '[{"awsLogSource": {"sourceName": "VPC_FLOW","sourceVersion": "2.0"}}]' \
    --subscriber-name "opensearch-s3" \
    --subscriber-identity '{"principal": "029189416600","externalId": "123456789012"}'

Saída:


{
    "subscriber": {
        "accessTypes": [
            "S3"
        ],
        "createdAt": "2024-07-17T19:08:26.787000+00:00",
        "roleArn": "arn:aws:iam::773172568199:role/AmazonSecurityLake-896f218b-cfba-40be-a255-8b49a65d0407",
        "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-um632ufwpvxkyz0bc5hkb64atycnf3",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "2.0"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:us-east-1:773172568199:subscriber/896f218b-cfba-40be-a255-8b49a65d0407",
        "subscriberId": "896f218b-cfba-40be-a255-8b49a65d0407",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "029189416600"
        },
        "subscriberName": "opensearch-s3",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-07-17T19:08:27.133000+00:00"
    }
}

Para obter mais informações, consulte Criação de um assinante com acesso a dados no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateSubscriberDataAccessna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-subscriber-notification.

AWS CLI

Para criar uma notificação de assinante

O create-subscriber-notification exemplo a seguir mostra como especificar a notificação do assinante para criar uma notificação quando novos dados são gravados no data lake.


aws securitylake create-subscriber-notification \
    --subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
    --configuration '{"httpsNotificationConfiguration": {"targetRoleArn":"arn:aws:iam::XXX:role/service-role/RoleName", "endpoint":"https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}}'

Saída:


{
    "subscriberEndpoint": [
        "https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"
    ]
}

Para obter mais informações, consulte Gerenciamento de assinantes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateSubscriberNotificationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-subscriber-query-access.

AWS CLI

Para criar um assinante com acesso à consulta

O create-subscriber exemplo a seguir cria um assinante no Security Lake com acesso de consulta na AWS região atual para a identidade de assinante especificada.


aws securitylake create-subscriber \
    --access-types "LAKEFORMATION" \
    --sources '[{"awsLogSource": {"sourceName": "VPC_FLOW","sourceVersion": "2.0"}}]' \
    --subscriber-name "opensearch-s3" \
    --subscriber-identity '{"principal": "029189416600","externalId": "123456789012"}'

Saída:


{
    "subscriber": {
        "accessTypes": [
            "LAKEFORMATION"
        ],
        "createdAt": "2024-07-18T01:05:55.853000+00:00",
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/8c31da49-c224-4f1e-bb12-37ab756d6d8a",
        "resourceShareName": "LakeFormation-V2-NAMENAMENA-123456789012",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "2.0"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:us-east-1:123456789012:subscriber/e762aabb-ce3d-4585-beab-63474597845d",
        "subscriberId": "e762aabb-ce3d-4585-beab-63474597845d",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "029189416600"
        },
        "subscriberName": "opensearch-s3",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-07-18T01:05:58.393000+00:00"
    }
}

Para obter mais informações, consulte Criação de um assinante com acesso a consultas no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte CreateSubscriberQueryAccessna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-aws-logsource.

AWS CLI

Para remover um serviço com suporte nativo AWS .

O delete-aws-logsource exemplo a seguir exclui os registros de VPC fluxo como uma fonte do Security Lake nas contas e regiões designadas.


aws securitylake delete-aws-log-source \
    --sources '[{"regions": ["us-east-1"], "accounts": ["123456789012"], "sourceName": "SH_FINDINGS", "sourceVersion": "2.0"}]'

Saída:


{
    "failed": [
        "123456789012"
    ]
}

Para obter mais informações, consulte Remoção AWS de um serviço como fonte no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte DeleteAwsLogsourcena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-custom-logsource.

AWS CLI

Para remover uma fonte personalizada.

O delete-custom-logsource exemplo a seguir exclui uma fonte personalizada na conta do provedor de log designado na região designada.


aws securitylake delete-custom-log-source \
    --source-name "CustomSourceName"

Este comando não produz saída.

Para obter mais informações, consulte Excluir uma fonte personalizada no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte DeleteCustomLogsourcena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-data-lake-organization-configuration.

AWS CLI

Para interromper a coleta automática de fontes nas contas dos membros

O delete-data-lake-organization-configuration exemplo a seguir interrompe a coleta automática de descobertas do AWS Security Hub de novas contas membros que ingressam na organização. Somente o administrador delegado do Security Lake pode executar esse comando. Isso impede que novas contas de membros contribuam automaticamente com dados para o data lake.


aws securitylake delete-data-lake-organization-configuration \
    --auto-enable-new-account '[{"region":"us-east-1","sources":[{"sourceName":"SH_FINDINGS"}]}]'

Este comando não produz saída.

Para obter mais informações, consulte Gerenciando várias contas com AWS Organizations no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte DeleteDataLakeOrganizationConfigurationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-data-lake.

AWS CLI

Para desativar seu data lake

O delete-data-lake exemplo a seguir desativa seu data lake nas AWS regiões especificadas. Nas regiões especificadas, as fontes não contribuem mais com dados para o data lake. Para uma implantação do Security Lake utilizando AWS Organizations, somente o administrador delegado do Security Lake da organização pode desativar o Security Lake para contas na organização.


aws securitylake delete-data-lake \
    --regions "ap-northeast-1" "eu-central-1"

Este comando não produz saída.

Para obter mais informações, consulte Desabilitar o Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte DeleteDataLakena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-subscriber-notification.

AWS CLI

Para excluir uma notificação de assinante

O delete-subscriber-notification exemplo a seguir mostra como excluir a notificação de assinante para um assinante específico do Security Lake.


aws securitylake delete-subscriber-notification \
    --subscriber-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de assinantes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte DeleteSubscriberNotificationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-subscriber.

AWS CLI

Para excluir um assinante

O delete-subscriber exemplo a seguir mostra como remover um assinante se você não quiser mais que ele consuma dados do Security Lake.


aws securitylake delete-subscriber \
    --subscriber-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Este comando não produz saída.

Para obter mais informações, consulte Gerenciamento de assinantes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte DeleteSubscriberna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-data-lake-exception-subscription.

AWS CLI

Para obter detalhes sobre uma assinatura de exceção

O get-data-lake-exception-subscription exemplo a seguir fornece detalhes sobre uma assinatura de exceção do Security Lake. Neste exemplo, o usuário da AWS conta especificada é notificado sobre erros por meio da SMS entrega. A mensagem de exceção permanece na conta pelo período especificado. Uma assinatura de exceção notifica um usuário do Security Lake sobre um erro por meio do protocolo preferido do solicitante.


aws securitylake get-data-lake-exception-subscription

Saída:


{
    "exceptionTimeToLive": 30,
    "notificationEndpoint": "123456789012",
    "subscriptionProtocol": "sms"
}

Para obter mais informações, consulte Solução de problemas do status do data lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte GetDataLakeExceptionSubscriptionna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-data-lake-organization-configuration.

AWS CLI

Para obter detalhes sobre a configuração das novas contas da organização

O get-data-lake-organization-configuration exemplo a seguir recupera detalhes sobre os registros de origem que as novas contas da organização enviarão após a integração no Amazon Security Lake.


aws securitylake get-data-lake-organization-configuration

Saída:


{
    "autoEnableNewAccount": [
        {
            "region": "us-east-1",
            "sources": [
                {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "1.0"
                },
                {
                    "sourceName": "ROUTE53",
                    "sourceVersion": "1.0"
                },
                {
                    "sourceName": "SH_FINDINGS",
                    "sourceVersion": "1.0"
                }
            ]
        }
    ]
}

Para obter mais informações, consulte Gerenciando várias contas com AWS Organizations no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte GetDataLakeOrganizationConfigurationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-data-lake-sources.

AWS CLI

Para obter o status da coleta de registros

O get-data-lake-sources exemplo a seguir obtém um instantâneo da coleta de registros para a conta especificada na AWS região atual. A conta tem o Amazon Security Lake ativado.


aws securitylake get-data-lake-sources \
    --accounts "123456789012"

Saída:


{
    "dataLakeSources": [
        {
            "account": "123456789012",
            "sourceName": "SH_FINDINGS",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "VPC_FLOW",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "NOT_COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "LAMBDA_EXECUTION",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "ROUTE53",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        },
        {
            "account": "123456789012",
            "sourceName": "CLOUD_TRAIL_MGMT",
            "sourceStatuses": [
                {
                    "resource": "vpc-1234567890abcdef0",
                    "status": "COLLECTING"
                }
            ]
        }
    ],
    "dataLakeArn": null
}

Para obter mais informações, consulte Coleta de dados de AWS serviços no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte GetDataLakeSourcesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-subscriber.

AWS CLI

Para recuperar as informações da assinatura

O get-subscriber exemplo a seguir recupera as informações de assinatura do assinante especificado do Securiy Lake.


aws securitylake get-subscriber \
    --subscriber-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Saída:


{
    "subscriber": {
        "accessTypes": [
            "LAKEFORMATION"
        ],
        "createdAt": "2024-04-19T15:19:44.421803+00:00",
        "resourceShareArn": "arn:aws:ram:eu-west-2:123456789012:resource-share/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "resourceShareName": "LakeFormation-V3-TKJGBHCKTZ-123456789012",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "LAMBDA_EXECUTION",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "EKS_AUDIT",
                    "sourceVersion": "2.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "ROUTE53",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "SH_FINDINGS",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "1.0"
                }
            },
            {
                "customLogSource": {
                    "attributes": {
                        "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/testCustom2",
                        "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/amazon_security_lake_glue_db_eu_west_2",
                        "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/amazon_security_lake_table_eu_west_2_ext_testcustom2"
                    },
                    "provider": {
                        "location": "s3://aws-security-data-lake-eu-west-2-8ugsus4ztnsfpjbldwbgf4vge98av9/ext/testCustom2/",
                        "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-testCustom2-eu-west-2"
                    },
                    "sourceName": "testCustom2"
                }
            },
            {
                "customLogSource": {
                    "attributes": {
                        "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/TestCustom",
                        "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/amazon_security_lake_glue_db_eu_west_2",
                        "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/amazon_security_lake_table_eu_west_2_ext_testcustom"
                    },
                    "provider": {
                        "location": "s3://aws-security-data-lake-eu-west-2-8ugsus4ztnsfpjbldwbgf4vge98av9/ext/TestCustom/",
                        "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-Provider-TestCustom-eu-west-2"
                    },
                    "sourceName": "TestCustom"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:eu-west-2:123456789012:subscriber/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "123456789012"
        },
        "subscriberName": "test",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-04-19T15:19:55.230588+00:00"
    }
}

Para obter mais informações, consulte Gerenciamento de assinantes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte GetSubscriberna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-data-lake-exceptions.

AWS CLI

Para listar os problemas que afetam seu data lake

O list-data-lake-exceptions exemplo a seguir lista os problemas que estão afetando seu data lake nos últimos 14 dias nas AWS regiões especificadas.


aws securitylake list-data-lake-exceptions \
    --regions "us-east-1" "eu-west-3"

Saída:


{
    "exceptions": [
        {
            "exception": "The account does not have the required role permissions. Update your role permissions to use the new data source version.",
            "region": "us-east-1",
            "timestamp": "2024-02-29T12:24:15.641725+00:00"
        },
        {
            "exception": "The account does not have the required role permissions. Update your role permissions to use the new data source version.",
            "region": "eu-west-3",
            "timestamp": "2024-02-29T12:24:15.641725+00:00"
        }
    ]
}

Para obter mais informações, consulte Solução de problemas do Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte ListDataLakeExceptionsna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-data-lakes.

AWS CLI

Para listar o objeto de configuração do Security Lake

O list-data-lakes exemplo a seguir lista o objeto de configuração do Amazon Security Lake para a AWS região especificada. Você pode usar esse comando para determinar se o Security Lake está habilitado em uma região ou regiões especificadas.


aws securitylake list-data-lakes \
    --regions "us-east-1"

Saída:


{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-1:123456789012:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-1",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:123456789012:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-1234567890abcdef0",
            "updateStatus": {
                "exception": {
                    "code": "software.amazon.awssdk.services.s3.model.S3Exception",
                    "reason": ""
                },
                "requestId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
                "status": "FAILED"
            }
        }
    ]
}

Para obter mais informações, consulte Verificando o status da região no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte ListDataLakesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-log-sources.

AWS CLI

Para recuperar as fontes de log do Amazon Security Lake

O list-log-sources exemplo a seguir lista as fontes de log do Amazon Security Lake em uma conta especificada.


aws securitylake list-log-sources \
    --accounts "123456789012"

Saída:


{
    "account": "123456789012",
    "region": "xy-region-1",
    "sources": [
        {
               "awsLogSource": {
                "sourceName": "VPC_FLOW",
                "sourceVersion": "2.0"
            }
        },
        {
            "awsLogSource": {
                "sourceName": "SH_FINDINGS",
                "sourceVersion": "2.0"
            }
        }
    ]
}

Para obter mais informações, consulte Gerenciamento de fontes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte ListLogSourcesna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-subscribers.

AWS CLI

Para recuperar os assinantes do Amazon Security Lake

O list-subscribers exemplo a seguir lista todos os assinantes do Amazon Security Lake em uma conta específica.


aws securitylake list-subscribers

Saída:


{
    "subscribers": [
        {
            "accessTypes": [
                "S3"
            ],
            "createdAt": "2024-06-04T15:02:28.921000+00:00",
            "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-E1WG1ZNPRXT0D4",
            "s3BucketArn": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
            "sources": [
                {
                    "awsLogSource": {
                        "sourceName": "CLOUD_TRAIL_MGMT",
                        "sourceVersion": "2.0"
                    }
                },
                {
                    "awsLogSource": {
                        "sourceName": "LAMBDA_EXECUTION",
                        "sourceVersion": "1.0"
                    }
                },
                {
                    "customLogSource": {
                        "attributes": {
                            "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4",
                            "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/E1WG1ZNPRXT0D4",
                            "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/E1WG1ZNPRXT0D4"
                        },
                        "provider": {
                            "location": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
                            "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-E1WG1ZNPRXT0D4"
                        },
                        "sourceName": "testCustom2"
                    }
                }
            ],
            "subscriberArn": "arn:aws:securitylake:eu-west-2:123456789012:subscriber/E1WG1ZNPRXT0D4",
            "subscriberEndpoint": "arn:aws:sqs:eu-west-2:123456789012:AmazonSecurityLake-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111-Main-Queue",
            "subscriberId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "subscriberIdentity": {
                "externalId": "ext123456789012",
                "principal": "123456789012"
            },
            "subscriberName": "Test",
            "subscriberStatus": "ACTIVE",
            "updatedAt": "2024-06-04T15:02:35.617000+00:00"
        }
    ]
}

Para obter mais informações, consulte Gerenciamento de assinantes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte ListSubscribersna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-tags-for-resource.

AWS CLI

Para listar tags para um recurso existente

O list-tags-for-resource exemplo a seguir lista as tags para o assinante especificado do Amazon Security Lake. Neste exemplo, a chave da tag do proprietário não tem um valor de tag associado. Você também pode usar essa operação para listar tags para outros recursos existentes do Security Lake.


aws securitylake list-tags-for-resource \
    --resource-arn "arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab"

Saída:


{
    "tags": [
        {
            "key": "Environment",
            "value": "Cloud"
        },
        {
            "key": "CostCenter",
            "value": "12345"
        },
        {
            "key": "Owner",
            "value": ""
        }
    ]
}

Para obter mais informações, consulte Como marcar recursos do Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte ListTagsForResourcena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar register-data-lake-delegated-administrator.

AWS CLI

Para designar o administrador delegado

O register-data-lake-delegated-administrator exemplo a seguir designa a AWS conta especificada como administradora delegada do Amazon Security Lake.


aws securitylake register-data-lake-delegated-administrator \
    --account-id 123456789012

Este comando não produz saída.

Para obter mais informações, consulte Gerenciando várias contas com AWS Organizations no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte RegisterDataLakeDelegatedAdministratorna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar tag-resource.

AWS CLI

Para adicionar tags a um recurso existente

O tag-resource exemplo a seguir adiciona tags a um recurso de assinante existente. Para criar um novo recurso e adicionar uma ou mais tags a ele, não use essa operação. Em vez disso, use a operação Criar apropriada para o tipo de recurso que você deseja criar.


aws securitylake tag-resource \
    --resource-arn "arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab" \
    --tags key=Environment,value=Cloud

Este comando não produz saída.

Para obter mais informações, consulte Como marcar recursos do Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte TagResourcena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar untag-resource.

AWS CLI

Para remover tags de um recurso existente

O untag-resource exemplo a seguir remove as tags especificadas de um recurso de assinante existente.


aws securitylake untag-resource \
    --resource-arn "arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab" \
    --tags Environment Owner

Este comando não produz saída.

Para obter mais informações, consulte Como marcar recursos do Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte UntagResourcena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-data-lake-exception-subscription.

AWS CLI

Para atualizar a assinatura de notificação para exceções do Security Lake

O update-data-lake-exception-subscription exemplo a seguir atualiza a assinatura de notificação que notifica os usuários sobre as exceções do Security Lake.


aws securitylake update-data-lake-exception-subscription \
    --notification-endpoint "123456789012" \
    --exception-time-to-live 30 \
    --subscription-protocol "email"

Este comando não produz saída.

Para obter mais informações, consulte Solução de problemas do Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte UpdateDataLakeExceptionSubscriptionna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-data-lake.

AWS CLI

Exemplo 1: Para atualizar suas configurações de data lake

O update-data-lake exemplo a seguir atualiza as configurações do seu data lake do Amazon Security Lake. Você pode usar essa operação para especificar configurações de região de criptografia, armazenamento e rollup de dados.


aws securitylake update-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Saída:


{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-1:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-1",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-1-gnevt6s8z7bzby8oi3uiaysbr8v2ml",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        },
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "S3_MANAGED_KEY"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 365
                },
                "transitions": [
                    {
                        "days": 60,
                        "storageClass": "ONEZONE_IA"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "f20a6450-d24a-4f87-a6be-1d4c075a59c2",
                "status": "INITIALIZED"
            }
        }
    ]
}

Para obter mais informações, consulte Introdução ao Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Exemplo 2: Para configurar seu data lake em uma única região

O create-data-lake exemplo a seguir habilita o Amazon Security Lake em uma única AWS região e configura seu data lake.


aws securitylake create-data-lake \
    --configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
    --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Saída:


{
    "dataLakes": [
        {
            "createStatus": "COMPLETED",
            "dataLakeArn": "arn:aws:securitylake:us-east-2:522481757177:data-lake/default",
            "encryptionConfiguration": {
                "kmsKeyId": "1234abcd-12ab-34cd-56ef-1234567890ab"
            },
            "lifecycleConfiguration": {
                "expiration": {
                    "days": 500
                },
                "transitions": [
                    {
                        "days": 30,
                        "storageClass": "GLACIER"
                    }
                ]
            },
            "region": "us-east-2",
            "replicationConfiguration": {
                "regions": [
                    "ap-northeast-3"
                ],
                "roleArn": "arn:aws:securitylake:ap-northeast-3:522481757177:data-lake/default"
            },
            "s3BucketArn": "arn:aws:s3:::aws-security-data-lake-us-east-2-cehuifzl5rwmhm6m62h7zhvtseogr9",
            "updateStatus": {
                "exception": {},
                "requestId": "77702a53-dcbf-493e-b8ef-518e362f3003",
                "status": "INITIALIZED"
            }
        }
    ]
}

Para obter mais informações, consulte Introdução ao Amazon Security Lake no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte UpdateDataLakena Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-subscriber-notification.

AWS CLI

Para atualizar uma notificação de assinante

O update-subscriber-notification exemplo a seguir mostra como você pode atualizar o método de notificação para um assinante.


aws securitylake update-subscriber-notification \
    --subscriber-id "12345ab8-1a34-1c34-1bd4-12345ab9012" \
    --configuration '{"httpsNotificationConfiguration": {"targetRoleArn":"arn:aws:iam::XXX:role/service-role/RoleName", "endpoint":"https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"}}'

Saída:


{
    "subscriberEndpoint": [
        "https://account-management.$3.$2.securitylake.aws.dev/v1/datalake"
    ]
}

Para obter mais informações, consulte Gerenciamento de assinantes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte UpdateSubscriberNotificationna Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-subscriber.

AWS CLI

Para atualizar um assinante do Amazon Security Lake.

O update-subscriber exemplo a seguir atualiza as fontes de acesso aos dados do Security Lake para um assinante específico do Security Lake.


aws securitylake update-subscriber \
    --subscriber-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Saída:


{
    "subscriber": {
        "accessTypes": [
            "LAKEFORMATION"
        ],
        "createdAt": "2024-04-19T15:19:44.421803+00:00",
        "resourceShareArn": "arn:aws:ram:eu-west-2:123456789012:resource-share/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "resourceShareName": "LakeFormation-V3-TKJGBHCKTZ-123456789012",
        "sources": [
            {
                "awsLogSource": {
                    "sourceName": "LAMBDA_EXECUTION",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "EKS_AUDIT",
                    "sourceVersion": "2.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "ROUTE53",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "SH_FINDINGS",
                    "sourceVersion": "1.0"
                }
            },
            {
                "awsLogSource": {
                    "sourceName": "VPC_FLOW",
                    "sourceVersion": "1.0"
                }
            },
            {
                "customLogSource": {
                    "attributes": {
                        "crawlerArn": "arn:aws:glue:eu-west-2:123456789012:crawler/E1WG1ZNPRXT0D4",
                        "databaseArn": "arn:aws:glue:eu-west-2:123456789012:database/E1WG1ZNPRXT0D4",
                        "tableArn": "arn:aws:glue:eu-west-2:123456789012:table/E1WG1ZNPRXT0D4"
                    },
                    "provider": {
                        "location": "DOC-EXAMPLE-BUCKET--usw2-az1--x-s3",
                        "roleArn": "arn:aws:iam::123456789012:role/AmazonSecurityLake-E1WG1ZNPRXT0D4"
                    },
                    "sourceName": "testCustom2"
                }
            }
        ],
        "subscriberArn": "arn:aws:securitylake:eu-west-2:123456789012:subscriber/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "subscriberIdentity": {
            "externalId": "123456789012",
            "principal": "123456789012"
        },
        "subscriberName": "test",
        "subscriberStatus": "ACTIVE",
        "updatedAt": "2024-07-18T20:47:37.098000+00:00"
    }
}

Para obter mais informações, consulte Gerenciamento de assinantes no Guia do usuário do Amazon Security Lake.

Para API obter detalhes, consulte UpdateSubscriberna Referência de AWS CLI Comandos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Security Hub

AWS Serverless Application Repository