As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Coletando dados de Serviços da AWS

O Amazon Security Lake pode coletar logs e eventos dos seguintes Serviços da AWS com suporte nativo:

O Security Lake transforma automaticamente esses dados no formato Open Cybersecurity Schema Framework (OCSF) e Apache Parquet.

Pré-requisito: verificar permissões

Para adicionar um Serviço da AWS como fonte no Security Lake, você deve ter as permissões necessárias. Verifique se a política AWS Identity and Access Management (IAM) anexada à função que você usa para adicionar uma fonte tem permissão para realizar as seguintes ações:

É recomendável que a função tenha as seguintes condições e o escopo do recurso para as s3:PutObject permissões S3:getObject e.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}             

Essas ações permitem coletar registros e eventos do an Serviço da AWS e enviá-los para o AWS Glue banco de dados e a tabela corretos.

Se você usar uma AWS KMS chave para criptografia do lado do servidor do seu data lake, também precisará de permissão para. kms:DescribeKey

CloudTrail registros de eventos

AWS CloudTrail fornece um histórico de chamadas de AWS API para sua conta, incluindo chamadas de API feitas usando o AWS Management Console, os AWS SDKs, as ferramentas de linha de comando e determinados AWS serviços. CloudTrail também permite identificar quais usuários e contas chamaram AWS APIs para serviços compatíveis CloudTrail, o endereço IP de origem a partir do qual as chamadas foram feitas e quando as chamadas ocorreram. Para obter mais informações, consulte o AWS CloudTrail Guia de usuário do .

O Security Lake pode coletar registros associados a eventos CloudTrail de gerenciamento e eventos de CloudTrail dados para S3 e Lambda. CloudTrail eventos de gerenciamento, eventos de dados S3 e eventos de dados Lambda são três fontes distintas no Security Lake. Como resultado, eles têm valores diferentes para sourceName quando você adiciona um deles como uma fonte de logs ingeridos. Os eventos de gerenciamento, também conhecidos como eventos do plano de controle, fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos do seu Conta da AWS. CloudTrail eventos de dados, também conhecidos como operações de plano de dados, mostram as operações de recursos realizadas em ou dentro de recursos em seu Conta da AWS. Essas operações geralmente são atividades de alto volume.

Para coletar eventos CloudTrail de gerenciamento no Security Lake, você deve ter pelo menos uma trilha CloudTrail organizacional multirregional que colete eventos de CloudTrail gerenciamento de leitura e gravação. O registro de log deve estar habilitado para a trilha. Se você tiver o registro em log configurado nesses serviços, não precisará alterar sua configuração de registro em log para adicioná-los como fontes de log no Security Lake. O Security Lake extrai dados diretamente desses serviços por meio de um fluxo de eventos independente e duplicado.

Uma trilha de várias regiões fornece arquivos de log de várias regiões para um único bucket do Amazon Simple Storage Service (Amazon S3) para uma única Conta da AWS. Se você já tem uma trilha multirregional gerenciada por meio CloudTrail do console ou AWS Control Tower, nenhuma outra ação é necessária.

Quando você adiciona CloudTrail eventos como fonte, o Security Lake imediatamente começa a coletar seus registros de CloudTrail eventos. Ele consome eventos CloudTrail de gerenciamento e dados diretamente CloudTrail por meio de um fluxo de eventos independente e duplicado.

O Security Lake não gerencia seus CloudTrail eventos nem afeta suas CloudTrail configurações existentes. Para gerenciar o acesso e a retenção de seus CloudTrail eventos diretamente, você deve usar o console CloudTrail de serviço ou a API. Para obter mais informações, consulte Visualização de CloudTrail eventos com histórico de eventos no Guia AWS CloudTrail do usuário.

A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza CloudTrail eventos para OCSF.

Registros de auditoria do Amazon EKS

Quando você adiciona os registros de auditoria do Amazon EKS como fonte, o Security Lake começa a coletar informações detalhadas sobre as atividades realizadas nos recursos do Kubernetes em execução em seus clusters do Elastic Kubernetes Service (EKS). Os registros de auditoria do EKS ajudam você a detectar atividades potencialmente suspeitas em seus clusters do EKS no Amazon Elastic Kubernetes Service.

O Security Lake consome eventos do EKS Audit Log diretamente do recurso de registro do plano de controle do Amazon EKS por meio de um fluxo independente e duplicativo de registros de auditoria. Esse processo foi projetado para não exigir configuração adicional ou afetar as configurações existentes de registro do plano de controle do Amazon EKS que você possa ter. Para obter mais informações, consulte Logs do ambiente de gerenciamento do Amazon EKS no Guia do usuário do Amazon EKS.

Os registros de auditoria do Amazon EKS são compatíveis somente com o OCSF v1.1.0. Para obter informações sobre como o Security Lake normaliza os eventos do EKS Audit Logs para OCSF, consulte a referência de mapeamento no repositório GitHub OCSF para eventos do Amazon EKS Audit Logs (v1.1.0).

Logs de consulta do Route 53 Resolver

Os logs de consulta do Route 53 Resolver rastreiam consultas ao DNS feitas por recursos dentro da sua Amazon Virtual Private Cloud (Amazon VPC). Isso ajuda você a entender como suas aplicações estão operando e a identificar ameaças à segurança.

Quando você adiciona logs de consulta do Route 53 Resolver como fonte no Security Lake, o Security Lake imediatamente começa a coletar seus logs de consulta do Resolver diretamente do Route 53 por meio de um fluxo de eventos independente e duplicado.

O Security Lake não gerencia seus logs do Route 53 nem afeta suas configurações existentes de log de consulta do resolvedor. Para gerenciar logs de consulta do Resolver, é necessário usar o console do Route 53. Para obter mais informações, consulte Como gerenciar configurações de log de consulta do Resolver no Guia do desenvolvedor do Amazon Route 53.

A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza os registros do Route 53 para OCSF.

Descobertas do Security Hub

As descobertas do Security Hub ajudam você a entender sua postura de segurança AWS e permitem que você verifique seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. O Security Hub coleta descobertas de várias fontes, incluindo integrações com outras Serviços da AWS integrações de produtos de terceiros e verificações em relação aos controles do Security Hub. O Security Hub processa as descobertas em um formato padrão chamado AWS Security Finding Format (ASFF).

Quando você adiciona descobertas do Security Hub como fonte no Security Lake, o Security Lake imediatamente começa a coletar suas descobertas diretamente do Security Hub por meio de um fluxo de eventos independente e duplicado. O Security Lake também transforma as descobertas do ASFF para o Open Cybersecurity Schema Framework (OCSF) (OCSF).

O Security Lake não gerencia suas descobertas do Security Hub nem afeta suas configurações do Security Hub. Para gerenciar as descobertas do Security Hub, você deve usar o console de serviço do Security Hub, a API ou AWS CLI. Para mais informações, consulte Descobertas no AWS Security Hub no Guia do usuário do AWS Security Hub .

A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza as descobertas do Security Hub para o OCSF.

Logs de fluxo da VPC

O atributo Logs de fluxo da VPC do Amazon VPC captura informações sobre o tráfego de IP que entra e sai das interfaces de rede do seu ambiente.

Quando você adiciona Logs de fluxo da VPC como fonte no Security Lake, o Security Lake imediatamente começa a coletar seus Logs de fluxo da VPC. Ele consome VPC Flow Logs diretamente da Amazon VPC por meio de um stream independente e duplicado de Flow Logs.

O Security Lake não gerencia seus Logs de fluxo da VPC nem afeta suas configurações da Amazon VPC. Para gerenciar seus Logs de fluxo, você deve usar o console de serviços da Amazon VPC. Para obter mais informações, consulte Trabalhar com Logs de fluxo no Guia do desenvolvedor da Amazon VPC.

A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza os registros de fluxo de VPC para OCSF.

AWS WAF troncos

Quando você adiciona AWS WAF como fonte de registros no Security Lake, o Security Lake imediatamente começa a coletar os registros. AWS WAF é um firewall de aplicativo da web que você pode usar para monitorar as solicitações da web que seus usuários finais enviam aos seus aplicativos e para controlar o acesso ao seu conteúdo. As informações registradas incluem a hora em que AWS WAF recebeu uma solicitação da web do seu AWS recurso, informações detalhadas sobre a solicitação e detalhes sobre as regras às quais a solicitação correspondeu.

O Security Lake consome AWS WAF registros diretamente AWS WAF de um fluxo independente e duplicado de registros. Esse processo foi projetado para não exigir configurações adicionais ou afetar AWS WAF as configurações existentes que você possa ter. Para obter mais informações sobre como você pode usar AWS WAF para proteger os recursos do seu aplicativo, consulte Como AWS WAF funciona no Guia do AWS WAF desenvolvedor.

AWS WAF os registros são suportados somente no OCSF v1.1.0. Para obter informações sobre como o Security Lake normaliza eventos de AWS WAF log para OCSF, consulte a referência de mapeamento no repositório GitHub OCSF para registros (v1.1.0). AWS WAF

Adicionando um Serviço da AWS como fonte

Depois de adicionar um Serviço da AWS como fonte, o Security Lake começa automaticamente a coletar registros e eventos de segurança a partir dele. Essas instruções explicam como adicionar uma fonte com suporte nativo no Serviço da AWS Security Lake. Para obter instruções sobre como adicionar uma fonte personalizada, consulte Coletando dados de fontes personalizadas.

Console

Para adicionar uma fonte de AWS registro (console)

1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

2. Escolha Fontes no painel de navegação.

3. Selecione Serviço da AWS aquele do qual você deseja coletar dados e escolha Configurar.

4. Na seção Configurações da fonte, habilite a fonte e selecione a versão da fonte de dados que você deseja usar para ingestão de dados. Por padrão, a versão mais recente da fonte de dados é ingerida pelo Security Lake.

   Importante

   Se você não tiver as permissões de função necessárias para habilitar a nova versão da fonte de AWS log na região especificada, entre em contato com o administrador do Security Lake. Para obter mais informações, consulte Atualizar permissões de função.

   Para que seus assinantes consumam a versão selecionada da fonte de dados, você também deve atualizar suas configurações de assinante. Para obter detalhes sobre como editar um assinante, consulte Gerenciamento de assinantes no Amazon Security Lake.

   Opcionalmente, você pode optar por ingerir somente a versão mais recente e desativar todas as versões de origem anteriores usadas para ingestão de dados.

5. Na seção Regiões, selecione as regiões nas quais você deseja coletar dados para a fonte. O Security Lake coletará dados da fonte de todas as contas nas regiões selecionadas.

6. Escolha Habilitar.

API

Para adicionar uma fonte de AWS registro (API)

Para adicionar um Serviço da AWS como fonte programaticamente, use a CreateAwsLogSourceoperação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando create-aws-log-source. Os parâmetros sourceName e regions são obrigatórios. Opcionalmente, você pode limitar o escopo da fonte a um específico accounts ou específicosourceVersion.

Importante

Quando você não fornece um parâmetro em seu comando, o Security Lake presume que o parâmetro ausente se refere ao conjunto inteiro. Por exemplo, se você não fornecer o accounts parâmetro, o comando se aplicará a todo o conjunto de contas em sua organização.

O exemplo a seguir adiciona registros de fluxo de VPC como fonte nas contas e regiões designadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

nota

Se você aplicar essa solicitação a uma região na qual não ativou o Security Lake, você receberá uma mensagem de erro. Você pode resolver o erro ativando o Security Lake nessa região ou usando o regions parâmetro para especificar somente as regiões nas quais você ativou o Security Lake.

$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"

Atualizando as permissões da função

Se você não tiver as permissões de função ou os recursos necessários — nova AWS Lambda função e fila do Amazon Simple Queue Service (Amazon SQS) — para ingerir dados de uma nova versão da fonte de dados, você deve atualizar AmazonSecurityLakeMetaStoreManagerV2 suas permissões de função e criar um novo conjunto de recursos para processar dados de suas fontes.

Escolha seu método preferido e siga as instruções para atualizar suas permissões de função e criar novos recursos para processar dados de uma nova versão de uma fonte de AWS log em uma região específica. Essa é uma ação única, pois as permissões e os recursos são aplicados automaticamente às futuras versões da fonte de dados.

Console

Para atualizar as permissões da função (console)

1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

   Faça login com as credenciais do administrador delegado do Security Lake.

2. No painel de navegação, em Configurações, selecione Geral.

3. Escolha Atualizar permissões de função.

4. Na seção Acesso ao serviço, faça o seguinte:

   • Crie e use uma nova função de serviço — Você pode usar a função AmazonSecurityLakeMetaStoreManagerV2 criada pelo Security Lake.

   • Usar uma função de serviço existente — Você pode escolher uma função de serviço existente na lista de nomes da função de serviço.

5. Selecione Apply (Aplicar).

API

Para atualizar as permissões de função (API)

Para atualizar as permissões programaticamente, use a UpdateDataLakeoperação da API Security Lake. Para atualizar as permissões usando o AWS CLI, execute o update-data-lakecomando.

Para atualizar suas permissões de função, você deve anexar a AmazonSecurityLakeMetastoreManagerpolítica à função.

Excluindo a função AmazonSecurityLakeMetaStoreManager

Se você decidir remover a função, primeiro exclua a AmazonSecurityLakeMetaStoreManager função de AWS Lake Formation.

Siga estas etapas para remover a AmazonSecurityLakeMetaStoreManager função do console do Lake Formation.

Removendo um Serviço da AWS como fonte

Escolha seu método de acesso e siga estas etapas para remover uma fonte nativa suportada Serviço da AWS como Security Lake. Você pode remover uma fonte de uma ou mais regiões. Quando você remove a fonte, o Security Lake interrompe a coleta de dados dessa fonte nas regiões e contas especificadas, e os assinantes não podem mais consumir novos dados da fonte. No entanto, os assinantes ainda podem consumir dados que o Security Lake coletou da fonte antes da remoção. Você só pode usar essas instruções para remover uma fonte com suporte nativo Serviço da AWS . Para obter informações sobre como remover uma fonte personalizada, consulte Coletando dados de fontes personalizadas.

Console

1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

2. Escolha Fontes no painel de navegação.

3. Selecione uma fonte e escolha Desabilitar.

4. Selecione uma região ou regiões das quais você deseja parar de coletar dados dessa fonte. O Security Lake deixará de coletar dados da fonte de todas as contas nas regiões selecionadas.

API

Para remover um Serviço da AWS como fonte programaticamente, use a DeleteAwsLogSourceoperação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando delete-aws-log-source. Os parâmetros sourceName e regions são obrigatórios. Opcionalmente, você pode limitar o escopo da remoção a um específico accounts ou específicosourceVersion.

Importante

Quando você não fornece um parâmetro em seu comando, o Security Lake presume que o parâmetro ausente se refere ao conjunto inteiro. Por exemplo, se você não fornecer o accounts parâmetro, o comando se aplicará a todo o conjunto de contas em sua organização.

O exemplo a seguir remove os registros de fluxo da VPC como fonte nas contas e regiões designadas.

$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"                   

O exemplo a seguir remove o Route 53 como fonte na conta e nas regiões designadas.

$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"

Os exemplos anteriores estão formatados para Linux, macOS ou Unix e usam o caractere de continuação de linha com barra invertida (\) para melhorar a legibilidade.

Obter o status da coleção de fontes

Escolha seu método de acesso e siga as etapas para obter uma visão geral das contas e fontes para as quais a coleta de registros está ativada na região atual.

Console

Para obter o status da coleta de registros na região atual

1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

2. No painel de navegação, escolha Contas.

3. Passe o cursor sobre o número na coluna Fontes para ver quais registros estão habilitados para a conta selecionada.

API

Para obter o status da coleta de registros na região atual, use a GetDataLakeSourcesoperação da API Security Lake. Se você estiver usando o AWS CLI, execute o comando get-data-lake-sources. Para o accounts parâmetro, você pode especificar uma ou mais Conta da AWS IDs como uma lista. Se sua solicitação for bem-sucedida, o Security Lake retornará um instantâneo dessas contas na região atual, incluindo de quais AWS fontes o Security Lake está coletando dados e o status de cada fonte. Se você não incluir o accounts parâmetro, a resposta incluirá o status da coleta de registros para todas as contas nas quais o Security Lake está configurado na região atual.

Por exemplo, o AWS CLI comando a seguir recupera o status da coleta de registros para as contas especificadas na região atual. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"