As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Coletando dados Serviços da AWS do Security Lake
O Amazon Security Lake pode coletar logs e eventos dos seguintes Serviços da AWS com suporte nativo:
-
AWS CloudTrail eventos de gerenciamento e dados (S3, Lambda)
-
Registros de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS)
-
Logs de consulta do Amazon Route 53 Resolver
-
AWS Security Hub descobertas
-
Logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC)
-
AWS WAF registros v2
O Security Lake transforma automaticamente esses dados no formato Estrutura aberta do esquema de segurança cibernética (OCSF) no Security Lake e Apache Parquet.
Para adicionar um ou mais dos serviços anteriores como fonte de log no Security Lake, você não precisa configurar separadamente o registro nesses serviços, exceto nos eventos CloudTrail de gerenciamento. Se você tiver o registro configurado nesses serviços, não precisará alterar sua configuração de registro em log para adicioná-los como fontes de registro no Security Lake. O Security Lake extrai dados diretamente desses serviços por meio de um fluxo de eventos independente e duplicado.
Pré-requisito: verificar permissões
Para adicionar um AWS service (Serviço da AWS) como fonte no Security Lake, você deve ter as permissões necessárias. Verifique se a política AWS Identity and Access Management (IAM) anexada à função que você usa para adicionar uma fonte tem permissão para realizar as seguintes ações:
É recomendável que a função tenha as seguintes condições e o escopo do recurso para as s3:PutObject permissões S3:getObject e.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatingSecurityLakeS3Buckets",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::aws-security-data-lake*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
Essas ações permitem coletar registros e eventos do an AWS service (Serviço da AWS) e enviá-los para o AWS Glue banco de dados e a tabela corretos.
Se você usar uma AWS KMS chave para criptografia do lado do servidor do seu data lake, também precisará de permissão para. kms:DescribeKey
Adicionando um AWS service (Serviço da AWS) como fonte
Depois de adicionar um AWS service (Serviço da AWS) como fonte, o Security Lake começa automaticamente a coletar registros e eventos de segurança a partir dele. Essas instruções explicam como adicionar uma fonte com suporte nativo no AWS service (Serviço da AWS) Security Lake. Para obter instruções sobre como adicionar uma fonte personalizada, consulte Coletando dados de fontes personalizadas no Security Lake.
- Console
-
Para adicionar uma fonte de AWS registro (console)
Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.
-
Escolha Fontes no painel de navegação.
-
Selecione AWS service (Serviço da AWS) aquele do qual você deseja coletar dados e escolha Configurar.
-
Na seção Configurações da fonte, habilite a fonte e selecione a versão da fonte de dados que você deseja usar para ingestão de dados. Por padrão, a versão mais recente da fonte de dados é ingerida pelo Security Lake.
Se você não tiver as permissões de função necessárias para habilitar a nova versão da fonte de AWS log na região especificada, entre em contato com o administrador do Security Lake. Para obter mais informações, consulte Atualizar permissões de função.
Para que seus assinantes consumam a versão selecionada da fonte de dados, você também deve atualizar suas configurações de assinante. Para obter detalhes sobre como editar um assinante, consulte Gerenciamento de assinantes no Amazon Security Lake.
Opcionalmente, você pode optar por ingerir somente a versão mais recente e desativar todas as versões de origem anteriores usadas para ingestão de dados.
-
Na seção Regiões, selecione as regiões nas quais você deseja coletar dados para a fonte. O Security Lake coletará dados da fonte de todas as contas nas regiões selecionadas.
-
Escolha Habilitar.
- API
-
Para adicionar uma fonte de AWS registro (API)
Para adicionar um AWS service (Serviço da AWS) como fonte programaticamente, use a CreateAwsLogSourceoperação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o create-aws-log-sourcecomando. Os parâmetros sourceName e regions são obrigatórios. Opcionalmente, você pode limitar o escopo da fonte a um específico accounts ou específicosourceVersion.
Quando você não fornece um parâmetro em seu comando, o Security Lake presume que o parâmetro ausente se refere ao conjunto inteiro. Por exemplo, se você não fornecer o accounts parâmetro, o comando se aplicará a todo o conjunto de contas em sua organização.
O exemplo a seguir adiciona registros de fluxo de VPC como fonte nas contas e regiões designadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.
Se você aplicar essa solicitação a uma região na qual não ativou o Security Lake, você receberá uma mensagem de erro. Você pode resolver o erro ativando o Security Lake nessa região ou usando o regions parâmetro para especificar somente as regiões nas quais você ativou o Security Lake.
$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"
Obtendo o status da coleção de fontes
Escolha seu método de acesso e siga as etapas para obter uma visão geral das contas e fontes para as quais a coleta de registros está ativada na região atual.
- Console
-
- API
-
Para obter o status da coleta de registros na região atual, use a GetDataLakeSourcesoperação da API Security Lake. Se você estiver usando o AWS CLI, execute o get-data-lake-sourcescomando. Para o accounts parâmetro, você pode especificar um ou mais Conta da AWS IDs como uma lista. Se sua solicitação for bem-sucedida, o Security Lake retornará um instantâneo dessas contas na região atual, incluindo de quais AWS fontes o Security Lake está coletando dados e o status de cada fonte. Se você não incluir o accounts parâmetro, a resposta incluirá o status da coleta de registros para todas as contas nas quais o Security Lake está configurado na região atual.
Por exemplo, o AWS CLI comando a seguir recupera o status da coleta de registros para as contas especificadas na região atual. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
Removendo um AWS service (Serviço da AWS) como fonte
Escolha seu método de acesso e siga estas etapas para remover uma fonte nativa suportada AWS service (Serviço da AWS) como Security Lake. Você pode remover uma fonte de uma ou mais regiões. Quando você remove a fonte, o Security Lake interrompe a coleta de dados dessa fonte nas regiões e contas especificadas, e os assinantes não podem mais consumir novos dados da fonte. No entanto, os assinantes ainda podem consumir dados que o Security Lake coletou da fonte antes da remoção. Você só pode usar essas instruções para remover um AWS service (Serviço da AWS) com suporte nativo como uma fonte. Para obter informações sobre como remover uma fonte personalizada, consulte Coletando dados de fontes personalizadas no Security Lake.
- Console
-
Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.
-
Escolha Fontes no painel de navegação.
-
Selecione uma fonte e escolha Desabilitar.
-
Selecione uma região ou regiões das quais você deseja parar de coletar dados dessa fonte. O Security Lake deixará de coletar dados da fonte de todas as contas nas regiões selecionadas.
- API
-
Para remover um AWS service (Serviço da AWS) como fonte programaticamente, use a DeleteAwsLogSourceoperação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o delete-aws-log-sourcecomando. Os parâmetros sourceName e regions são obrigatórios. Opcionalmente, você pode limitar o escopo da remoção a um específico accounts ou específicosourceVersion.
Quando você não fornece um parâmetro em seu comando, o Security Lake presume que o parâmetro ausente se refere ao conjunto inteiro. Por exemplo, se você não fornecer o accounts parâmetro, o comando se aplicará a todo o conjunto de contas em sua organização.
O exemplo a seguir remove os registros de fluxo da VPC como fonte nas contas e regiões designadas.
$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
O exemplo a seguir remove o Route 53 como fonte na conta e nas regiões designadas.
$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
Os exemplos anteriores estão formatados para Linux, macOS ou Unix e usam o caractere de continuação de linha com barra invertida (\) para melhorar a legibilidade.
