As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Coletando dados de Serviços da AWS
O Amazon Security Lake pode coletar logs e eventos dos seguintes Serviços da AWS com suporte nativo:
-
AWS CloudTrail eventos de gerenciamento e dados (S3, Lambda)
-
Registros de auditoria do Amazon Elastic Kubernetes Service (Amazon EKS)
-
Logs de consulta do Amazon Route 53 Resolver
-
AWS Security Hub descobertas
-
Logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC)
-
AWS WAF registros v2
O Security Lake transforma automaticamente esses dados no formato Open Cybersecurity Schema Framework (OCSF) e Apache Parquet.
dica
Para adicionar um ou mais dos serviços anteriores como fonte de log no Security Lake, você não precisa configurar separadamente o registro nesses serviços, exceto nos eventos CloudTrail de gerenciamento. Se você tiver o registro configurado nesses serviços, não precisará alterar sua configuração de registro em log para adicioná-los como fontes de registro no Security Lake. O Security Lake extrai dados diretamente desses serviços por meio de um fluxo de eventos independente e duplicado.
Pré-requisito: verificar permissões
Para adicionar um Serviço da AWS como fonte no Security Lake, você deve ter as permissões necessárias. Verifique se a política AWS Identity and Access Management (IAM) anexada à função que você usa para adicionar uma fonte tem permissão para realizar as seguintes ações:
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:GetDatabase
-
glue:GetTable
-
glue:UpdateTable
iam:CreateServiceLinkedRole
s3:GetObject
s3:PutObject
É recomendável que a função tenha as seguintes condições e o escopo do recurso para as s3:PutObject
permissões S3:getObject
e.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Essas ações permitem coletar registros e eventos do an Serviço da AWS e enviá-los para o AWS Glue banco de dados e a tabela corretos.
Se você usar uma AWS KMS chave para criptografia do lado do servidor do seu data lake, também precisará de permissão para. kms:DescribeKey
CloudTrail registros de eventos
AWS CloudTrail fornece um histórico de chamadas de AWS API para sua conta, incluindo chamadas de API feitas usando o AWS Management Console, os AWS SDKs, as ferramentas de linha de comando e determinados AWS serviços. CloudTrail também permite identificar quais usuários e contas chamaram AWS APIs para serviços compatíveis CloudTrail, o endereço IP de origem a partir do qual as chamadas foram feitas e quando as chamadas ocorreram. Para obter mais informações, consulte o AWS CloudTrail Guia de usuário do .
O Security Lake pode coletar registros associados a eventos CloudTrail de gerenciamento e eventos de CloudTrail dados para S3 e Lambda. CloudTrail eventos de gerenciamento, eventos de dados S3 e eventos de dados Lambda são três fontes distintas no Security Lake. Como resultado, eles têm valores diferentes para sourceName
quando você adiciona um deles como uma fonte de logs ingeridos. Os eventos de gerenciamento, também conhecidos como eventos do plano de controle, fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos do seu Conta da AWS. CloudTrail eventos de dados, também conhecidos como operações de plano de dados, mostram as operações de recursos realizadas em ou dentro de recursos em seu Conta da AWS. Essas operações geralmente são atividades de alto volume.
Para coletar eventos CloudTrail de gerenciamento no Security Lake, você deve ter pelo menos uma trilha CloudTrail organizacional multirregional que colete eventos de CloudTrail gerenciamento de leitura e gravação. O registro de log deve estar habilitado para a trilha. Se você tiver o registro em log configurado nesses serviços, não precisará alterar sua configuração de registro em log para adicioná-los como fontes de log no Security Lake. O Security Lake extrai dados diretamente desses serviços por meio de um fluxo de eventos independente e duplicado.
Uma trilha de várias regiões fornece arquivos de log de várias regiões para um único bucket do Amazon Simple Storage Service (Amazon S3) para uma única Conta da AWS. Se você já tem uma trilha multirregional gerenciada por meio CloudTrail do console ou AWS Control Tower, nenhuma outra ação é necessária.
Para obter informações sobre como criar e gerenciar uma trilha CloudTrail, consulte Criação de uma trilha para uma organização no Guia AWS CloudTrail do usuário.
-
Para obter informações sobre como criar e gerenciar uma trilha AWS Control Tower, consulte Registrar AWS Control Tower ações AWS CloudTrail no Guia do AWS Control Tower usuário.
Quando você adiciona CloudTrail eventos como fonte, o Security Lake imediatamente começa a coletar seus registros de CloudTrail eventos. Ele consome eventos CloudTrail de gerenciamento e dados diretamente CloudTrail por meio de um fluxo de eventos independente e duplicado.
O Security Lake não gerencia seus CloudTrail eventos nem afeta suas CloudTrail configurações existentes. Para gerenciar o acesso e a retenção de seus CloudTrail eventos diretamente, você deve usar o console CloudTrail de serviço ou a API. Para obter mais informações, consulte Visualização de CloudTrail eventos com histórico de eventos no Guia AWS CloudTrail do usuário.
A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza CloudTrail eventos para OCSF.
GitHub Repositório OCSF para eventos CloudTrail
-
Versão de origem 1 (v1.0.0-rc.2
) -
Versão de origem 2 (v1.1.0)
Registros de auditoria do Amazon EKS
Quando você adiciona os registros de auditoria do Amazon EKS como fonte, o Security Lake começa a coletar informações detalhadas sobre as atividades realizadas nos recursos do Kubernetes em execução em seus clusters do Elastic Kubernetes Service (EKS). Os registros de auditoria do EKS ajudam você a detectar atividades potencialmente suspeitas em seus clusters do EKS no Amazon Elastic Kubernetes Service.
O Security Lake consome eventos do EKS Audit Log diretamente do recurso de registro do plano de controle do Amazon EKS por meio de um fluxo independente e duplicativo de registros de auditoria. Esse processo foi projetado para não exigir configuração adicional ou afetar as configurações existentes de registro do plano de controle do Amazon EKS que você possa ter. Para obter mais informações, consulte Logs do ambiente de gerenciamento do Amazon EKS no Guia do usuário do Amazon EKS.
Os registros de auditoria do Amazon EKS são compatíveis somente com o OCSF v1.1.0. Para obter informações sobre como o Security Lake normaliza os eventos do EKS Audit Logs para OCSF, consulte a referência de mapeamento no repositório GitHub OCSF para eventos do Amazon EKS Audit
Logs de consulta do Route 53 Resolver
Os logs de consulta do Route 53 Resolver rastreiam consultas ao DNS feitas por recursos dentro da sua Amazon Virtual Private Cloud (Amazon VPC). Isso ajuda você a entender como suas aplicações estão operando e a identificar ameaças à segurança.
Quando você adiciona logs de consulta do Route 53 Resolver como fonte no Security Lake, o Security Lake imediatamente começa a coletar seus logs de consulta do Resolver diretamente do Route 53 por meio de um fluxo de eventos independente e duplicado.
O Security Lake não gerencia seus logs do Route 53 nem afeta suas configurações existentes de log de consulta do resolvedor. Para gerenciar logs de consulta do Resolver, é necessário usar o console do Route 53. Para obter mais informações, consulte Como gerenciar configurações de log de consulta do Resolver no Guia do desenvolvedor do Amazon Route 53.
A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza os registros do Route 53 para OCSF.
GitHub Repositório OCSF para registros do Route 53
-
Versão de origem 1 (v1.0.0-rc.2
) -
Versão de origem 2 (v1.1.0)
Descobertas do Security Hub
As descobertas do Security Hub ajudam você a entender sua postura de segurança AWS e permitem que você verifique seu ambiente de acordo com os padrões e as melhores práticas do setor de segurança. O Security Hub coleta descobertas de várias fontes, incluindo integrações com outras Serviços da AWS integrações de produtos de terceiros e verificações em relação aos controles do Security Hub. O Security Hub processa as descobertas em um formato padrão chamado AWS Security Finding Format (ASFF).
Quando você adiciona descobertas do Security Hub como fonte no Security Lake, o Security Lake imediatamente começa a coletar suas descobertas diretamente do Security Hub por meio de um fluxo de eventos independente e duplicado. O Security Lake também transforma as descobertas do ASFF para o Open Cybersecurity Schema Framework (OCSF) (OCSF).
O Security Lake não gerencia suas descobertas do Security Hub nem afeta suas configurações do Security Hub. Para gerenciar as descobertas do Security Hub, você deve usar o console de serviço do Security Hub, a API ou AWS CLI. Para mais informações, consulte Descobertas no AWS Security Hub no Guia do usuário do AWS Security Hub .
A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza as descobertas do Security Hub para o OCSF.
GitHub Repositório OCSF para descobertas do Security Hub
-
Versão de origem 1 (v1.0.0-rc.2
) -
Versão de origem 2 (v1.1.0)
Logs de fluxo da VPC
O atributo Logs de fluxo da VPC do Amazon VPC captura informações sobre o tráfego de IP que entra e sai das interfaces de rede do seu ambiente.
Quando você adiciona Logs de fluxo da VPC como fonte no Security Lake, o Security Lake imediatamente começa a coletar seus Logs de fluxo da VPC. Ele consome VPC Flow Logs diretamente da Amazon VPC por meio de um stream independente e duplicado de Flow Logs.
O Security Lake não gerencia seus Logs de fluxo da VPC nem afeta suas configurações da Amazon VPC. Para gerenciar seus Logs de fluxo, você deve usar o console de serviços da Amazon VPC. Para obter mais informações, consulte Trabalhar com Logs de fluxo no Guia do desenvolvedor da Amazon VPC.
A lista a seguir fornece links de GitHub repositório para a referência de mapeamento de como o Security Lake normaliza os registros de fluxo de VPC para OCSF.
GitHub Repositório OCSF para registros de fluxo de VPC
-
Versão de origem 1 (v1.0.0-rc.2
) -
Versão de origem 2 (v1.1.0)
AWS WAF troncos
Quando você adiciona AWS WAF como fonte de registros no Security Lake, o Security Lake imediatamente começa a coletar os registros. AWS WAF é um firewall de aplicativo da web que você pode usar para monitorar as solicitações da web que seus usuários finais enviam aos seus aplicativos e para controlar o acesso ao seu conteúdo. As informações registradas incluem a hora em que AWS WAF recebeu uma solicitação da web do seu AWS recurso, informações detalhadas sobre a solicitação e detalhes sobre as regras às quais a solicitação correspondeu.
O Security Lake consome AWS WAF registros diretamente AWS WAF de um fluxo independente e duplicado de registros. Esse processo foi projetado para não exigir configurações adicionais ou afetar AWS WAF as configurações existentes que você possa ter. Para obter mais informações sobre como você pode usar AWS WAF para proteger os recursos do seu aplicativo, consulte Como AWS WAF funciona no Guia do AWS WAF desenvolvedor.
Importante
Se você estiver usando a CloudFront distribuição da Amazon como tipo de recurso AWS WAF, deverá selecionar Leste dos EUA (Norte da Virgínia) para ingerir os registros globais no Security Lake.
AWS WAF os registros são suportados somente no OCSF v1.1.0. Para obter informações sobre como o Security Lake normaliza eventos de AWS WAF log para OCSF, consulte a referência de mapeamento no repositório GitHub OCSF
Adicionando um Serviço da AWS como fonte
Depois de adicionar um Serviço da AWS como fonte, o Security Lake começa automaticamente a coletar registros e eventos de segurança a partir dele. Essas instruções explicam como adicionar uma fonte com suporte nativo no Serviço da AWS Security Lake. Para obter instruções sobre como adicionar uma fonte personalizada, consulte Coletando dados de fontes personalizadas.
Atualizando as permissões da função
Se você não tiver as permissões de função ou os recursos necessários — nova AWS Lambda função e fila do Amazon Simple Queue Service (Amazon SQS) — para ingerir dados de uma nova versão da fonte de dados, você deve atualizar AmazonSecurityLakeMetaStoreManagerV2
suas permissões de função e criar um novo conjunto de recursos para processar dados de suas fontes.
Escolha seu método preferido e siga as instruções para atualizar suas permissões de função e criar novos recursos para processar dados de uma nova versão de uma fonte de AWS log em uma região específica. Essa é uma ação única, pois as permissões e os recursos são aplicados automaticamente às futuras versões da fonte de dados.
Excluindo a função AmazonSecurityLakeMetaStoreManager
Importante
Depois de atualizar suas permissões de função paraAmazonSecurityLakeMetaStoreManagerV2
, confirme se o data lake funciona corretamente antes de remover a AmazonSecurityLakeMetaStoreManager
função antiga. Recomenda-se esperar pelo menos 4 horas antes de remover a função.
Se você decidir remover a função, primeiro exclua a AmazonSecurityLakeMetaStoreManager
função de AWS Lake Formation.
Siga estas etapas para remover a AmazonSecurityLakeMetaStoreManager
função do console do Lake Formation.
-
Faça login no AWS Management Console e abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/
. -
No console do Lake Formation, no painel de navegação, escolha Funções e tarefas administrativas.
-
Remova
AmazonSecurityLakeMetaStoreManager
de cada região.
Removendo um Serviço da AWS como fonte
Escolha seu método de acesso e siga estas etapas para remover uma fonte nativa suportada Serviço da AWS como Security Lake. Você pode remover uma fonte de uma ou mais regiões. Quando você remove a fonte, o Security Lake interrompe a coleta de dados dessa fonte nas regiões e contas especificadas, e os assinantes não podem mais consumir novos dados da fonte. No entanto, os assinantes ainda podem consumir dados que o Security Lake coletou da fonte antes da remoção. Você só pode usar essas instruções para remover uma fonte com suporte nativo Serviço da AWS . Para obter informações sobre como remover uma fonte personalizada, consulte Coletando dados de fontes personalizadas.
Obter o status da coleção de fontes
Escolha seu método de acesso e siga as etapas para obter uma visão geral das contas e fontes para as quais a coleta de registros está ativada na região atual.