

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Security Lake AWS 服務 中從 收集資料
<a name="internal-sources"></a>

Amazon Security Lake 可以從下列原生支援的 收集日誌和事件 AWS 服務：
+ AWS CloudTrail 管理和資料事件 (S3、Lambda)
+ Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌
+ Amazon Route 53 Resolver 查詢日誌
+ AWS Security Hub CSPM 問題清單
+ Amazon Virtual Private Cloud (Amazon VPC) 流程日誌
+ AWS WAF v2 日誌

Security Lake 會自動將此資料轉換為 [Security Lake 中的開放式網路安全結構描述架構 (OCSF)](open-cybersecurity-schema-framework.md)和 Apache Parquet 格式。

**提示**  
 若要在 Security Lake 中將上述一或多個服務新增為日誌來源，*您不需要*單獨設定這些服務的記錄，CloudTrail 管理事件除外。如果您在這些服務中已設定記錄，則*不需要*變更記錄組態，即可在 Security Lake 中將其新增為記錄來源。Security Lake 透過獨立且重複的事件串流，直接從這些服務提取資料。


## 先決條件：驗證許可
<a name="add-internal-sources-permissions"></a>

若要在 Security Lake 中將 新增 AWS 服務 為來源，您必須擁有必要的許可。確認連接至您用來新增來源之角色的 AWS Identity and Access Management (IAM) 政策具有執行下列動作的許可：
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:GetDatabase`
+ `glue:GetTable`
+ `glue:UpdateTable`
+ `iam:CreateServiceLinkedRole`
+ `s3:GetObject`
+ `s3:PutObject`

建議角色具有 和 `S3:getObject``s3:PutObject`許可的下列條件和資源範圍。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}
```

------

這些動作可讓您從 收集日誌和事件 AWS 服務 ，並將其傳送至正確的 AWS Glue 資料庫和資料表。

如果您使用 AWS KMS 金鑰進行資料湖的伺服器端加密，您也需要 的許可`kms:DescribeKey`。

## 新增 AWS 服務 做為來源
<a name="add-internal-sources"></a>

新增 AWS 服務 做為來源後，Security Lake 會自動開始從中收集安全日誌和事件。這些指示說明如何在 Security Lake 中新增原生支援的 AWS 服務 作為來源。如需新增自訂來源的說明，請參閱 [從 Security Lake 中的自訂來源收集資料](custom-sources.md)。

------
#### [ Console ]

**新增 AWS 日誌來源 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) 的 Security Lake 主控台。

1. 從導覽窗格中選擇**來源**。

1. 選取您要從中收集資料 AWS 服務 的 ，然後選擇**設定**。

1. 在**來源設定**區段中，啟用來源，然後選取您要用於資料擷取的資料來源**版本**。根據預設，Security Lake 會擷取最新版本的資料來源。
**重要**  
如果您沒有在指定區域中啟用新版本 AWS 日誌來源所需的角色許可，請聯絡您的 Security Lake 管理員。如需詳細資訊，請參閱[更新角色許可](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions)。

   若要讓訂閱者擷取選取的資料來源版本，您也必須更新訂閱者設定。如需如何編輯訂閱者的詳細資訊，請參閱 [Amazon Security Lake 中的訂閱者管理](https://docs.aws.amazon.com//security-lake/latest/userguide/subscriber-management.html)。

   或者，您可以選擇僅擷取最新版本，並停用用於資料擷取的所有先前來源版本。

1. 在**區域**區段中，選取您要收集來源資料的區域。Security Lake 會從來源收集所選區域中*所有*帳戶的資料。

1. 選擇**啟用**。

------
#### [ API ]

**新增 AWS 日誌來源 (API)**

若要以程式設計方式新增 AWS 服務 做為來源，請使用 Security Lake API 的 [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [create-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-aws-log-source.html) 命令。`sourceName` 和 `regions` 是必要參數。或者，您可以將來源的範圍限制為特定 `accounts`或特定 `sourceVersion`。

**重要**  
當您未在命令中提供參數時，Security Lake 會假設缺少的參數參照整個集合。例如，如果您不提供 `accounts` 參數 ，則 命令會套用至組織中的整組帳戶。

下列範例會將 VPC 流程日誌新增為指定帳戶和區域中的來源。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

**注意**  
如果您將此請求套用至您尚未啟用 Security Lake 的區域，您將會收到錯誤。您可以在該區域中啟用 Security Lake，或使用 `regions` 參數僅指定已啟用 Security Lake 的區域，以解決錯誤。

```
$ aws securitylake create-aws-log-source \
--sources sourceName={{VPC_FLOW}},accounts={{'["123456789012", "111122223333"]'}},regions={{["us-east-2"]}},sourceVersion={{"2.0"}}
```

------

## 取得來源集合的狀態
<a name="get-status-internal-sources"></a>

選擇您的存取方法，並依照步驟取得在目前區域中啟用日誌收集的帳戶和來源快照。

------
#### [ Console ]

**取得目前區域中日誌集合的狀態**

1. 開啟位於 https：//[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) 的 Security Lake 主控台。

1. 在導覽窗格中，選擇**帳戶**。

1. 將游標暫留在**來源欄中的**數字上，以查看為所選帳戶啟用了哪些日誌。

------
#### [ API ]

若要取得目前區域中日誌收集的狀態，請使用 Security Lake API 的 [GetDataLakeSources](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html) 操作。如果您使用的是 AWS CLI，請執行 [get-data-lake-sources](https://docs.aws.amazon.com/cli/latest/reference/securitylake/get-data-lake-sources.html) 命令。對於 `accounts` 參數，您可以將一或多個 AWS 帳戶 IDs 指定為清單。如果您的請求成功，Security Lake 會傳回目前區域中這些帳戶的快照，包括 Security Lake 正在從哪個 AWS 來源收集資料，以及每個來源的狀態。如果您未包含 `accounts` 參數，回應會包含目前區域中設定 Security Lake 之所有帳戶的日誌收集狀態。

例如，下列 AWS CLI 命令會擷取目前區域中指定帳戶的日誌收集狀態。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\\) 行接續字元來改善可讀性。

```
$ aws securitylake get-data-lake-sources \
--accounts "{{123456789012}}" "{{111122223333}}"
```

------

## 移除 AWS 服務 做為來源
<a name="remove-internal-sources"></a>

選擇您的存取方法，並依照下列步驟移除原生支援的 AWS 服務 Security Lake 來源。您可以移除一或多個區域的來源。當您移除來源時，Security Lake 會停止從指定區域和帳戶中的來源收集資料，而且訂閱者無法再從來源取用新資料。不過，訂閱者仍然可以使用 Security Lake 在移除之前從來源收集的資料。您只能使用這些指示來移除原生支援的 AWS 服務 來源。如需移除自訂來源的詳細資訊，請參閱 [從 Security Lake 中的自訂來源收集資料](custom-sources.md)。

------
#### [ Console ]

1. 開啟位於 https：//[https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/) 的 Security Lake 主控台。

1. 從導覽窗格中選擇**來源**。

1. 選取來源，然後選擇**停用**。

1. 選取您要停止從此來源收集資料的 區域。Security Lake 將停止從來源收集所選區域中*所有*帳戶的資料。

------
#### [ API ]

若要以程式設計方式移除 AWS 服務 做為來源，請使用 Security Lake API 的 [DeleteAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteAwsLogSource.html) 操作。如果您使用的是 AWS Command Line Interface (AWS CLI)，請執行 [delete-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-aws-log-source.html) 命令。`sourceName` 和 `regions` 是必要參數。或者，您可以將移除的範圍限制為特定 `accounts`或特定 `sourceVersion`。

**重要**  
當您未在命令中提供參數時，Security Lake 會假設缺少的參數參照整個集合。例如，如果您不提供 `accounts` 參數 ，則 命令會套用至組織中的整組帳戶。

下列範例會移除 VPC 流程日誌，做為指定帳戶和區域中的來源。

```
$ aws securitylake delete-aws-log-source \
--sources sourceName={{VPC_FLOW}},accounts={{'["123456789012", "111122223333"]'}},regions={{'["us-east-1", "us-east-2"]'}},sourceVersion={{"2.0"}}
```

下列範例會移除 Route 53 做為指定帳戶和區域中的來源。

```
$ aws securitylake delete-aws-log-source \
--sources sourceName={{ROUTE53}},accounts={{'["123456789012"]'}},regions={{'["us-east-1", "us-east-2"]'}},sourceVersion={{"2.0"}}
```

上述範例已針對 Linux、macOS 或 Unix 進行格式化，並使用反斜線 (\\) 換行字元來改善可讀性。

------