Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erfassung von Daten von AWS -Services
Amazon Security Lake kann Protokolle und Ereignisse von den folgenden nativ AWS -Services unterstützten Geräten sammeln:
-
AWS CloudTrail Verwaltung und Datenereignisse (S3, Lambda)
-
Auditprotokolle für Amazon Elastic Kubernetes Service (Amazon EKS)
-
Amazon-Route-53-Resolver-Abfrageprotokolle
-
AWS Security Hub Ergebnisse
-
Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle
-
AWS WAF v2-Protokolle
Security Lake wandelt diese Daten automatisch in das Apache Offenes Cybersecurity Schema Framework (OCSF) Parquet-Format um.
Tipp
Um einen oder mehrere der oben genannten Dienste als Protokollquelle in Security Lake hinzuzufügen, müssen Sie die Protokollierung für diese Dienste nicht separat konfigurieren, mit Ausnahme von CloudTrail Verwaltungsereignissen. Wenn Sie die Protokollierung in diesen Diensten konfiguriert haben, müssen Sie Ihre Protokollierungskonfiguration nicht ändern, um sie als Protokollquellen in Security Lake hinzuzufügen. Security Lake ruft Daten über einen unabhängigen und duplizierten Ereignisstrom direkt von diesen Diensten ab.
Voraussetzung: Überprüfen Sie die Berechtigungen
Um eine AWS -Service als Quelle in Security Lake hinzuzufügen, benötigen Sie die erforderlichen Berechtigungen. Stellen Sie sicher, dass die AWS Identity and Access Management (IAM-) Richtlinie, die der Rolle zugeordnet ist, die Sie zum Hinzufügen einer Quelle verwenden, berechtigt ist, die folgenden Aktionen auszuführen:
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:GetDatabase
-
glue:GetTable
-
glue:UpdateTable
iam:CreateServiceLinkedRole
s3:GetObject
s3:PutObject
Es wird empfohlen, dass die Rolle die folgenden Bedingungen und den folgenden Ressourcenbereich für die s3:PutObject
Berechtigungen S3:getObject
und erfüllt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Diese Aktionen ermöglichen es Ihnen, Protokolle und Ereignisse aus dem AN zu sammeln AWS -Service und sie an die richtige AWS Glue Datenbank und Tabelle zu senden.
Wenn Sie einen AWS KMS Schlüssel für die serverseitige Verschlüsselung Ihres Data Lakes verwenden, benötigen Sie auch eine Genehmigung dafürkms:DescribeKey
.
CloudTrail Ereignisprotokolle
AWS CloudTrail bietet Ihnen einen Verlauf der AWS API-Aufrufe für Ihr Konto, einschließlich API-Aufrufe, die mithilfe der AWS SDKs AWS Management Console, der Befehlszeilentools und bestimmter AWS Dienste getätigt wurden. CloudTrail ermöglicht es Ihnen auch, zu ermitteln, welche Benutzer und Konten AWS APIs für unterstützte Dienste aufgerufen haben CloudTrail, von welcher Quell-IP-Adresse aus die Aufrufe getätigt wurden und wann die Aufrufe erfolgten. Weitere Informationen finden Sie im AWS CloudTrail -Benutzerhandbuch.
Security Lake kann Protokolle im Zusammenhang mit CloudTrail Verwaltungsereignissen und CloudTrail Datenereignissen für S3 und Lambda sammeln. CloudTrail Verwaltungsereignisse, S3-Datenereignisse und Lambda-Datenereignisse sind drei separate Quellen in Security Lake. Aus diesem Grund haben sie unterschiedliche Werte, sourceName
wenn Sie einen dieser Werte als aufgenommene Protokollquelle hinzufügen. Verwaltungsereignisse, auch bekannt als Ereignisse auf Kontrollebene, geben Aufschluss über Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS-Konto System ausgeführt werden. CloudTrail Datenereignisse, auch bekannt als Operationen auf Datenebene, zeigen die Ressourcenoperationen, die auf oder innerhalb von Ressourcen in Ihrem System ausgeführt wurden AWS-Konto. Bei diesen Vorgängen handelt es sich häufig um umfangreiche Aktivitäten.
Um CloudTrail Verwaltungsereignisse in Security Lake zu sammeln, benötigen Sie mindestens einen CloudTrail regionsübergreifenden Organisationspfad, der CloudTrail Verwaltungsereignisse mit Lese- und Schreibzugriff sammelt. Die Protokollierung muss für den Trail aktiviert sein. Wenn Sie die Protokollierung in den anderen Diensten konfiguriert haben, müssen Sie Ihre Protokollierungskonfiguration nicht ändern, um sie als Protokollquellen in Security Lake hinzuzufügen. Security Lake ruft Daten über einen unabhängigen und duplizierten Ereignisstrom direkt von diesen Diensten ab.
Ein Trail mit mehreren Regionen liefert Protokolldateien aus mehreren Regionen an einen einzigen Amazon Simple Storage Service (Amazon S3) -Bucket für einen einzigen AWS-Konto. Wenn Sie bereits einen Trail mit mehreren Regionen haben, der über die CloudTrail Konsole oder verwaltet wird AWS Control Tower, sind keine weiteren Maßnahmen erforderlich.
Informationen zum Erstellen und Verwalten eines Trails finden CloudTrail Sie im AWS CloudTrail Benutzerhandbuch unter Erstellen eines Trails für eine Organisation.
-
Informationen zum Erstellen und Verwalten eines AWS Control Tower Trail-Through finden Sie AWS CloudTrail im AWS Control Tower Benutzerhandbuch unter AWS Control Tower Aktionen protokollieren mit.
Wenn Sie CloudTrail Ereignisse als Quelle hinzufügen, beginnt Security Lake sofort mit der Erfassung Ihrer CloudTrail Ereignisprotokolle. Es verarbeitet CloudTrail Verwaltungs- und Datenereignisse direkt aus CloudTrail einem unabhängigen und duplizierten Ereignisstrom.
Security Lake verwaltet Ihre CloudTrail Ereignisse nicht und hat auch keine Auswirkungen auf Ihre bestehenden CloudTrail Konfigurationen. Um den Zugriff und die Aufbewahrung Ihrer CloudTrail Ereignisse direkt zu verwalten, müssen Sie die CloudTrail Servicekonsole oder API verwenden. Weitere Informationen finden Sie im AWS CloudTrail Benutzerhandbuch unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.
Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake CloudTrail Ereignisse auf OCSF normalisiert.
GitHub OCSF-Repository für Ereignisse CloudTrail
-
Quellversion 1 (v1.0.0-rc.2
)
Amazon EKS-Auditprotokolle
Wenn Sie Amazon EKS Audit Logs als Quelle hinzufügen, beginnt Security Lake mit der Erfassung detaillierter Informationen über die Aktivitäten, die auf den Kubernetes-Ressourcen ausgeführt werden, die in Ihren Elastic Kubernetes Service (EKS) -Clustern ausgeführt werden. EKS-Auditprotokolle helfen Ihnen dabei, potenziell verdächtige Aktivitäten in Ihren EKS-Clustern innerhalb des Amazon Elastic Kubernetes Service zu erkennen.
Security Lake verarbeitet EKS-Audit-Log-Ereignisse direkt aus der Protokollierungsfunktion der Amazon EKS-Kontrollebene über einen unabhängigen und duplizierten Stream von Audit-Protokollen. Dieser Prozess ist so konzipiert, dass keine zusätzliche Einrichtung erforderlich ist und sich auch nicht auf bestehende Protokollierungskonfigurationen der Amazon EKS-Steuerungsebene auswirkt, die Sie möglicherweise haben. Weitere Informationen finden Sie unter Protokollierung der Amazon EKS-Kontrollebene im Amazon EKS-Benutzerhandbuch.
Amazon EKS-Auditprotokolle werden nur in OCSF v1.1.0 unterstützt. Informationen darüber, wie Security Lake EKS Audit Logs-Ereignisse auf OCSF normalisiert, finden Sie in der Zuordnungsreferenz im GitHub OCSF-Repository für Amazon EKS Audit Logs-Ereignisse (
Route-53-Resolver-Abfrageprotokolle
Route 53-Resolver-Abfrageprotokolle verfolgen DNS-Abfragen, die von Ressourcen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) gestellt wurden. Auf diese Weise können Sie besser verstehen, wie Ihre Anwendungen funktionieren, und Sicherheitsbedrohungen erkennen.
Wenn Sie Route 53-Resolver-Abfrageprotokolle als Quelle in Security Lake hinzufügen, beginnt Security Lake sofort, Ihre Resolver-Abfrageprotokolle direkt von Route 53 über einen unabhängigen und duplizierten Ereignisstrom zu sammeln.
Security Lake verwaltet Ihre Route 53-Protokolle nicht und hat auch keinen Einfluss auf Ihre bestehenden Resolver-Abfrageprotokollierungskonfigurationen. Um Resolver-Abfrageprotokolle zu verwalten, müssen Sie die Route 53-Servicekonsole verwenden. Weitere Informationen finden Sie unter Managing Resolver Query Logging Configurations im Amazon Route 53 Developer Guide.
Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake Route 53-Protokolle auf OCSF normalisiert.
GitHub OCSF-Repository für Route 53-Protokolle
-
Quellversion 1 (v1.0.0-rc.2
)
Ergebnisse von Security Hub
Die Ergebnisse von Security Hub helfen Ihnen dabei, Ihre Sicherheitslage zu verstehen, AWS und ermöglichen es Ihnen, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Security Hub sammelt Ergebnisse aus verschiedenen Quellen, einschließlich Integrationen mit anderen Produktintegrationen von Drittanbietern AWS -Services, und überprüft sie anhand der Security Hub Hub-Kontrollen. Security Hub verarbeitet Ergebnisse in einem Standardformat namens AWS Security Finding Format (ASFF).
Wenn Sie Security Hub-Ergebnisse als Quelle in Security Lake hinzufügen, beginnt Security Lake sofort, Ihre Ergebnisse über einen unabhängigen und duplizierten Ereignisstrom direkt von Security Hub zu sammeln. Security Lake wandelt auch die Ergebnisse von ASFF in Offenes Cybersecurity Schema Framework (OCSF) (OCSF) um.
Security Lake verwaltet Ihre Security Hub Hub-Ergebnisse nicht und hat auch keinen Einfluss auf Ihre Security Hub Hub-Einstellungen. Um die Security Hub-Ergebnisse zu verwalten, müssen Sie die Security Hub-Servicekonsole, API oder verwenden AWS CLI. Weitere Informationen finden Sie unter Ergebnisse AWS Security Hub im AWS Security Hub Benutzerhandbuch.
Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake Security Hub Hub-Ergebnisse auf OCSF normalisiert.
GitHub OCSF-Repository für Security Hub Hub-Ergebnisse
-
Quellversion 1 (v1.0.0-rc.2
)
VPC Flow Logs
Die VPC Flow Logs-Funktion von Amazon VPC erfasst Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrer Umgebung.
Wenn Sie VPC Flow Logs als Quelle in Security Lake hinzufügen, beginnt Security Lake sofort mit der Erfassung Ihrer VPC Flow Logs. Es verwendet VPC Flow Logs direkt von Amazon VPC über einen unabhängigen und duplizierten Stream von Flow Logs.
Security Lake verwaltet Ihre VPC Flow Logs nicht und hat auch keinen Einfluss auf Ihre Amazon VPC-Konfigurationen. Um Ihre Flow Logs zu verwalten, müssen Sie die Amazon VPC-Servicekonsole verwenden. Weitere Informationen finden Sie unter Arbeiten mit Flow-Protokollen im Amazon VPC Developer Guide.
Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake VPC Flow Logs auf OCSF normalisiert.
GitHub OCSF-Repository für VPC Flow Logs
-
Quellversion 1 (v1.0.0-rc.2)
AWS WAF Logs
Wenn Sie Security Lake AWS WAF als Protokollquelle hinzufügen, beginnt Security Lake sofort mit der Erfassung der Protokolle. AWS WAF ist eine Firewall für Webanwendungen, mit der Sie Webanfragen überwachen können, die Ihre Endbenutzer an Ihre Anwendungen senden, und den Zugriff auf Ihre Inhalte kontrollieren können. Zu den protokollierten Informationen gehören die Uhrzeit, zu der eine Webanfrage von Ihrer AWS Ressource AWS WAF empfangen wurde, detaillierte Informationen zu der Anfrage und Details zu den Regeln, denen die Anfrage entsprach.
Security Lake verarbeitet AWS WAF Protokolle direkt aus einem AWS WAF unabhängigen und duplizierten Protokollstrom. Dieser Prozess ist so konzipiert, dass keine zusätzliche Einrichtung erforderlich ist und sich auch nicht auf bestehende AWS WAF Konfigurationen auswirkt. Weitere Informationen dazu, wie Sie Ihre Anwendungsressourcen schützen können, finden Sie im AWS WAF Entwicklerhandbuch unter So AWS WAF funktioniert es. AWS WAF
Wichtig
Wenn Sie Amazon CloudFront Distribution als Ressourcentyp verwenden AWS WAF, müssen Sie USA Ost (Nord-Virginia) auswählen, um die globalen Protokolle in Security Lake aufzunehmen.
AWS WAF Logs wird nur in OCSF v1.1.0 unterstützt. Informationen darüber, wie Security Lake AWS WAF Log-Ereignisse auf OCSF normalisiert, finden Sie in der Mapping-Referenz im GitHub OCSF-Repository für AWS WAF
Eine als Quelle hinzufügen AWS -Service
Nachdem Sie eine AWS -Service als Quelle hinzugefügt haben, beginnt Security Lake automatisch mit der Erfassung von Sicherheitsprotokollen und Ereignissen aus dieser Quelle. In diesen Anweisungen erfahren Sie, wie Sie eine nativ unterstützte Quelle in AWS -Service Security Lake hinzufügen. Anweisungen zum Hinzufügen einer benutzerdefinierten Quelle finden Sie unter. Sammeln von Daten aus benutzerdefinierten Quellen
Rollenberechtigungen werden aktualisiert
Wenn Sie nicht über die erforderlichen Rollenberechtigungen oder Ressourcen — neue AWS Lambda Funktion und Amazon Simple Queue Service (Amazon SQS) -Warteschlange — verfügen, um Daten aus einer neuen Version der Datenquelle aufzunehmen, müssen Sie Ihre AmazonSecurityLakeMetaStoreManagerV2
Rollenberechtigungen aktualisieren und einen neuen Satz von Ressourcen erstellen, um Daten aus Ihren Quellen zu verarbeiten.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen, um Ihre Rollenberechtigungen zu aktualisieren und neue Ressourcen zu erstellen, um Daten aus einer neuen Version einer AWS Protokollquelle in einer bestimmten Region zu verarbeiten. Dies ist eine einmalige Aktion, da die Berechtigungen und Ressourcen automatisch auf future Datenquellenversionen angewendet werden.
Die AmazonSecurityLakeMetaStoreManager Rolle wird gelöscht
Wichtig
Nachdem Sie Ihre Rollenberechtigungen auf aktualisiert habenAmazonSecurityLakeMetaStoreManagerV2
, stellen Sie sicher, dass der Data Lake ordnungsgemäß funktioniert, bevor Sie die alte AmazonSecurityLakeMetaStoreManager
Rolle entfernen. Es wird empfohlen, mindestens 4 Stunden zu warten, bevor Sie die Rolle entfernen.
Wenn Sie sich entscheiden, die Rolle zu entfernen, müssen Sie zuerst die AmazonSecurityLakeMetaStoreManager
Rolle von AWS Lake Formation löschen.
Gehen Sie wie folgt vor, um die AmazonSecurityLakeMetaStoreManager
Rolle aus der Lake Formation Formation-Konsole zu entfernen.
-
Melden Sie sich bei der AWS Management Console an und öffnen Sie die Lake Formation Formation-Konsole unter https://console.aws.amazon.com/lakeformation/
. -
Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich die Option Administrative Rollen und Aufgaben aus.
-
AmazonSecurityLakeMetaStoreManager
Aus jeder Region entfernen.
AWS -Service Als Quelle entfernen
Wählen Sie Ihre Zugriffsmethode und gehen Sie wie folgt vor, um eine nativ AWS -Service als Security Lake unterstützte Quelle zu entfernen. Sie können eine Quelle für eine oder mehrere Regionen entfernen. Wenn Sie die Quelle entfernen, beendet Security Lake die Erfassung von Daten aus dieser Quelle in den angegebenen Regionen und Konten, und Abonnenten können keine neuen Daten mehr aus der Quelle nutzen. Abonnenten können jedoch weiterhin Daten nutzen, die Security Lake vor dem Entfernen aus der Quelle gesammelt hat. Sie können diese Anweisungen nur verwenden, um eine nativ unterstützte AS-Quelle AWS -Service zu entfernen. Informationen zum Entfernen einer benutzerdefinierten Quelle finden Sie unter. Sammeln von Daten aus benutzerdefinierten Quellen
Den Status der Quellensammlung abrufen
Wählen Sie Ihre Zugriffsmethode und folgen Sie den Schritten, um einen Überblick über die Konten und Quellen zu erhalten, für die die Protokollerfassung in der aktuellen Region aktiviert ist.