Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Amazon Security Lake
Amazon Security Lake centraliza automáticamente los datos de seguridad de los AWS entornos, los proveedores de software como servicio (SaaS) y las fuentes locales y en la nube en un lago de datos diseñado específicamente y almacenado en su interior. Cuenta de AWS Con Security Lake, puede obtener una comprensión más completa de sus datos de seguridad en toda su organización. Security Lake ha adoptado el Open Cybersecurity Schema Framework (OCSF), un esquema de eventos de seguridad de origen abierto. Gracias a la compatibilidad con OCSF, el servicio normaliza y combina los datos de seguridad procedentes de una amplia gama de AWS fuentes de datos de seguridad empresariales.
AppFabric consideraciones sobre la ingesta de registros de auditoría
Puede incluir sus registros de auditoría de SaaS en Amazon Security Lake Cuenta de AWS añadiendo una fuente personalizada a Security Lake. En las siguientes secciones se describen el esquema AppFabric de salida, el formato de salida y los destinos de salida que se van a usar con Security Lake.
Esquema y formato
Security Lake admite el siguiente esquema y formato de AppFabric salida:
-
OCSF: JSON
-
AppFabric normaliza los datos mediante el Open Cybersecurity Schema Framework (OCSF) y genera los datos en formato JSON.
-
Ubicaciones de salida
Security Lake admite AppFabric como fuente personalizada el uso de un flujo de entrega de Amazon Data Firehose como ubicación de salida de la AppFabric ingesta. Para configurar la AWS Glue tabla y el flujo de entrega de Firehose, así como para configurar una fuente personalizada en Security Lake, utilice los siguientes procedimientos.
Cree una tabla AWS Glue
-
Navegue a Amazon Simple Storage Service (Amazon S3) y cree un bucket con un nombre de su elección.
-
Navega hasta la AWS Glue consola.
-
Para el Catálogo de datos, vaya a la sección Tablas y seleccione Añadir tabla.
-
Introduzca el nombre que desee para esta tabla.
-
Elija el bucket de Amazon S3 que ha creado en el paso 1.
-
Para el formato de datos, seleccione JSON y Siguiente.
-
En la página Elegir o definir esquema, seleccione Editar esquema como JSON.
-
Introduzca el siguiente esquema y complete el proceso de creación de la AWS Glue tabla.
[ { "Name": "activity_id", "Type": "string", "Comment": "" }, { "Name": "activity_name", "Type": "string", "Comment": "" }, { "Name": "actor", "Type": "struct<session:struct<created_time:bigint,uid:string,issuer:string>,user:struct<uid:string,email_addr:string,credential_uid:string,name:string,type:string>>", "Comment": "" }, { "Name": "user", "Type": "struct<uid:string,email_addr:string,credential_uid:string,name:string,type:string>", "Comment": "" }, { "Name": "group", "Type": "struct<uid:string,desc:string,name:string,type:string,privileges:array<string>>", "Comment": "" }, { "Name": "privileges", "Type": "array<string>", "Comment": "" }, { "Name": "web_resources", "Type": "array<struct<type:string,uid:string,name:string,data:struct<current_value:string,previous_value:string>>>" }, { "Name": "http_request", "Type": "struct<http_method:string,user_agent:string,url:string>", "Comment": "" }, { "Name": "auth_protocol", "Type": "string", "Comment": "" }, { "Name": "auth_protocol_id", "Type": "int", "Comment": "" }, { "Name": "category_name", "Type": "string", "Comment": "" }, { "Name": "category_uid", "Type": "string", "Comment": "" }, { "Name": "class_name", "Type": "string", "Comment": "" }, { "Name": "class_uid", "Type": "string", "Comment": "" }, { "Name": "is_mfa", "Type": "boolean", "Comment": "" }, { "Name": "raw_data", "Type": "string", "Comment": "" }, { "Name": "severity", "Type": "string", "Comment": "" }, { "Name": "severity_id", "Type": "int", "Comment": "" }, { "Name": "status", "Type": "string", "Comment": "" }, { "Name": "status_detail", "Type": "string", "Comment": "" }, { "Name": "status_id", "Type": "int", "Comment": "" }, { "Name": "time", "Type": "bigint", "Comment": "" }, { "Name": "type_name", "Type": "string", "Comment": "" }, { "Name": "type_uid", "Type": "string", "Comment": "" }, { "Name": "description", "Type": "string", "Comment": "" }, { "Name": "metadata", "Type": "struct<product:struct<uid:string,vendor_name:string,name:string>,processed_time:string,version:string,uid:string,event_code:string>" }, { "Name": "device", "Type": "struct<uid:string,hostname:string,ip:string,name:string,region:string,type:string,os:struct<name:string,type:string,version:string>,location:struct<coordinates:array<float>,city:string,state:string,country:string,postal_code:string,continent:string,desc:string>>" }, { "Name": "unmapped", "Type": "map<string,string>" } ]
Cómo crear una fuente personalizada en Security Lake
-
Vaya a la consola de Amazon Security Lake.
-
Seleccione Fuentes personalizadas en el panel de navegación.
-
Seleccione Crear acción personalizada.
-
Ingrese un nombre para la fuente personalizada y seleccione una clase de evento de OCSF correspondiente.
nota
AppFabric utiliza las clases de eventos de cambio de cuenta, autenticación, administración de acceso de usuarios, administración de grupos, actividad de recursos web y actividad de acceso a recursos web.
-
Introduzca su Cuenta de AWS ID tanto para el ID como para el Cuenta de AWS ID externo. A continuación, elija Crear.
-
Guarde la ubicación de Amazon S3 de la fuente personalizada. La usarás para configurar una transmisión de entrega de Amazon Data Firehose.
Crea un flujo de entrega en Firehose
-
Navegue hasta la consola Amazon Data Firehose.
-
Elija Crear un flujo de entrega.
-
En Fuente, seleccione PUT directo.
-
Para Destino: elija S3.
-
En la sección Transformar y convertir registros, elija Habilitar la conversión del formato de registro y elija Apache Parquet como formato de salida.
-
Para la AWS Glue tabla, elija la AWS Glue tabla que creó en el procedimiento anterior y elija la versión más reciente.
-
En la Configuración de destino, elija el bucket de Amazon S3 que creó con la fuente personalizada de Security Lake.
-
Para la Partición dinámica, seleccione Activado.
-
Para el Análisis en línea de JSON, seleccione Activado.
-
Para Nombre de clave, introduzca
eventDayValue. -
Para Expresión JQ, introduzca
(.time/1000)|strftime("%Y%m%d").
-
-
Para el Prefijo del bucket S3, introduzca el siguiente valor.
ext/AppFabric/region=<region>/accountId=<account_id>/eventDay=!{partitionKeyFromQuery:eventDayValue}/Sustituya
<region>ypor <account_id>su Cuenta de AWS ID Región de AWS y. -
Para el prefijo de salida del bucket S3, introduzca el siguiente valor.
ext/AppFabric/error/ -
Para la Duración del reintento, seleccione 300.
-
Para el Tamaño del búfer, seleccione 128 MiB.
-
Para el Intervalo del búfer, seleccione 60s.
-
Completa el proceso de creación del flujo de entrega de Firehose.
Crea ingestas AppFabric
Para enviar datos a Amazon Security Lake, debe crear una ingesta en la AppFabric consola que utilice la transmisión de entrega de Firehose que creó anteriormente como ubicación de salida. Para obtener más información sobre cómo configurar AppFabric las ingestiones para usar Firehose como ubicación de salida, consulta Crear una ubicación de salida.
