Recopilación de datos de AWS services

Amazon Security Lake puede recopilar registros y eventos de los siguientes AWS services compatibles de forma nativa:

• AWS CloudTrail eventos de administración y datos (S3, Lambda)

• Registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS)

• Registros de consultas de Amazon Route 53 Resolver

• AWS Security Hub conclusiones

• Registros de flujo de Amazon Virtual Private Cloud (Amazon VPC)

• AWS WAF registros v2

Security Lake transforma automáticamente estos datos a Open Cybersecurity Schema Framework (OCSF) y al formato Apache Parquet.

sugerencia

Para agregar uno o más de los servicios anteriores como fuente de registro en Security Lake, no necesita configurar el registro de estos servicios por separado, excepto en los eventos CloudTrail de administración. Si tiene el registro configurado en estos servicios, no necesita cambiar la configuración de registro para añadirlos como fuentes de registro en Security Lake. Security Lake extrae los datos directamente de estos servicios a través de un flujo de eventos independiente y duplicado.

Prerrequisito: verificar permisos

Para añadir un AWS service como fuente en Security Lake, debe tener los permisos necesarios. Compruebe que la política AWS Identity and Access Management (IAM) asociada a la función que utilice para añadir una fuente tenga permiso para realizar las siguientes acciones:

• glue:CreateDatabase

• glue:CreateTable

• glue:GetDatabase

• glue:GetTable

• glue:UpdateTable

• iam:CreateServiceLinkedRole

• s3:GetObject

• s3:PutObject

Se recomienda que el rol tenga las siguientes condiciones y alcance de recursos para los s3:PutObject permisos S3:getObject y.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}             

Estas acciones le permiten recopilar registros y eventos de la an AWS service y enviarlos a la AWS Glue base de datos y tabla correctas.

Si utiliza una AWS KMS clave para cifrar su lago de datos desde el servidor, también necesitará permiso para hacerlo. kms:DescribeKey

CloudTrail registros de eventos

AWS CloudTrail te proporciona un historial de las llamadas a la AWS API de tu cuenta, incluidas las llamadas a la AWS Management Console API realizadas con los AWS SDK, las herramientas de línea de comandos y determinados AWS servicios. CloudTrail también te permite identificar qué usuarios y cuentas llamaron a AWS las API de los servicios compatibles CloudTrail, la dirección IP de origen desde la que se realizaron las llamadas y cuándo se produjeron. Para obtener más información, consulte la Guía del usuario de AWS CloudTrail.

Security Lake puede recopilar registros asociados a eventos CloudTrail de administración y eventos de CloudTrail datos para S3 y Lambda. CloudTrail los eventos de administración, los eventos de datos de S3 y los eventos de datos de Lambda son tres fuentes independientes en Security Lake. Como resultado, tienen valores diferentes para sourceName cuando se agrega uno de ellos como origen de registro ingerido. Los eventos de administración, también conocidos como eventos del plano de control, proporcionan información sobre las operaciones de administración que se llevan a cabo con los recursos de su Cuenta de AWS empresa. CloudTrail los eventos de datos, también conocidos como operaciones del plano de datos, muestran las operaciones de recursos realizadas en sus recursos o dentro de ellos Cuenta de AWS. Estas operaciones suelen ser actividades de gran volumen.

Para recopilar los eventos CloudTrail de administración en Security Lake, debe tener al menos un registro organizativo CloudTrail multirregional que recopile los eventos de CloudTrail administración de lectura y escritura. El registro debe estar habilitado para el registro de seguimiento. Si tiene el registro configurado en los otros servicios, no necesita cambiar la configuración de registro para añadirlos como fuentes de registro en Security Lake. Security Lake extrae los datos directamente de estos servicios a través de un flujo de eventos independiente y duplicado.

Un seguimiento de múltiples regiones distribuye los archivos de registro desde múltiples regiones a un único bucket de Amazon Simple Storage Service (Amazon S3) para una única Cuenta de AWS. Si ya tiene un registro multirregional gestionado a través de la CloudTrail consola o AWS Control Tower, no es necesario realizar ninguna otra acción.

• Para obtener información sobre la creación y la gestión de un recorrido CloudTrail, consulte Creación de un sendero para una organización en la Guía del AWS CloudTrail usuario.

• Para obtener información sobre la creación y la gestión de un recorrido AWS Control Tower, consulte Registrar AWS Control Tower acciones con él AWS CloudTrail en la Guía del AWS Control Tower usuario.

Cuando agrega CloudTrail eventos como fuente, Security Lake comienza inmediatamente a recopilar sus registros de CloudTrail eventos. Consume los eventos CloudTrail de administración y datos directamente CloudTrail a través de un flujo de eventos independiente y duplicado.

Security Lake no administra sus CloudTrail eventos ni afecta a sus CloudTrail configuraciones existentes. Para administrar el acceso y la retención de sus CloudTrail eventos directamente, debe usar la consola de CloudTrail servicio o la API. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos en la Guía del AWS CloudTrail usuario.

La siguiente lista proporciona enlaces de GitHub repositorios a la referencia cartográfica sobre cómo Security Lake normaliza CloudTrail los eventos según el OCSF.

GitHub Repositorio de eventos de OCSF CloudTrail

• Versión de origen 1 (v1.0.0-rc.2)

• Versión de origen 2 (v1.1.0)

Registros de auditoría de Amazon EKS

Cuando agrega Amazon EKS Audit Logs como fuente, Security Lake comienza a recopilar información detallada sobre las actividades realizadas en los recursos de Kubernetes que se ejecutan en sus clústeres de Elastic Kubernetes Service (EKS). Los registros de auditoría de EKS le ayudan a detectar actividades potencialmente sospechosas en sus clústeres de EKS dentro de Amazon Elastic Kubernetes Service.

Security Lake consume los eventos del registro de auditoría de EKS directamente desde la función de registro del plano de control de Amazon EKS a través de un flujo independiente y duplicado de registros de auditoría. Este proceso está diseñado para no requerir una configuración adicional ni afectar a las configuraciones de registro del plano de control de Amazon EKS existentes que pueda tener. Para obtener más información, consulte Registros del plano de control del clúster de Amazon EKS en la Guía del usuario de Amazon EKS.

Los registros de auditoría de Amazon EKS solo se admiten en OCSF v1.1.0. Para obtener información sobre cómo Security Lake normaliza los eventos de registros de auditoría de EKS a OCSF, consulte la referencia de mapeo en el repositorio de GitHub OCSF para los eventos de registros de auditoría de Amazon EKS (v1.1.0).

Registros de consultas de Route 53 Resolver

Los registros de consultas de Route 53 Resolver rastrean las consultas de DNS realizadas por los recursos dentro de Amazon Virtual Private Cloud (Amazon VPC). Esto le ayuda a entender cómo funcionan sus aplicaciones y a detectar las amenazas de seguridad.

Cuando agrega los registros de consultas de resolución de Route 53 como origen en Security Lake, Security Lake comienza inmediatamente a recopilar los registros de consultas de resolución directamente desde Route 53 a través de un flujo de eventos independiente y duplicado.

Security Lake no administra los registros de Route 53 ni afecta a las configuraciones de registro de consultas de los solucionadores existentes. Para administrar los registros de consultas de resolución, debe utilizar la consola de servicio de Route 53. Para obtener más información, consulte Administración del registro de consultas de Resolver en la Guía para desarrolladores de Amazon Route 53.

La siguiente lista proporciona enlaces de GitHub repositorios a la referencia de mapeo sobre cómo Security Lake normaliza los registros de Route 53 a OCSF.

GitHub Repositorio de OCSF para los registros de Route 53

• Versión de origen 1 (v1.0.0-rc.2)

• Versión de origen 2 (v1.1.0)

Resultados de Security Hub

Las conclusiones de Security Hub le ayudan a entender su postura de seguridad AWS y le permiten comparar su entorno con los estándares y las mejores prácticas del sector de la seguridad. Security Hub recopila las conclusiones de diversas fuentes, incluidas las integraciones con otras integraciones de productos de terceros AWS services, y las compara con los controles de Security Hub. Security Hub procesa las conclusiones en un formato estándar denominado AWS Security Finding Format (ASFF).

Cuando agrega los resultados de Security Hub como origen en Security Lake, Security Lake comienza inmediatamente a recopilar sus resultados directamente desde Security Hub a través de un flujo de eventos independiente y duplicado. Security Lake también transforma los resultados de ASFF a Open Cybersecurity Schema Framework (OCSF) (OCSF).

Security Lake no gestiona los resultados de Security Hub ni afecta a la configuración de Security Hub. Para gestionar las conclusiones de Security Hub, debe utilizar la consola del servicio Security Hub, la API o AWS CLI. Para obtener más información, consulte Resultados en AWS Security Hub en la Guía del usuario de AWS Security Hub .

La siguiente lista proporciona enlaces de GitHub repositorios a la referencia de mapeo sobre cómo Security Lake normaliza los hallazgos de Security Hub a OCSF.

GitHub Repositorio OCSF para los hallazgos de Security Hub

• Versión de origen 1 (v1.0.0-rc.2)

• Versión de origen 2 (v1.1.0)

Logs de flujo de VPC

La característica de los registros de flujo de Amazon VPC captura información sobre el tráfico IP entrante y saliente de las interfaces de red de su entorno de VPC.

Cuando agrega registros de flujo de VPC como origen en Security Lake, Security Lake comienza inmediatamente a recopilar sus registros de flujo de VPC. Consume los registros de flujo de VPC directamente desde Amazon VPC a través de un flujo de registros de flujo independiente y duplicado.

Security Lake no administra los registros de flujo de VPC ni afecta a las configuraciones de Amazon VPC. Para administrar sus registros de flujo, debe utilizar la consola de servicio de Amazon VPC. Para obtener más información, consulte Uso de registros de flujo en la Guía para desarrolladores de Amazon VPC.

La siguiente lista proporciona enlaces de GitHub repositorios a la referencia de mapeo sobre cómo Security Lake normaliza los registros de flujo de VPC a OCSF.

GitHub Repositorio OCSF para registros de flujo de VPC

• Versión de origen 1 (v1.0.0-rc.2)

• Versión de origen 2 (v1.1.0)

AWS WAF registros

Cuando se agrega AWS WAF como fuente de registros en Security Lake, Security Lake comienza a recopilar los registros inmediatamente. AWS WAF es un firewall de aplicaciones web que puede utilizar para supervisar las solicitudes web que los usuarios finales envían a sus aplicaciones y para controlar el acceso a su contenido. La información registrada incluye la hora en que se AWS WAF recibió una solicitud web de su AWS recurso, información detallada sobre la solicitud y detalles sobre las reglas con las que coincidió la solicitud.

Security Lake consume AWS WAF los registros directamente AWS WAF a través de un flujo de registros independiente y duplicado. Este proceso está diseñado para no requerir una configuración adicional ni afectar a AWS WAF las configuraciones existentes que pueda tener. Para obtener más información sobre cómo AWS WAF proteger los recursos de la aplicación, consulte Cómo AWS WAF funciona en la Guía para AWS WAF desarrolladores.

importante

Si utilizas la CloudFront distribución de Amazon como tipo de recurso AWS WAF, debes seleccionar US East (Virginia del Norte) para ingerir los registros globales de Security Lake.

AWS WAF Los registros solo se admiten en OCSF v1.1.0. Para obtener información sobre cómo Security Lake normaliza los eventos de AWS WAF registro a OCSF, consulte la referencia de mapeo en el repositorio de registros de GitHub OCSF (v1.1.0). AWS WAF

Añadir un como fuente AWS service

Después de agregar una AWS service como fuente, Security Lake comienza a recopilar automáticamente los registros de seguridad y los eventos de esa fuente. Estas instrucciones le indican cómo agregar una fuente compatible de forma nativa AWS service en Security Lake. Para obtener instrucciones sobre cómo añadir un origen personalizado, consulte Recopilación de datos de orígenes personalizados.

Console

Para agregar una fuente de AWS registro (consola)

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

2. En el panel de navegación, elija Orígenes.

3. Seleccione la AWS service fuente de la que desee recopilar datos y elija Configurar.

4. En la sección Configuración de la fuente, habilite la fuente y seleccione la versión de la fuente de datos que desee usar para la ingesta de datos. De forma predeterminada, Security Lake ingiere la última versión de la fuente de datos.

   importante

   Si no tiene los permisos de rol necesarios para habilitar la nueva versión de la fuente de AWS registro en la región especificada, póngase en contacto con el administrador de Security Lake. Para obtener más información, consulte Actualizar los permisos de los roles.

   Para que sus suscriptores ingieran la versión seleccionada de la fuente de datos, también debe actualizar la configuración de los suscriptores. Para obtener más información sobre cómo editar un suscriptor, consulte Administración de suscriptores en Amazon Security Lake.

   Si lo desea, puede optar por ingerir solo la versión más reciente y deshabilitar todas las versiones de origen anteriores utilizadas para la ingesta de datos.

5. En la sección Regiones, seleccione las regiones en las que desee recopilar datos para la fuente. Security Lake recopilará datos del origen de todas las cuentas de las regiones seleccionadas.

6. Elija Habilitar.

API

Para añadir una fuente de AWS registro (API)

Para añadir una fuente AWS service como fuente mediante programación, utilice la CreateAwsLogSourceoperación de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando create-aws-log-source. Los parámetros sourceName y regions son obligatorios. Si lo desea, puede limitar el alcance de la fuente a algo específico o a uno específico. accounts sourceVersion

importante

Si no proporciona un parámetro en el comando, Security Lake asume que el parámetro que falta se refiere a todo el conjunto. Por ejemplo, si no proporciona el accounts parámetro, el comando se aplica a todo el conjunto de cuentas de la organización.

En el siguiente ejemplo, se agregan registros de flujo de VPC como fuente en las cuentas y regiones designadas. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

nota

Si aplicas esta solicitud a una región en la que no has activado Security Lake, recibirás un error. Puede resolver el error habilitando Security Lake en esa región o utilizando el regions parámetro para especificar solo las regiones en las que ha activado Security Lake.

$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"

Actualización de los permisos de los roles

Si no tiene los permisos o recursos de rol necesarios (nueva AWS Lambda función y cola de Amazon Simple Queue Service (Amazon SQS)) para ingerir datos de una nueva versión de la fuente de datos, debe actualizar los permisos de AmazonSecurityLakeMetaStoreManagerV2 su rol y crear un nuevo conjunto de recursos para procesar los datos de sus fuentes.

Elija el método que prefiera y siga las instrucciones para actualizar los permisos de su rol y crear nuevos recursos para procesar los datos de una nueva versión de una fuente de AWS registro en una región específica. Se trata de una acción que se realiza una sola vez, ya que los permisos y los recursos se aplican automáticamente a futuras versiones de fuentes de datos.

Console

Para actualizar los permisos de los roles (consola)

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

   Inicie sesión con las credenciales del administrador delegado de Security Lake.

2. En el panel de navegación, en Configuración, seleccione General.

3. Seleccione Actualizar permisos de rol.

4. En la sección Acceso al servicio, realice una de las siguientes acciones:

   • Crear y usar un nuevo rol de servicio: puede usar el rol AmazonSecurityLakeMetaStoreManagerV2 creado por Security Lake.

   • Use un rol de servicio existente: puede elegir un rol de servicio existente de la lista de nombres del rol de servicio.

5. Seleccione Apply.

API

Para actualizar los permisos del rol (API)

Para actualizar los permisos mediante programación, utilice la UpdateDataLakeoperación de la API de Security Lake. Para actualizar los permisos mediante el AWS CLI, ejecute el update-data-lakecomando.

Para actualizar los permisos de su rol, debe adjuntar la AmazonSecurityLakeMetastoreManagerpolítica al rol.

Eliminar el AmazonSecurityLakeMetaStoreManager rol

importante

Tras actualizar los permisos del rol aAmazonSecurityLakeMetaStoreManagerV2, confirme que el lago de datos funciona correctamente antes de eliminar el AmazonSecurityLakeMetaStoreManager rol anterior. Se recomienda esperar al menos 4 horas antes de eliminar el rol.

Si decide eliminar el rol, primero debe eliminarlo de AmazonSecurityLakeMetaStoreManager AWS Lake Formation.

Siga estos pasos para eliminar el AmazonSecurityLakeMetaStoreManager rol de la consola de Lake Formation.

1. Inicie sesión en la AWS Management Console consola de Lake Formation y ábrala en https://console.aws.amazon.com/lakeformation/.

2. En la consola de Lake Formation, en el panel de navegación, elija Funciones y tareas administrativas.

3. Eliminar AmazonSecurityLakeMetaStoreManager de cada región.

Eliminar un AWS service como fuente

Elija su método de acceso y siga estos pasos para eliminar una fuente de Security Lake compatible de forma nativa AWS service . Puede eliminar un origen de una o más regiones. Al eliminar el origen, Security Lake deja de recopilar datos de ese origen en las regiones y cuentas especificadas, y los suscriptores ya no pueden consumir nuevos datos del origen. Sin embargo, los suscriptores pueden seguir consumiendo los datos que Security Lake recopiló del origen antes de la eliminación. Solo puedes usar estas instrucciones para eliminar como fuente una fuente compatible de forma nativa. AWS service Para obtener información acerca de cómo eliminar un origen personalizado, consulte Recopilación de datos de orígenes personalizados.

Console

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

2. En el panel de navegación, elija Orígenes.

3. Seleccione un origen y elija Desactivar.

4. Seleccione una o varias regiones en las que desee dejar de recopilar datos de este origen. Security Lake dejará de recopilar datos del origen de todas las cuentas de las regiones seleccionadas.

API

Para eliminar un AWS service como fuente mediante programación, utilice el DeleteAwsLogSourcefuncionamiento de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando delete-aws-log-source. Los parámetros sourceName y regions son obligatorios. Si lo desea, puede limitar el alcance de la eliminación a algo específico o a uno específico. accounts sourceVersion

importante

Si no proporciona un parámetro en el comando, Security Lake asume que el parámetro que falta se refiere a todo el conjunto. Por ejemplo, si no proporciona el accounts parámetro, el comando se aplica a todo el conjunto de cuentas de la organización.

En el siguiente ejemplo, se eliminan los registros de flujo de VPC como fuente en las cuentas y regiones designadas.

$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"                   

En el siguiente ejemplo, se elimina Route 53 como fuente en la cuenta y las regiones designadas.

$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"

Los ejemplos anteriores están formateados para Linux, macOS o Unix y utilizan el carácter de continuación de línea con barra invertida (\) para mejorar la legibilidad.

Obtener el estado de la colección de fuentes

Elija su método de acceso y siga los pasos para obtener una instantánea de las cuentas y fuentes para las que está habilitada la recopilación de registros en la región actual.

Console

Para obtener el estado de la recopilación de registros en la región actual

1. Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.

2. En el panel de navegación, elija Cuentas.

3. Pase el cursor sobre el número de la columna Fuentes para ver qué registros están habilitados para la cuenta seleccionada.

API

Para obtener el estado de la recopilación de registros en la región actual, utilice el GetDataLakeSourcesfuncionamiento de la API de Security Lake. Si está utilizando el AWS CLI, ejecute el comando get-data-lake-sources. Para el accounts parámetro, puede especificar uno o más Cuenta de AWS ID en forma de lista. Si su solicitud es correcta, Security Lake devolverá una instantánea de las cuentas de la región actual, incluidas AWS las fuentes de las que Security Lake recopila datos y el estado de cada fuente. Si no incluye el accounts parámetro, la respuesta incluye el estado de la recopilación de registros de todas las cuentas en las que Security Lake está configurado en la región actual.

Por ejemplo, el siguiente AWS CLI comando recupera el estado de la recopilación de registros de las cuentas especificadas en la región actual. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"