Intégration à Amazon Security Lake

Amazon Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant des AWS environnements, des fournisseurs SaaS, des sources sur site, des sources cloud et des sources tierces dans un lac de données spécialement conçu et stocké dans votre compte. AWS Security Lake vous aide à analyser les données de sécurité, afin que vous puissiez mieux comprendre votre posture de sécurité dans l’ensemble de votre organisation. Avec Security Lake, vous pouvez également améliorer la protection des charges de travail, des applications et des données.

Amazon Detective s’intègre à Amazon Security Lake, ce qui signifie que vous pouvez interroger et récupérer les données de journal brutes stockées par Security Lake.

Grâce à cette intégration, vous pouvez collecter les journaux et les événements à partir des sources suivantes, prises en charge de manière native par Security Lake. Detective prend en charge jusqu'à la version source 2 (OCSF 1.1.0).

• AWS CloudTrail événements de gestion version 1.0 et versions ultérieures

• Amazon Virtual Private Cloud (Amazon VPC) Flow Logs version 1.0 et ultérieure

• Journal d'audit Amazon Elastic Kubernetes Service (Amazon EKS), version 2.0. Pour utiliser les journaux d'audit Amazon EKS comme source, vous devez ram:ListResources ajouter des autorisations IAM. Pour plus de détails, voir Ajouter les autorisations IAM requises à votre compte.

Pour en savoir plus sur la façon dont Security Lake convertit automatiquement les journaux et les événements provenant de AWS services pris en charge de manière native vers le schéma OCSF, consultez le guide de l'utilisateur d'Amazon Security Lake.

Après avoir intégré Detective à Security Lake, Detective commence à extraire les journaux bruts de Security Lake relatifs aux événements AWS CloudTrail de gestion et aux journaux de flux Amazon VPC. Pour plus de détails, consultez Interrogation des journaux bruts.

Pour intégrer Detective à Security Lake, exécutez les étapes suivantes :

1. Avant de commencer

   Utilisez un compte de gestion Organizations et désignez un administrateur Security Lake délégué pour votre organisation. Assurez-vous que Security Lake est activé et vérifiez que Security Lake collecte les journaux et les événements à partir AWS CloudTrail des événements de gestion et des journaux de flux Amazon Virtual Private Cloud (Amazon VPC).

   Conformément à l'architecture de référence de sécurité, Detective recommande d'utiliser un compte Log Archive et de ne pas utiliser de compte Security Tooling pour le déploiement de Security Lake.

2. Création d’un abonné à Security Lake

   Pour utiliser les journaux et les événements d’Amazon Security Lake, vous devez être abonné à Security Lake. Procédez comme suit pour accorder l’accès aux requêtes à un administrateur de compte Detective.

3. Ajoutez les autorisations AWS Identity and Access Management (IAM) requises à votre identité IAM.

   • Ajoutez les autorisations suivantes pour créer une intégration de Detective avec Security Lake :

     • Associez ces autorisations AWS Identity and Access Management (IAM) à votre identité IAM. Pour plus de détails, consultez la section Ajouter les autorisations IAM requises à votre compte.

     • Ajoutez cette politique IAM au principal IAM que vous prévoyez d'utiliser pour transmettre le rôle de AWS CloudFormation service. Pour plus de détails, consultez la section Ajouter des autorisations à votre IAM principal.

   • Si vous avez déjà intégré Detective à Security Lake, pour utiliser l'intégration, associez ces autorisations (IAM) à votre identité IAM. Pour plus de détails, consultez la section Ajouter les autorisations IAM requises à votre compte.

4. Acceptez l’invitation Resource Share ARN et activez l’intégration

Utilisez le AWS CloudFormation modèle pour configurer les paramètres nécessaires à la création et à la gestion de l'accès aux requêtes pour les abonnés de Security Lake. Pour les étapes détaillées de création d'une pile, voir Création d'une pile à l'aide du AWS CloudFormation modèle. Une fois que vous avez fini de créer la pile, activez l’intégration.

Pour découvrir comment intégrer Amazon Detective à Amazon Security Lake à l'aide de la console Detective, regardez la vidéo suivante :

Avant de commencer

Security Lake s'intègre AWS Organizations pour gérer la collecte de journaux sur plusieurs comptes d'une organisation. Pour utiliser Security Lake pour une organisation, votre compte AWS Organizations de gestion doit d'abord désigner un administrateur Security Lake délégué pour votre organisation. L’administrateur délégué de Security Lake doit ensuite activer Security Lake et activer la collecte des journaux et des événements pour les comptes des membres de l’organisation.

Avant d’intégrer Security Lake, à Detective, assurez-vous que Security Lake est activé pour le compte administrateur de Security Lake. Pour connaître les étapes détaillées relatives à l’activation de Security Lake, consultez Getting Started dans le guide de l’utilisateur d’Amazon Security Lake.

Vérifiez également que Security Lake collecte des journaux et des événements à partir des événements de AWS CloudTrail gestion et des journaux de flux Amazon Virtual Private Cloud (Amazon VPC). Pour plus d'informations sur la collecte de journaux dans Security Lake, consultez la section Collecte de données à partir de AWS services dans le guide de l'utilisateur d'Amazon Security Lake.

Étape 1 : Créer un abonné à Security Lake

Pour utiliser les journaux et les événements d’Amazon Security Lake, vous devez être abonné à Security Lake. Un abonné peut interroger les données collectées par Security Lake et y accéder. Un abonné disposant d'un accès aux requêtes peut interroger AWS Lake Formation des tables directement dans un bucket Amazon Simple Storage Service (Amazon S3) en utilisant des services tels qu'Amazon Athena. Pour devenir abonné, l’administrateur de Security Lake doit vous fournir un accès abonné permettant d’interroger le lac de données. Pour plus d’informations sur la manière dont l’administrateur procède, consultez Création d’un abonné avec accès aux requêtes dans le Guide de l’utilisateur d’Amazon Security Lake.

Procédez comme suit pour accorder l’accès aux requêtes à un administrateur de compte Detective.

Pour créer un abonné Detective dans Security Lake

1. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

2. Dans le volet de navigation, choisissez Intégrations.

3. Dans le volet des abonnés de Security Lake, notez les valeurs de l’ID de compte et de l’ID externe.

   Demandez à l’administrateur de Security Lake d’utiliser ces identifiants pour :

   • Créer automatiquement un abonné Detective dans Security Lake.

   • Configurer l’abonné afin qu’il ait accès aux requêtes.

   • Pour vous assurer que l’abonné aux requêtes Security Lake est créé avec les autorisations Lake Formation, sélectionnez Lake Formation comme méthode d’accès aux données dans la console Security Lake.

   Lorsque l’administrateur de Security Lake crée un abonné, Security Lake génère automatiquement un ARN de partage de ressources Amazon. Demandez à l’administrateur de vous envoyer cet ARN.

4. Entrez l’ARN de partage de ressources fourni par l’administrateur de Security Lake dans le volet des abonnés de Security Lake.

5. Après avoir reçu l’ARN du partage des ressources de la part de l’administrateur de Security Lake, saisissez-le dans le champ Resource Share ARN du volet des abonnés de Security Lake.

Étape 2 : Ajout des autorisations IAM requises à votre compte

Pour activer l'intégration de Detective à Security Lake, vous devez associer la politique d'autorisation AWS Identity and Access Management (IAM) suivante à votre identité IAM.

Attachez au rôle les politiques en ligne suivantes. Remplacez athena-results-bucket par le nom de votre compartiment Amazon S3 si vous souhaitez utiliser votre propre compartiment Amazon S3 pour stocker les résultats des requêtes Athena. Si vous souhaitez que Detective génère automatiquement un compartiment Amazon S3 pour stocker le résultat des requêtes Athena, supprimez l’intégralité de S3ObjectPermissions de la politique IAM.

Si vous ne disposez pas des autorisations requises pour associer cette politique à votre identité IAM, contactez votre AWS administrateur. Si vous disposez des autorisations requises mais qu’un problème survient, consultez la section Résolution des problèmes généraux liés à l’IAM dans le Guide de l’utilisateur IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3ObjectPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::<athena-results-bucket>",
        "arn:aws:s3:::<athena-results-bucket>/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabases",
        "glue:GetPartitions",
        "glue:GetTable",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:aws:glue:*:<ACCOUNT ID>:database/amazon_security_lake*",
        "arn:aws:glue:*:<ACCOUNT ID>:table/amazon_security_lake*/amazon_security_lake*",
        "arn:aws:glue:*:<ACCOUNT ID>:catalog"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "athena:BatchGetQueryExecution",
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:GetQueryRuntimeStatistics",
        "athena:GetWorkGroup",
        "athena:ListQueryExecutions",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution",
        "lakeformation:GetDataAccess",
        "ram:ListResources"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
        "Action": [
          "ssm:GetParametersByPath"
        ],
        "Resource": [
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/ResourceShareArn",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/S3Bucket",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/TableNames",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/DatabaseName",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/StackId"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:GetTemplateSummary",
        "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "securitylake.amazonaws.com"
          ]
        }
      }
    }
  ]
}    
        

Afficher plusAfficher moins

Étape 3 : Accepter l’invitation Resource Share ARN et activer l’intégration

Pour accéder aux journaux des données brutes depuis Security Lake, vous devez accepter l’invitation de partage des ressources provenant du compte Security Lake créé par l’administrateur de Security Lake. Vous devez également disposer des autorisations AWS Lake Formation pour configurer le partage de tables entre comptes. En outre, vous devez créer un compartiment Amazon Simple Storage Service (Amazon S3) capable de recevoir les journaux des requêtes brutes.

À l'étape suivante, vous allez utiliser un AWS CloudFormation modèle pour créer une pile pour : accepter l'invitation Resource Share ARN, créer les AWS Glue crawler ressources requises et accorder des autorisations d' AWS Lake Formation administrateur.

Pour créer une AWS CloudFormation pile

1. Créez une nouvelle CloudFormation pile à l'aide du CloudFormation modèle. Pour en savoir plus, consultez Création d’une pile à l’aide du modèle AWS CloudFormation.

2. Une fois que vous avez fini de créer la pile, choisissez Activer l’intégration.

Création d’une pile à l’aide du modèle AWS CloudFormation

Detective fournit un AWS CloudFormation modèle que vous pouvez utiliser pour configurer les paramètres nécessaires à la création et à la gestion de l'accès aux requêtes pour les abonnés de Security Lake.

Étape 1 : créer un rôle AWS CloudFormation de service

Vous devez créer un rôle AWS CloudFormation de service pour créer une pile à l'aide du AWS CloudFormation modèle. Si vous ne disposez pas des autorisations requises pour créer un rôle de service, contactez l’administrateur du compte administrateur Detective. Pour plus d’informations sur le rôle de service AWS CloudFormation , consultez Rôle de service AWS CloudFormation.

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le volet de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

3. Pour Sélectionner une entité de confiance, choisissez Service AWS .

4. Sélectionnez AWS CloudFormation. Ensuite, choisissez Suivant.

5. Entrez un nom pour le rôle. Par exemple, CFN-DetectiveSecurityLakeIntegration.

6. Attachez au rôle les politiques en ligne suivantes. Remplacez <Account ID> par votre numéro de AWS compte.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudFormationPermission",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateChangeSet"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:aws:transform/*"
            ]
        },
        {
            "Sid": "IamPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:UpdateAssumeRolePolicy",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy",
                "iam:CreatePolicy",
                "iam:DeletePolicy",
                "iam:PassRole",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::<ACCOUNT ID>:role/*",
                "arn:aws:iam::<ACCOUNT ID>:policy/*"
            ]
        },
        {
            "Sid": "S3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*",
                "s3:GetObject",
                "s3:PutEncryptionConfiguration",
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Sid": "LambdaPermissions",
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:GetFunction",
                "lambda:TagResource",
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:<ACCOUNT ID>:function:*"
            ]
        },
        {
            "Sid": "CloudwatchPermissions",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:<ACCOUNT ID>:log-group:*"
        },
        {
            "Sid": "KmsPermission",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:*:<ACCOUNT ID>:key/*"
        }
    ]
}       
              

Afficher plusAfficher moins

Étape 2 : Ajouter les autorisations à votre principal IAM.

Vous aurez besoin des autorisations suivantes pour créer une pile à l'aide du rôle de CloudFormation service que vous avez créé à l'étape précédente. Ajoutez la politique IAM suivante au principal IAM que vous prévoyez d'utiliser pour transmettre le rôle de CloudFormation service. Vous utiliserez ce principal d’IAM pour créer la pile. Si vous ne disposez pas des autorisations requises pour ajouter la politique IAM, contactez l’administrateur du compte administrateur Detective.

Note

Dans la stratégie suivante, le terme CFN-DetectiveSecurityLakeIntegration utilisé dans cette stratégie fait référence au rôle que vous avez créé dans l’étape précédente du rôle de service Creating an AWS CloudFormation. Remplacez-le par le nom de rôle que vous avez saisi à l’étape précédente s’il est différent.

 {
    "Version": "2012-10-17",
    "Statement": [
        {
             "Sid": "PassRole",
             "Effect": "Allow",
             "Action":
             [
                "iam:GetRole",
                "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration"
        },
        {
            "Sid": "RestrictCloudFormationAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:UpdateStack"
            ],
            "Resource": "arn:aws:cloudformation:*:<ACCOUNT ID>:stack/*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:RoleArn": [
                        "arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration"
                    ]
                }
            }
        },
        {
            "Sid": "CloudformationDescribeStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:GetStackPolicy"
            ],
            "Resource": "arn:aws:cloudformation:*:<ACCOUNT ID>:stack/*"
        },
        {
            "Sid": "CloudformationListStacks",
            "Effect": "Allow",
            "Action": [
                "cloudformation:ListStacks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents"
            ],
            "Resource": "arn:aws:logs:*:<ACCOUNT ID>:log-group:*"
        }
    ]
}

Afficher plusAfficher moins

Étape 3 : Spécifier des valeurs personnalisées dans la AWS CloudFormation console

1. Accédez à la AWS CloudFormation console depuis Detective.

2. (Facultatif) Saisissez un Nom de pile. Le nom de la pile est renseigné automatiquement. Vous pouvez remplacer le nom de la pile par un nom qui n’entre pas en conflit avec les noms de pile existants.

3. Entrez les Paramètres suivants.

   • AthenaResultsBucket— Si vous ne saisissez aucune valeur, ce modèle génère un compartiment Amazon S3. Si vous souhaitez utiliser votre propre compartiment, entrez un nom de compartiment pour stocker les résultats des requêtes Athena. Si vous utilisez votre propre compartiment, assurez-vous qu’il se trouve dans la même région que l’ARN du partage de ressources. Si vous utilisez votre propre compartiment, assurez-vous que le LakeFormationPrincipals que vous avez choisi est autorisé à y écrire des objets et à en lire. Pour plus d’informations sur les autorisations de compartiment, consultez Résultats des requêtes et requêtes récentes dans le Guide de l’utilisateur Amazon Athena.

   • DTRegion : ce champ est prérempli. Ne modifiez pas les valeurs du champ.

   • LakeFormationPrincipals— Entrez l'ARN des principaux IAM (par exemple, l'ARN du rôle IAM) auxquels vous souhaitez accorder l'accès pour utiliser l'intégration Security Lake, séparés par des virgules. Il peut s'agir de vos analystes de sécurité et de vos ingénieurs de sécurité qui utilisent Detective.

     Vous ne pouvez utiliser que les principals d’IAM auxquels vous avez précédemment attaché les autorisations IAM à l’étape [Step 2: Add the required IAM permissions to your account].

   • ResourceShareARN — Ce champ est prérempli. Ne modifiez pas les valeurs du champ.

4. Autorisations

   Rôle IAM : sélectionnez le rôle IAM que vous avez créé à l’étape Creating an AWS CloudFormation Service Role. Vous pouvez éventuellement le laisser vide si votre rôle IAM en cours dispose de toutes les autorisations requises lors de l’étape Creating an AWS CloudFormation Service Role.

5. Passez en revue et cochez toutes les cases J’accepte, puis cliquez sur le bouton Créer une pile. Pour plus de détails, consultez les ressources IAM suivantes qui seront créées.

* ResourceShareAcceptorCustomResourceFunction
    - ResourceShareAcceptorLambdaRole
    - ResourceShareAcceptorLogsAccessPolicy
* SsmParametersCustomResourceFunction
    - SsmParametersLambdaRole
    - SsmParametersLogsAccessPolicy
* GlueDatabaseCustomResourceFunction
    - GlueDatabaseLambdaRole
    - GlueDatabaseLogsAccessPolicy
* GlueTablesCustomResourceFunction
    - GlueTablesLambdaRole
    - GlueTablesLogsAccessPolicy

Étape 4 : Ajouter la politique de compartiment Amazon S3 aux noms de principal IAM dans LakeFormationPrincipals

(Facultatif) Si vous laissez le modèle générer un AthenaResultsBucket à votre place, vous devez associer la politique suivante aux noms de principal IAM dans LakeFormationPrincipals.

{
  "Sid": "S3ObjectPermissions",
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject"
  ],
  "Resource": [
    "arn:aws:s3:::<athena-results-bucket>",
    "arn:aws:s3:::<athena-results-bucket>/*"
  ]
}      

Remplacez athena-results-bucket par le AthenaResultsBucket nom. AthenaResultsBucketVous pouvez les trouver sur la AWS CloudFormation console :

1. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

2. Cliquez sur votre pile.

3. Cliquez sur l’onglet Ressources.

4. Recherchez l’identifiant logique AthenaResultsBucket et copiez son identifiant physique.

Supprimer une CloudFormation pile

Si vous ne supprimez pas la pile existante, la création d’une nouvelle pile dans la même région échouera. Vous pouvez supprimer une CloudFormation pile à l'aide de la CloudFormation console ou de la AWS CLI.

Pour supprimer la AWS CloudFormation pile (console)

1. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

2. Sur la page Stacks de la CloudFormation console, sélectionnez la pile que vous souhaitez supprimer. La pile doit être en cours d’exécution.

3. Dans le volet des détails de la pile, choisissez Supprimer.

4. Sélectionnez Supprimer la pile lorsque vous y êtes invité.

   Note

   L’opération de suppression de pile ne peut pas être arrêtée une fois qu’elle a commencé. La pile passe à l’état DELETE_IN_PROGRESS.

Une fois que la suppression est terminée, la pile indique l’état DELETE_COMPLETE.

Résolution des erreurs de suppression de pile

Si le message affiche une erreur d'autorisation Failed to delete stack après avoir cliqué sur le Delete bouton, cela signifie que votre rôle IAM n'est pas CloudFormation autorisé à supprimer une pile. Contactez l’administrateur de votre compte pour supprimer la pile.

Pour supprimer la CloudFormation pile (AWS CLI)

Entrez la commande suivante dans l'interface AWS CLI :

aws cloudformation delete-stack --stack-name your-stack-name --role-arn
      arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration

CFN-DetectiveSecurityLakeIntegration désigne la fonction du service créée à l’étape Creating an AWS CloudFormation Service Role.

Modification de la configuration d’intégration

Si vous souhaitez modifier les paramètres que vous avez utilisés pour intégrer Detective à Security Lake, vous pouvez les modifier, puis réactiver l’intégration. Vous pouvez modifier le AWS CloudFormation modèle pour réactiver cette intégration dans les scénarios suivants :

• Pour mettre à jour l’abonnement Security Lake, vous pouvez créer un nouvel abonné ou l’administrateur de Security Lake peut mettre à jour la source de données de l’abonnement existant.

• Spécifier un compartiment Amazon S3 différent et y stocker les journaux des requêtes brutes.

• Pour spécifier les différents principaux Lake Formation.

Lorsque vous réactivez l’intégration de Detective à Security Lake, vous pouvez modifier le Resource Share ARN et consulter les autorisations IAM. Pour modifier les autorisations IAM, vous pouvez accéder à la console IAM depuis Detective. Vous pouvez également modifier les valeurs que vous avez saisies précédemment dans le AWS CloudFormation modèle. Vous devez supprimer la CloudFormation pile existante et la recréer pour réactiver l'intégration.

Pour réactiver l’intégration de Detective à Security Lake

1. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

2. Dans le volet de navigation, choisissez Intégrations.

3. Vous pouvez modifier l’intégration en suivant l’une des étapes suivantes :

   • Dans le volet Security Lake, choisissez Modifier.

   • Dans le volet Security Lake, choisissez Afficher. Dans la page de la vue, choisissez Modifier.

4. Entrez un nouvel ARN de partage de ressources pour accéder aux sources de données d’une région.

5. Consultez les autorisations IAM en cours et accédez à la console IAM si vous souhaitez modifier les autorisations IAM.

6. Modifiez les valeurs du CloudFormation modèle.

   1. Supprimez d’abord la pile existante, avant d’en créer une nouvelle. Si vous ne supprimez pas la pile existante et que vous essayez d’en créer une nouvelle dans la même région, votre demande échoue. Pour en savoir plus, consultez Supprimer une CloudFormation pile.

   1. Créez une nouvelle CloudFormation pile. Pour en savoir plus, consultez Création d’une pile à l’aide du modèle AWS CloudFormation.

7. Choisissez Activer l’intégration.

Désactivation de l’intégration

Si vous désactivez l’intégration de Detective à Security Lake, vous ne pouvez plus interroger les données des journaux et des événements depuis Security Lake.

Pour désactiver l’intégration de Detective à Security Lake

1. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

2. Dans le volet de navigation, choisissez Intégrations.

3. Supprimez la pile existante. Pour en savoir plus, consultez Supprimer une CloudFormation pile.

4. Dans le volet Désactivation de l’intégration à Security Lake, choisissez Désactiver.

AWS Régions prises en charge

Vous pouvez intégrer Detective à Security Lake dans les AWS régions suivantes.

Nom de la région	Région	Point de terminaison	Protocole ;
USA Est (Ohio)	us-east-2	securitylake.us-east-2.amazonaws.com	HTTPS
US East (Virginie du Nord)	us-east-1	securitylake.us-east-1.amazonaws.com	HTTPS
USA Ouest (Californie du Nord)	us-west-1	securitylake.us-west-1.amazonaws.com	HTTPS
USA Ouest (Oregon)	us-west-2	securitylake.us-west-2.amazonaws.com	HTTPS
Asie-Pacifique (Mumbai)	ap-south-1	securitylake.ap-south-1.amazonaws.com	HTTPS
Asie-Pacifique (Séoul)	ap-northeast-2	securitylake.ap-northeast-2.amazonaws.com	HTTPS
Asie-Pacifique (Singapour)	ap-southeast-1	securitylake.ap-southeast-1.amazonaws.com	HTTPS
Asie-Pacifique (Sydney)	ap-southeast-2	securitylake.ap-southeast-2.amazonaws.com	HTTPS
Asie-Pacifique (Tokyo)	ap-northeast-1	securitylake.ap-northeast-1.amazonaws.com	HTTPS
Canada (Centre)	ca-central-1	securitylake.ca-central-1.amazonaws.com	HTTPS
Europe (Francfort)	eu-central-1	securitylake.eu-central-1.amazonaws.com	HTTPS
Europe (Irlande)	eu-west-1	securitylake.eu-west-1.amazonaws.com	HTTPS
Europe (Londres)	eu-west-2	securitylake.eu-west-2.amazonaws.com	HTTPS
Europe (Paris)	eu-west-3	securitylake.eu-west-3.amazonaws.com	HTTPS
Europe (Stockholm)	eu-north-1	securitylake.eu-north-1.amazonaws.com	HTTPS
Amérique du Sud (São Paulo)	sa-east-1	securitylake.sa-east-1.amazonaws.com	HTTPS

Interrogation des journaux bruts dans Detective

Après avoir intégré Detective à Security Lake, Detective commence à extraire les journaux bruts de Security Lake relatifs aux événements de AWS CloudTrail gestion et aux journaux de flux Amazon Virtual Private Cloud (Amazon VPC).

Note

L’interrogation des journaux bruts dans Detective n’entraîne pas de frais supplémentaires. Les frais d'utilisation des autres AWS services, y compris Amazon Athena, s'appliquent toujours aux tarifs publiés.

AWS CloudTrail des événements de gestion sont disponibles pour les profils suivants :

• AWS compte

• AWS utilisateur

• AWS rôle

• AWS Session de rôle

• Instance Amazon EC2

• Compartiment Amazon S3

• Adresse IP

• Cluster Kubernetes

• Capsule Kubernets

• Sujet Kubernets

• Rôle IAM

• Séance de rôle IAM

• Utilisateur IAM

Les journaux de flux Amazon VPC sont disponibles pour les profils suivants :

• Instance Amazon EC2

• Pod Kubernetes

Pour une démonstration de l'utilisation d'Amazon Detective avec Amazon Security Lake à l'aide de la console Detective, regardez la vidéo suivante :

Pour interroger les journaux bruts d’un compte AWS

1. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

2. Dans le volet de navigation, choisissez Rechercher, puis recherchez une AWS account.

3. Dans la section Volume global des appels d’API, choisissez Afficher les détails pour la durée de la portée.

4. À partir de là, vous pouvez commencer à interroger les journaux bruts.

Dans le tableau d’aperçu des journaux bruts, vous pouvez consulter les journaux et les événements extraits en interrogeant les données de Security Lake. Pour plus de détails sur les journaux d’événements bruts, vous pouvez consulter les données affichées dans Amazon Athena.

Dans le tableau d’interrogation des journaux bruts, vous pouvez annuler la demande de requête, afficher les résultats dans Amazon Athena et télécharger les résultats sous la forme d’un fichier de valeurs séparées par des virgules (.csv).

Si vous voyez des journaux dans Detective, mais que la requête n’a renvoyé aucun résultat, les raisons peuvent en être les suivantes.

• Les journaux bruts peuvent être disponibles dans Detective avant d’apparaître dans les tableaux des journaux de Security Lake. Réessayez ultérieurement.

• Les journaux peuvent ne pas être présents dans Security Lake. Si vous avez attendu pendant une longue période, cela indique que les journaux sont absents de Security Lake. Contactez votre administrateur Security Lake pour résoudre le problème.

Interroger les journaux bruts pour un AWS rôle

Si vous souhaitez comprendre l'activité d'un AWS rôle dans une nouvelle géolocalisation, vous pouvez le faire dans la console Detective.

Pour interroger les journaux bruts d’un rôle AWS

1. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

2. Sur la page Detective Summary, dans la section « Géolocalisations récemment observées », notez le AWS rôle.

3. Dans le volet de navigation, choisissez Rôles, puis recherchez le AWS role.

4. Pour le AWS rôle, développez la ressource pour afficher les appels d'API spécifiques émis par cette ressource à partir de cette adresse IP.

5. Choisissez l’icône en forme de loupe à côté de l’appel d’API que vous souhaitez étudier pour ouvrir le tableau d’aperçu des journaux bruts.

   

Interrogez les journaux bruts pour un cluster Amazon EKS

1. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

2. Sur la page Detective Summary, section Clusters de conteneurs contenant le plus grand nombre de pods créés, accédez à un cluster Amazon EKS.

3. Sur la page de détails du cluster Amazon EKS, sélectionnez l'onglet Activité de l'API Kubernets.

4. Dans la section Activité globale de l'API Kubernets impliquant ce cluster Amazon EKS, choisissez les détails d'affichage pour la durée du champ d'application.

5. À partir de là, vous pouvez commencer à interroger les journaux bruts.

Interrogation des journaux bruts pour une instance Amazon EC2

1. Ouvrez la console Detective à l’adresse suivante : https://console.aws.amazon.com/detective/.

2. Dans le volet de navigation, choisissez Rechercher, puis recherchez une Amazon EC2 instance.

3. Dans la section Volume global des flux VPC, choisissez l’icône en forme de loupe à côté de l’appel d’API que vous souhaitez étudier pour ouvrir le tableau d’aperçu des journaux bruts.

4. À partir de là, vous pouvez commencer à interroger les journaux bruts.

   

Dans le tableau d’aperçu des journaux bruts, vous pouvez consulter les journaux et les événements extraits en interrogeant les données de Security Lake. Pour plus de détails sur les journaux d’événements bruts, vous pouvez consulter les données affichées dans Amazon Athena.

Dans le tableau d’interrogation des journaux bruts, vous pouvez annuler la demande de requête, afficher les résultats dans Amazon Athena et télécharger les résultats sous la forme d’un fichier de valeurs séparées par des virgules (.csv).