Démarrer - Amazon Security Lake
Étape 1 : Compte AWS configuration initialeÉtape 2 : remplir les autres conditions préalablesÉtape 3 : Activer Amazon Security LakeÉtape 4 : définir l'objectif de collecte (sources)Étape 5 : Définir l'objectif cible (facultatif)Étape 6 : Examen et création d'un lac de données (étape sur console uniquement)Étape 7 : Afficher et interroger vos propres donnéesÉtape 8 : Création d'abonnés

Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des Conditions de AWS service (« Bêtas et versions préliminaires »).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démarrer

Cette section explique comment activer et démarrer avec Amazon Security Lake.

Note

La console Security Lake propose un processus de démarrage simplifié. Lorsque vous utilisez la console, Security Lake crée tous les rôles IAM nécessaires ou utilise les rôles existants en votre nom. Toutefois, vous devez créer ces rôles lorsque vous utilisez l'API Security Lake ouAWS CLI. Pour plus d'informations, veuillez consulter Création des rôles IAM nécessaires.

Étape 1 : Compte AWS configuration initiale

S'inscrire à un Compte AWS

Si vous n'avez pas de compte Compte AWS, procédez comme suit pour en créer un.

Pour s'inscrire à un Compte AWS

  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous souscrivez à un Compte AWS, un Utilisateur racine d'un compte AWS est créé. Par défaut, seul l'utilisateur root a accès à l'ensemble des Services AWS et des ressources de ce compte. En tant que bonne pratique de sécurité, attribuer un accès administratif à un utilisateur administratif, et utilisez uniquement l'utilisateur root pour effectuer tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation lorsque le processus d'inscription est terminé. Vous pouvez afficher l'activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en cliquant sur Mon compte.

Création d'un utilisateur administratif

Une fois que vous vous êtes inscrit à un Compte AWS, créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisation de votre Utilisateur racine d'un compte AWS

  1. Connectez-vous à la AWS Management Console en tant que propriétaire du compte en sélectionnant Root user (Utilisateur racine) et en saisissant l'adresse e-mail de Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l'aide pour vous connecter en utilisant l'utilisateur root, consultez Connexion en tant qu'utilisateur root dans le Guide de l'utilisateur Connexion à AWS.

  2. Activez l'authentification multifactorielle (MFA) pour votre utilisateur root.

    Pour obtenir des instructions, consultez Activation d'un dispositif MFA virtuel pour l'utilisateur root de votre Compte AWS (console) dans le Guide de l'utilisateur IAM.

Création d'un utilisateur administratif

  • Pour vos tâches administratives quotidiennes, octroyez un accès administratif à un utilisateur administratif dans AWS IAM Identity Center (successor to AWS Single Sign-On).

    Pour plus d'informations, consultez Mise en route dans le Guide de l'utilisateur AWS IAM Identity Center (successor to AWS Single Sign-On).

Connexion en tant qu'utilisateur administratif

  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l'URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter à l'aide d'un utilisateur IAM Identity Center, consultez Connexion au portail d'accès AWS dans le Guide de l'utilisateur Connexion à AWS.

Étape 2 : remplir les autres conditions préalables

Une fois inscritAWS, vous pouvez activer Security Lake pour votre compte et créer votre lac de données.

Voici les conditions préalables à remplir avant de commencer à utiliser Security Lake :

Identifiez le compte que vous allez utiliser pour activer Security Lake

Security Lake s'intègre AWS Organizations à la gestion de la collecte des journaux sur plusieurs comptes d'une organisation. Si vous souhaitez utiliser Security Lake pour une organisation, vous devez utiliser votre compte de gestion des Organizations pour désigner un administrateur délégué de Security Lake. Vous devez ensuite utiliser les informations d'identification de l'administrateur délégué pour activer Security Lake, ajouter des comptes membres et activer Security Lake pour ces derniers. Pour plus d'informations, veuillez consulter Gestion de de de de de de de deAWS Organizations.

Vous pouvez également utiliser Security Lake sans l'intégration Organizations pour un compte autonome qui ne fait pas partie d'une organisation.

Installez le AWS CLI (facultatif)

Pour accéder à Security Lake via AWS Command Line Interface (AWS CLI), vous devez installer la dernière version de AWS CLI sur un système d'exploitation compatible. Pour plus d'instructions, consultez la section Installation ou mise à jour de la dernière version de AWS CLI dans le Guide de AWS Command Line Interface l'utilisateur.

Création des rôles IAM nécessaires

Si vous utilisez la console Security Lake, Security Lake crée tous les rôles IAM nécessaires ou utilise les rôles existants en votre nom.

Si vous utilisez l'API Security Lake ou AWS CLI si vous créez un rôle appelé AmazonSecurityLakeMetaStoreManager in AWS Identity and Access Management (IAM). Le rôle doit porter ce nom et est nécessaire pour que Security Lake prenne en charge les tâches d'extraction, de transformation et de chargement (ETL) sur les données brutes des journaux et des événements qu'il reçoit des sources. Sans créer et assumer ce rôle, vous ne pouvez pas créer votre lac de données ni interroger des données à partir de Security Lake. Un rôle peut être utilisé dans plusieurs régions. Il n'est pas nécessaire de créer un rôle distinct pour différentes régions.

Attachez la politique suivante à votre AmazonSecurityLakeMetaStoreManager rôle :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowWriteLambdaLogs",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:{{accountId}}:log-group:/aws/lambda/SecurityLake_Glue_Partition_Updater_Lambda*"
      ]
    },
    {
      "Sid": "AllowCreateAwsCloudWatchLogGroup",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": [
        "arn:aws:logs:*:{{accountId}}:/aws/lambda/SecurityLake_Glue_Partition_Updater_Lambda*"
      ]
    },
    {
      "Sid": "AllowGlueManage",
      "Effect": "Allow",
      "Action": [
        "glue:CreatePartition",
        "glue:BatchCreatePartition"
      ],
      "Resource": [
        "arn:aws:glue:*:*:table/amazon_security_lake_glue_db*/*",
        "arn:aws:glue:*:*:database/amazon_security_lake_glue_db*",
        "arn:aws:glue:*:*:catalog"
      ]
    },
    {
      "Sid": "AllowToReadFromSqs",
      "Effect": "Allow",
      "Action": [
        "sqs:ReceiveMessage",
        "sqs:DeleteMessage",
        "sqs:GetQueueAttributes"
      ],
      "Resource": [
        "arn:aws:sqs:*:{{accountId}}:SecurityLake*"
      ]
    }
  ]
}

Attachez la stratégie d'approbation suivante au rôle afin de permettre à la fonction Lambda du programme de mise à jour de partition d'endosser le rôle :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowLambda",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "lambda.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
Afficher plusAfficher moins

Créez des rôles supplémentaires dans IAM si vous comptez effectuer une ou plusieurs des actions suivantes (cliquez sur les liens pour obtenir plus d'informations sur les rôles IAM pour chaque action) :

Étape 3 : Activer Amazon Security Lake

Avant d'activer Security Lake, prenez note des points suivants :

  • Security Lake fournit des fonctionnalités de gestion interrégions, ce qui signifie que vous pouvez créer votre lac de données et configurer la collecte des journaux dans l'ensembleRégions AWS. Pour activer Security Lake dans toutes les régions prises en charge, vous pouvez choisir n'importe quel point de terminaison régional pris en charge. Vous pouvez également ajouter des régions cumulées pour agréger les données de plusieurs régions dans une seule région.

  • Nous vous recommandons d'activer Security Lake dans toutes les versions prises en chargeRégions AWS. Dans ce cas, Security Lake peut collecter des données liées à des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Si Security Lake n'est pas activé dans toutes les régions prises en charge, sa capacité à collecter des données à partir d'autres services que vous utilisez dans plusieurs régions est réduite.

  • Lorsque vous activez Security Lake pour la première fois dans une région, cela crée un rôle lié à un service pour votre compte appelé. AWSServiceRoleForSecurityLake Ce rôle inclut les autorisations nécessaires pour appeler d'autres Services AWS personnes en votre nom et gérer le lac de données de sécurité. Pour de plus amples informations sur l'utilisation des rôles liés à un service, veuillez consulter Utilisation des rôles liés à un service dans le document Guide de l'utilisateur IAM. Si vous activez Security Lake en tant qu'administrateur délégué de Security Lake, Security Lake crée le rôle lié au service dans chaque compte membre de l'organisation.

Une fois que vous avez rempli les conditions préalables, sélectionnez votre méthode d'accès préférée et activez Security Lake en suivant ces instructions.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. À l'aide du Région AWS sélecteur dans l'angle supérieur droit de la page, sélectionnez une région. Vous pouvez activer Security Lake dans la région actuelle et dans d'autres régions lors de l'intégration.

  3. Sélectionnez Get started (Démarrer).

  4. Exécutez toutes les étapes de mise en route dans la console, comme décrit dans les sections suivantes.

API

Exécutez CreateDatalake. Vous pouvez créer le lac de données dans toutes les régions en définissant le enableAll paramètre sur la valeurtrue. Pour activer Security Lake de manière spécifiqueRégions AWS, par exemple us-east-1 ou ap-northeast-1, fournissez les codes de région pour. regions Pour obtenir la liste des codes de région, veuillez consulter Codes de région dansRéférences générales AWS.

Note

Si vous avez déjà activé Security Lake et souhaitez mettre à jour les propriétés d'une région ou d'une source, utilisez l'UpdateDatalakeAPI.

AWS CLI

  1. Pour activer Security Lake dans toutes les régions, exécutez la create-datalake commande avec le enable-all paramètre.

    aws securitylake create-datalake --enable-all --meta-store-manager-role-arn arn:aws:iam::123456789012:role/AmazonSecurityLakeMetaStoreManager

  2. Pour activer Security Lake dans des régions spécifiques, telles que us-east-1 ou ap-northeast-1, fournissez les codes de région pour le paramètre lors de l'exécution de la commande. region create-datalake Pour obtenir la liste des codes de région, veuillez consulter Codes de région dansRéférences générales AWS.

    aws securitylake create-datalake --regions us-east-1 ap-northeast-1 --meta-store-manager-role-arn arn:aws:iam::123456789012:role/AmazonSecurityLakeMetaStoreManager
Note

Si vous avez déjà activé Security Lake et souhaitez mettre à jour les propriétés d'une région ou d'une source, utilisez la update-datalake commande.

Étape 4 : définir l'objectif de collecte (sources)

Security Lake collecte les données des journaux et des événements à partir de diverses sources et au sein de votre Comptes AWS région. Suivez ces instructions pour identifier les données que Security Lake doit collecter. Vous ne pouvez utiliser ces instructions que pour ajouter une source prise en charge nativementService AWS. Pour de plus amples informations sur l'ajout d'une source personnalisée, veuillez consulterCollecte de données à partir de sources personnalisées.

Console

  1. Pour Sélectionner les sources de journaux et d'événements, choisissez si vous souhaitez ingérer toutes les sources de journaux et d'événements ou des sources spécifiques. Si vous choisissez Sources de journaux et d'événements spécifiques, sélectionnez les sources à ingérer dans Security Lake.

  2. Pour Select Regions, choisissez si vous souhaitez ingérer les sources des journaux et des événements de toutes les régions prises en charge ou de régions spécifiques. Si vous choisissez Spécifier les régions, sélectionnez les régions à partir desquelles vous souhaitez ingérer les données.

  3. Pour certains comptes, choisissez si vous souhaitez ingérer des sources de journaux et d'événements provenant de tous les Comptes AWS membres de votre organisation, de comptes spécifiques ou du compte que vous utilisez actuellement. Si vous choisissez Comptes spécifiques, fournissez une liste séparée par des virgules des comptes à partir desquels vous souhaitez ingérer des données.

  4. Sélectionnez Activer tous les nouveaux comptes pour activer Security Lake avec les mêmes paramètres pour tous les nouveaux comptes de votre organisation.

  5. Pour l'accès au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à créer votre lac de données. Un rôle est utilisé dans toutes les régions dans lesquelles vous activez Security Lake.

  6. Choisissez Suivant.

API

  1. Exécutez CreateAwsLogSource. Le paramètre inputOrder est obligatoire. Le cas échéant, fournissez une valeur compatible pour MEMBER (identifiant de compte spécifiqueCompte AWS), REGION (Région AWScode) et SOURCE_TYPE.

  2. Utilisez le enableSingleDimension paramètre pour activer toutes les AWS sources dans des comptes ou des régions spécifiques.

  3. Utilisez le enableTwoDimensions paramètre pour activer des AWS sources spécifiques dans des comptes ou des régions spécifiques.

  4. Utilisez le enableAllDimensions paramètre pour activer des AWS sources spécifiques dans des comptes spécifiques et des régions spécifiques.

Note

Si vous appliquez cette demande d'API à une région dans laquelle vous n'avez pas activé Security Lake, vous recevrez un message d'erreur. Vous pouvez résoudre l'erreur en activant Security Lake dans cette région ou en utilisant le REGIONS paramètre pour spécifier uniquement les régions dans lesquelles vous avez activé Security Lake.

Important

Lorsque vous ne fournissez aucune dimension dans votre demande d'API, Security Lake part du principe que la dimension manquante fait référence à l'ensemble complet. Par exemple, si vous ne fournissez pas de comptes spécifiques, l'API s'applique à l'ensemble des comptes de votre organisation.

Exemple de demande d'API :

{
    "inputOrder": [
        "REGION",
        "SOURCE_TYPE",
        "MEMBER"
    ],
    "enableAllDimensions": {
        "us-east-1": {
            "VPC_FLOW": [
                "123456789012",
                "111122223333"
            ],
            "ROUTE53": [
                "444455556666",
                "777788889999"
            ]
        },
        "us-west-2": {
            "SH_FINDINGS": [
                "111111111111",
                "111122223333"
            ],
            "CLOUD_TRAIL": [
                "123456789012",
                "444455556666"
            ]
        }
    }
}
AWS CLI

  1. Exécutez la commande create-aws-log-source. Le champ input-order est obligatoire. Le cas échéant, fournissez une valeur compatible pour MEMBER (identifiant de compte spécifiqueCompte AWS), REGION (Région AWScode) et SOURCE_TYPE.

  2. Exécutez la commande avec le enable-single-dimension paramètre pour collecter des données à partir de toutes les AWS sources dans des comptes ou des régions spécifiques.

    
aws securitylake create-aws-log-source \
 --input-order MEMBER \
 --enable-single-dimension '["123456789012","111122223333","444455556666"]'

  3. Exécutez la commande avec le enable-two-dimensions paramètre pour collecter des données à partir de AWS sources spécifiques dans des comptes ou des régions spécifiques.

    
aws securitylake create-aws-log-source \
 --input-order SOURCE_TYPE MEMBER \
 --enable-two-dimensions '{"VPC_FLOW":["123456789012"],"CLOUD_TRAIL":["123456789012"], "CLOUD_TRAIL":["111122223333"]}'

  4. Exécutez la commande avec le enable-all-dimensions paramètre pour collecter des données à partir de AWS sources spécifiques dans des comptes spécifiques et des régions spécifiques.

    aws securitylake create-aws-log-source \
 --input-order REGION SOURCE_TYPE MEMBER \
 --enable-all-dimensions '{{"us-east-1":{"VPC_FLOW":["123456789012"],"CLOUD_TRAIL":["123456789012"]}}, {"us-west-2": {"CLOUD_TRAIL":["111122223333"]}}}'
Note

Si vous appliquez cette demande d'API à une région dans laquelle vous n'avez pas activé Security Lake, vous recevrez un message d'erreur. Vous pouvez résoudre l'erreur en activant Security Lake dans cette région ou en utilisant le REGIONS paramètre pour spécifier uniquement les régions dans lesquelles vous avez activé Security Lake.

Important

Lorsque vous ne fournissez aucune dimension dans votre commande, Security Lake part du principe que la dimension manquante fait référence à l'ensemble complet. Par exemple, si vous ne fournissez pas de comptes spécifiques, la commande s'applique à l'ensemble des comptes de votre organisation.

Étape 5 : Définir l'objectif cible (facultatif)

Vous pouvez spécifier la classe de stockage Amazon S3 dans laquelle vous souhaitez que Security Lake stocke vos données et pendant combien de temps. Vous pouvez également spécifier une région cumulative pour consolider les données de plusieurs régions. Ces étapes sont facultatives. Pour plus d'informations, veuillez consulter Gestion du cycle de vie dans Security Lake.

Console

  1. Si vous souhaitez consolider les données de plusieurs régions contributrices dans une région cumulative, pour Sélectionner une région cumulative, choisissez Ajouter une région cumulative. Spécifiez la région cumulative et les régions qui y contribueront. Vous pouvez configurer une ou plusieurs régions cumulatives.

  2. Pour Définir des classes de stockage, choisissez une classe de stockage Amazon S3. La classe de stockage par défaut est S3 Standard. Indiquez une période de conservation (en jours) si vous souhaitez que les données soient transférées vers une autre classe de stockage après cette période, puis choisissez Ajouter une transition. Pour de plus amples informations sur les classes de stockage et la rétention Amazon S3, veuillez consulterGestion de la rétention.

  3. Si vous avez sélectionné une région cumulative lors de la première étape, pour Service Access, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer les journaux et les événements dans plusieurs régions.

  4. Choisissez Suivant.

API

  1. Exécutez à nouveau CreateDatalake.

  2. Ajoutez une ou plusieurs régions cumulatives en renseignant le replicationDestinationRegions champ du paramètre. configurations Indiquez la ou les régions qui devraient contribuer à la région récapitulative centrale.

  3. Renseignez le retentionPeriod champ pour spécifier la période de rétention pour une ou plusieurs régions en jours.

  4. Renseignez le storageClass champ pour spécifier la classe de stockage S3 pour une ou plusieurs régions.

Note

Si vous avez déjà activé Security Lake et souhaitez mettre à jour les propriétés d'une région ou d'une source, utilisez l'UpdateDatalakeAPI.

AWS CLI

  1. Exécutez à nouveau create-datalake la commande.

  2. Ajoutez une ou plusieurs régions cumulatives en renseignant le replication-destination-regions champ du paramètre. configurations Indiquez la ou les régions qui devraient contribuer à la région récapitulative centrale.

  3. Renseignez le retention-period champ pour spécifier les paramètres de rétention pour une ou plusieurs régions en jours et storage-class pour spécifier la classe de stockage.

  4. Renseignez le storage-class champ pour spécifier la classe de stockage pour une ou plusieurs régions

    
aws securitylake create-datalake [--regions values | --enable-all] [--configurations value]

Exemple de commande pour spécifier les paramètres de rétention pour des régions spécifiques :


aws securitylake create-datalake [--regions "us-west-2", "us-east-1"], [--configurations {"us-west-2": {"storage-class": "STANDARD_IA", "retention-period": 7}}, {"us-east-1": {"storage-class": "GLACIER", "retention-period": 30}}]"

Exemple de commande pour ajouter une région cumulative :


aws securitylake create-datalake [--regions "us-west-2", "us-east-1"], [--configurations {"us-west-2": {"replicationDestinationRegions": []},"us-east-1": {"replicationDestinationRegions": ["us-west-2"],"replicationRoleArn": "arn:aws:iam::123456789012:role/Security_Lake_S3ReplicationRole_us-east-1"}}]'
Note

Si vous avez déjà activé Security Lake et souhaitez mettre à jour les propriétés d'une région ou d'une source, utilisez la update-datalake commande.

Étape 6 : Examen et création d'un lac de données (étape sur console uniquement)

Passez en revue les sources à partir desquelles Security Lake collectera des données, vos régions cumulatives et vos paramètres de rétention. Créez ensuite votre lac de données.

  1. Lors de l'activation de Security Lake, passez en revue les sources des journaux et des événements, les régions, les comptes, les régions cumulatives et la rétention.

  2. Sélectionnez Enable (Activer).

Après avoir créé votre lac de données, vous verrez la page de résumé sur la console Security Lake. Cette page fournit une vue d'ensemble de vos sources, de vos abonnés, de vos comptes et de vos régions.

Le menu Problèmes système affiche un résumé des problèmes survenus au cours des 14 derniers jours qui ont une incidence sur le service Security Lake ou sur vos compartiments Amazon S3. Le menu Détails du stockage fournit un résumé détaillé des compartiments S3 qui stockent vos données source, notamment les noms des compartiments et l'utilisation du stockage.

Étape 7 : Afficher et interroger vos propres données

Après avoir créé votre lac de données, vous pouvez utiliser Amazon Athena ou des services similaires pour afficher et interroger vos données à partir de AWS Lake Formation bases de données et de tables. Le compte d'administrateur du lac de données AWS Lake Formation doit accorder SELECT des autorisations au rôle IAM que vous souhaitez utiliser pour interroger les bases de données et les tables pertinentes. Le rôle doit disposer au moins des autorisations d'analyste de données. Pour plus d'informations sur les niveaux d'autorisation, consultez la section Personnas de Lake Formation et référence des autorisations IAM. Pour obtenir des instructions sur l'octroi d'SELECTautorisations, consultez la section Octroi d'autorisations pour le catalogue de données à l'aide de la méthode de ressource nommée dans le Guide du AWS Lake Formation développeur.

Étape 8 : Création d'abonnés

Après avoir créé votre lac de données, vous pouvez ajouter des abonnés pour consommer vos données. Les abonnés peuvent consommer des données en accédant directement aux objets de vos compartiments Amazon S3 ou en interrogeant le lac de données. Pour de plus amples informations sur l'abonnement, veuillez consulterAmazon Security.