Commencer à utiliser Amazon Security Lake - Amazon Security Lake

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Commencer à utiliser Amazon Security Lake

Cette section explique comment activer et commencer à utiliser Security Lake. Vous allez apprendre à configurer les paramètres de votre lac de données et à configurer la collecte de journaux. Vous pouvez activer et utiliser Security Lake par le biais du AWS Management Console ou par programmation. Quelle que soit la méthode que vous utilisez, vous devez d'abord configurer un Compte AWS et un utilisateur administratif. Les étapes suivantes varient en fonction de la méthode d'accès. La console Security Lake propose un processus de démarrage rationalisé et crée tous les rôles AWS Identity and Access Management (IAM) nécessaires à la création de votre lac de données.

Compte AWS Configuration initiale

Inscrivez-vous pour un Compte AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS
  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des Services AWS et des ressources de ce compte. La meilleure pratique en matière de sécurité consiste à attribuer un accès administratif à un utilisateur et à n'utiliser que l'utilisateur root pour effectuer les tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. Vous pouvez afficher l‘activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en choisissant Mon compte.

Création d'un utilisateur doté d'un accès administratif

Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS
  1. Connectez-vous en AWS Management Consoletant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l‘aide pour vous connecter en utilisant l‘utilisateur racine, consultez Connexion en tant qu‘utilisateur racine dans le Guide de l‘utilisateur Connexion à AWS .

  2. Activez l‘authentification multifactorielle (MFA) pour votre utilisateur racine.

    Pour obtenir des instructions, consultez la section Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Création d'un utilisateur doté d'un accès administratif
  1. Activez IAM Identity Center.

    Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

  2. Dans IAM Identity Center, accordez un accès administratif à un utilisateur.

    Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connectez-vous en tant qu'utilisateur disposant d'un accès administratif
  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l‘URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l‘utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Attribuer l'accès à des utilisateurs supplémentaires
  1. Dans IAM Identity Center, créez un ensemble d'autorisations conforme aux meilleures pratiques en matière d'application des autorisations du moindre privilège.

    Pour obtenir des instructions, voir Création d'un ensemble d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.

  2. Affectez des utilisateurs à un groupe, puis attribuez un accès d'authentification unique au groupe.

    Pour obtenir des instructions, voir Ajouter des groupes dans le guide de AWS IAM Identity Center l'utilisateur.

Identifiez le compte que vous utiliserez pour activer Security Lake

Security Lake s'intègre AWS Organizations pour gérer la collecte de journaux sur plusieurs comptes d'une organisation. Si vous souhaitez utiliser Security Lake pour une organisation, vous devez utiliser votre compte de gestion Organizations pour désigner un administrateur délégué de Security Lake. Vous devez ensuite utiliser les informations d'identification de l'administrateur délégué pour activer Security Lake, ajouter des comptes membres et activer Security Lake pour eux. Pour plus d’informations, consultez Gérer plusieurs comptes avec AWS Organizations.

Vous pouvez également utiliser Security Lake sans l'intégration Organizations pour un compte autonome ne faisant pas partie d'une organisation.

Considérations relatives à l'activation d'Amazon Security Lake

Avant d'activer Security Lake, tenez compte des points suivants :

  • Security Lake fournit des fonctionnalités de gestion interrégionales, ce qui signifie que vous pouvez créer votre lac de données et configurer la collecte de journaux dans Régions AWS celui-ci. Pour activer Security Lake dans toutes les régions prises en charge, vous pouvez choisir n'importe quel point de terminaison régional pris en charge. Vous pouvez également ajouter des régions cumulatives pour agréger les données de plusieurs régions dans une seule région.

  • Nous vous recommandons d'activer Security Lake dans tous les modèles pris en charge Régions AWS. Dans ce cas, Security Lake peut collecter des données liées à des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Si Security Lake n'est pas activé dans toutes les régions prises en charge, sa capacité à collecter des données auprès d'autres services que vous utilisez dans plusieurs régions est réduite.

  • Lorsque vous activez Security Lake pour la première fois dans une région, un rôle lié à un service est créé pour le compte que vous avez appelé. AWSServiceRoleForSecurityLake Ce rôle inclut les autorisations d'appeler d'autres personnes Services AWS en votre nom et d'exploiter le lac de données de sécurité. Pour plus d'informations sur le fonctionnement des rôles liés à un service, consultez la section Utilisation des rôles liés à un service dans le guide de l'utilisateur IAM. Si vous activez Security Lake en tant qu'administrateur délégué de Security Lake, Security Lake crée le rôle lié au service dans chaque compte membre de l'organisation.

  • Security Lake ne prend pas en charge Amazon S3 Object Lock. Lorsque les compartiments du lac de données sont créés, S3 Object Lock est désactivé par défaut. L'activation du verrouillage d'objets sur un bucket interrompt la transmission des données de journal normalisées au lac de données.

Commencer à utiliser la console

Ce didacticiel explique comment activer et configurer Security Lake via le AWS Management Console. Dans le cadre de AWS Management Console, la console Security Lake propose un processus de démarrage rationalisé et crée tous les rôles AWS Identity and Access Management (IAM) nécessaires à la création de votre lac de données.

Étape 1 : Configuration des sources

Security Lake collecte les données des journaux et des événements à partir de diverses sources et sur votre Comptes AWS territoire Régions AWS. Suivez ces instructions pour identifier les données que vous souhaitez que Security Lake collecte. Vous ne pouvez utiliser ces instructions que pour ajouter une source prise en charge nativement Service AWS . Pour plus d'informations sur l'ajout d'une source personnalisée, consultezCollecte de données à partir de sources personnalisées.

Pour configurer la collecte des sources de log
  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez une région. Vous pouvez activer Security Lake dans la région actuelle et dans d'autres régions lors de l'intégration.

  3. Choisissez Démarrer.

  4. Pour Sélectionner les sources de journaux et d'événements, choisissez l'une des options suivantes :

    1. Ingérer les AWS sources par défaut : lorsque vous choisissez l'option recommandée, CloudTrail les événements de données S3 ne sont pas inclus pour l'ingestion. En effet, l'ingestion d'un volume élevé d'événements de CloudTrail données S3 peut avoir un impact significatif sur le coût d'utilisation. Pour ingérer cette source, sélectionnez l'option Ingérer des AWS sources spécifiques.

    2. Ingérer des AWS sources spécifiques : avec cette option, vous pouvez sélectionner une ou plusieurs sources de journaux et d'événements que vous souhaitez ingérer.

    Note

    Lorsque vous activez Security Lake dans un compte pour la première fois, toutes les sources de journaux et d'événements sélectionnées feront l'objet d'une période d'essai gratuite de 15 jours. Pour plus d'informations sur les statistiques d'utilisation, consultezRévision de l'utilisation et des coûts estimés.

  5. Pour Versions, choisissez la version de la source de données à partir de laquelle vous souhaitez ingérer les sources de journaux et d'événements.

    Important

    Si vous ne disposez pas des autorisations de rôle requises pour activer la nouvelle version de la source de AWS journal dans la région spécifiée, contactez votre administrateur Security Lake. Pour plus d'informations, consultez la section Mettre à jour les autorisations des rôles.

  6. Pour Select Regions, choisissez d'ingérer les sources de journaux et d'événements provenant de toutes les régions prises en charge ou de régions spécifiques. Si vous choisissez Régions spécifiques, sélectionnez les régions à partir desquelles vous souhaitez ingérer les données.

  7. Pour accéder au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à collecter des données à partir de vos sources et à les ajouter à votre lac de données. Un rôle est utilisé dans toutes les régions dans lesquelles vous activez Security Lake.

  8. Choisissez Suivant.

Étape 2 : définir les paramètres de stockage et les régions cumulatives (facultatif)

Vous pouvez spécifier la classe de stockage Amazon S3 dans laquelle vous souhaitez que Security Lake stocke vos données et pendant combien de temps. Vous pouvez également spécifier une région cumulative pour consolider les données de plusieurs régions. Ces étapes sont facultatives. Pour plus d’informations, consultez Gestion du cycle de vie dans Security Lake.

Pour configurer les paramètres de stockage et de cumul
  1. Si vous souhaitez consolider les données de plusieurs régions contributrices dans une région cumulative, pour Sélectionner les régions cumulatives, choisissez Ajouter une région cumulative. Spécifiez la région cumulative et les régions qui y contribueront. Vous pouvez configurer une ou plusieurs régions cumulatives.

  2. Pour Select storage classes, choisissez une classe de stockage Amazon S3. La classe de stockage par défaut est S3 Standard. Indiquez une période de conservation (en jours) si vous souhaitez que les données soient transférées vers une autre classe de stockage après cette période, puis choisissez Ajouter une transition. Une fois la période de rétention terminée, les objets expirent et Amazon S3 les supprime. Pour plus d'informations sur les classes de stockage et la rétention Amazon S3, consultezGestion de la rétention.

  3. Si vous avez sélectionné une région cumulative lors de la première étape, pour accéder au service, créez un nouveau rôle IAM ou utilisez un rôle IAM existant qui autorise Security Lake à répliquer les données dans plusieurs régions.

  4. Choisissez Suivant.

Étape 3 : révision et création d'un lac de données

Passez en revue les sources auprès desquelles Security Lake collectera les données, vos régions cumulatives et vos paramètres de conservation. Créez ensuite votre lac de données.

Pour consulter et créer le lac de données
  1. Lors de l'activation de Security Lake, passez en revue les sources des journaux et des événements, les régions, les régions cumulatives et les classes de stockage.

  2. Choisissez Créer.

Après avoir créé votre lac de données, vous verrez la page de résumé sur la console Security Lake. Cette page fournit un aperçu du nombre de régions et de régions cumulatives, des informations sur les abonnés et les problèmes.

Le menu Problèmes affiche un résumé des problèmes survenus au cours des 14 derniers jours qui ont un impact sur le service Security Lake ou sur vos compartiments Amazon S3. Pour plus de détails sur chaque problème, vous pouvez accéder à la page Problèmes de la console Security Lake.

Étape 4 : Afficher et interroger vos propres données

Après avoir créé votre lac de données, vous pouvez utiliser Amazon Athena ou des services similaires pour afficher et interroger vos données à partir de AWS Lake Formation bases de données et de tables. Lorsque vous utilisez la console, Security Lake accorde automatiquement des autorisations d'affichage de base de données au rôle que vous utilisez pour activer Security Lake. Le rôle doit au minimum disposer des autorisations d'analyste de données. Pour plus d'informations sur les niveaux d'autorisation, consultez les sections Personnas de Lake Formation et Référence des autorisations IAM. Pour obtenir des instructions sur l'octroi d'SELECTautorisations, consultez la section Octroi d'autorisations au catalogue de données à l'aide de la méthode des ressources nommées dans le guide du AWS Lake Formation développeur.

Étape 5 : créer des abonnés

Après avoir créé votre lac de données, vous pouvez ajouter des abonnés pour consommer vos données. Les abonnés peuvent consommer des données en accédant directement aux objets de vos compartiments Amazon S3 ou en interrogeant le lac de données. Pour plus d'informations sur les abonnés, consultezGestion des abonnés dans Amazon Security Lake.

Commencer par programmation

Ce didacticiel explique comment activer et commencer à utiliser Security Lake par programmation. L'API Amazon Security Lake vous donne un accès complet et programmatique à votre compte, à vos données et à vos ressources Security Lake. Vous pouvez également utiliser les outils de ligne de AWS commande (AWS Command Line Interfaceou les AWS outils pour PowerShell) ou les AWS SDK pour accéder à Security Lake.

Étape 1 : créer des rôles IAM

Si vous accédez à Security Lake par programmation, il est nécessaire de créer des rôles AWS Identity and Access Management (IAM) afin de configurer votre lac de données.

Important

Il n'est pas nécessaire de créer ces rôles IAM si vous utilisez la console Security Lake pour activer et configurer Security Lake.

Vous devez créer des rôles dans IAM si vous comptez effectuer une ou plusieurs des actions suivantes (cliquez sur les liens pour obtenir plus d'informations sur les rôles IAM pour chaque action) :

Après avoir créé les rôles mentionnés précédemment, associez la politique AmazonSecurityLakeAdministrator AWS gérée au rôle que vous utilisez pour activer Security Lake. Cette politique accorde des autorisations administratives qui permettent à un mandant d'intégrer Security Lake et d'accéder à toutes les actions de Security Lake.

Joignez la politique AmazonSecurityLakeMetaStoreManager AWS gérée pour créer votre lac de données ou demander des données à partir de Security Lake. Cette politique est nécessaire pour que Security Lake puisse prendre en charge les tâches d'extraction, de transformation et de chargement (ETL) sur les données brutes des journaux et des événements qu'il reçoit des sources.

Étape 2 : activer Amazon Security Lake

Pour activer Security Lake par programmation, utilisez le CreateDataLakefonctionnement de l'API Security Lake. Si vous utilisez le AWS CLI, exécutez la create-data-lakecommande. Dans votre demande, utilisez le region champ de l'configurationsobjet pour spécifier le code de région dans lequel vous souhaitez activer Security Lake. Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.

Exemple 1

L'exemple de commande suivant active Security Lake dans les us-east-2 régions us-east-1 et. Dans les deux régions, ce lac de données est chiffré avec des clés gérées par Amazon S3. Les objets expirent au bout de 365 jours et passent à la classe de stockage ONEZONE_IA S3 au bout de 60 jours. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \ --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Exemple 2

L'exemple de commande suivant active Security Lake dans la us-east-2 région. Ce lac de données est chiffré à l'aide d'une clé gérée par le client créée dans AWS Key Management Service (AWS KMS). Les objets expirent au bout de 500 jours et passent à la classe de stockage GLACIER S3 au bout de 30 jours. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \ --meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"
Note

Si vous avez déjà activé Security Lake et que vous souhaitez mettre à jour les paramètres de configuration d'une région ou d'une source, utilisez l'UpdateDataLakeopération ou, si vous utilisez la AWS CLI, la update-data-lakecommande. N'utilisez pas l'CreateDataLakeopération.

Étape 3 : Configuration des sources

Security Lake collecte les données des journaux et des événements à partir de diverses sources et sur votre Comptes AWS territoire Régions AWS. Suivez ces instructions pour identifier les données que vous souhaitez que Security Lake collecte. Vous ne pouvez utiliser ces instructions que pour ajouter une source prise en charge nativement Service AWS . Pour plus d'informations sur l'ajout d'une source personnalisée, consultezCollecte de données à partir de sources personnalisées.

Pour définir une ou plusieurs sources de collecte par programmation, utilisez le CreateAwsLogSourcefonctionnement de l'API Security Lake. Pour chaque source, spécifiez une valeur unique régionale pour le sourceName paramètre. Utilisez éventuellement des paramètres supplémentaires pour limiter la portée de la source à des comptes spécifiques (accounts) ou à une version spécifique (sourceVersion).

Note

Si vous n'incluez aucun paramètre facultatif dans votre demande, Security Lake applique votre demande à tous les comptes ou à toutes les versions de la source spécifiée, en fonction du paramètre que vous excluez. Par exemple, si vous êtes l'administrateur délégué de Security Lake pour une organisation et que vous excluez le accounts paramètre, Security Lake applique votre demande à tous les comptes de votre organisation. De même, si vous excluez le sourceVersion paramètre, Security Lake applique votre demande à toutes les versions de la source spécifiée.

Si votre demande indique une région dans laquelle vous n'avez pas activé Security Lake, une erreur se produit. Pour corriger cette erreur, assurez-vous que le regions tableau indique uniquement les régions dans lesquelles vous avez activé Security Lake. Vous pouvez également activer Security Lake dans la région, puis soumettre à nouveau votre demande.

Lorsque vous activez Security Lake dans un compte pour la première fois, toutes les sources de journaux et d'événements sélectionnées feront l'objet d'une période d'essai gratuite de 15 jours. Pour plus d'informations sur les statistiques d'utilisation, consultezRévision de l'utilisation et des coûts estimés.

Étape 4 : Configuration des paramètres de stockage et des régions cumulatives (facultatif)

Vous pouvez spécifier la classe de stockage Amazon S3 dans laquelle vous souhaitez que Security Lake stocke vos données et pendant combien de temps. Vous pouvez également spécifier une région cumulative pour consolider les données de plusieurs régions. Ces étapes sont facultatives. Pour plus d’informations, consultez Gestion du cycle de vie dans Security Lake.

Pour définir un objectif cible par programmation lorsque vous activez Security Lake, utilisez le CreateDataLakefonctionnement de l'API Security Lake. Si vous avez déjà activé Security Lake et que vous souhaitez définir un objectif cible, utilisez l'UpdateDataLakeopération, et non l'CreateDataLakeopération.

Quelle que soit l'opération, utilisez les paramètres pris en charge pour spécifier les paramètres de configuration souhaités :

  • Pour spécifier une région de cumul, utilisez le region champ pour spécifier la région dans laquelle vous souhaitez fournir des données aux régions de cumul. Dans le regions tableau de l'replicationConfigurationobjet, spécifiez le code de région pour chaque région cumulative. Pour obtenir la liste des codes de région, consultez la section Points de terminaison Amazon Security Lake dans le Références générales AWS.

  • Pour définir les paramètres de conservation de vos données, utilisez les lifecycleConfiguration paramètres suivants :

    • Pourtransitions, spécifiez le nombre total de jours (days) pendant lesquels vous souhaitez stocker des objets S3 dans une classe de stockage Amazon S3 spécifique (storageClass).

    • Pourexpiration, spécifiez le nombre total de jours pendant lesquels vous souhaitez stocker des objets dans Amazon S3, en utilisant n'importe quelle classe de stockage, après la création des objets. À la fin de cette période de rétention, les objets expirent et Amazon S3 les supprime.

    Security Lake applique les paramètres de rétention spécifiés à la région que vous spécifiez dans le region champ de l'configurationsobjet.

Par exemple, la commande suivante crée un lac de données ap-northeast-2 sous forme de région cumulative. La us-east-1 Région fournira des données à la ap-northeast-2 Région. Cet exemple établit également une période d'expiration de 10 jours pour les objets ajoutés au lac de données.

$ aws securitylake create-data-lake \ --configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \ --meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Vous avez maintenant créé votre lac de données. Utilisez le ListDataLakesfonctionnement de l'API Security Lake pour vérifier l'activation de Security Lake et les paramètres de votre lac de données dans chaque région.

Si des problèmes ou des erreurs surviennent lors de la création de votre lac de données, vous pouvez afficher une liste d'exceptions à l'aide de l'ListDataLakeExceptionsopération et informer les utilisateurs des exceptions lors de l'CreateDataLakeExceptionSubscriptionopération. Pour plus d’informations, consultez Résolution des problèmes liés à l'état des lacs.

Étape 5 : Afficher et interroger vos propres données

Après avoir créé votre lac de données, vous pouvez utiliser Amazon Athena ou des services similaires pour afficher et interroger vos données à partir de AWS Lake Formation bases de données et de tables. Lorsque vous activez Security Lake par programmation, les autorisations d'affichage de la base de données ne sont pas accordées automatiquement. Le compte administrateur du lac de données AWS Lake Formation doit accorder SELECT des autorisations au rôle IAM que vous souhaitez utiliser pour interroger les bases de données et les tables pertinentes. Le rôle doit au minimum disposer des autorisations d'analyste de données. Pour plus d'informations sur les niveaux d'autorisation, consultez les sections Personnas de Lake Formation et Référence des autorisations IAM. Pour obtenir des instructions sur l'octroi d'SELECTautorisations, consultez la section Octroi d'autorisations au catalogue de données à l'aide de la méthode des ressources nommées dans le guide du AWS Lake Formation développeur.

Étape 6 : créer des abonnés

Après avoir créé votre lac de données, vous pouvez ajouter des abonnés pour consommer vos données. Les abonnés peuvent consommer des données en accédant directement aux objets de vos compartiments Amazon S3 ou en interrogeant le lac de données. Pour plus d'informations sur les abonnés, consultezGestion des abonnés dans Amazon Security Lake.