Collecte de données à partir deAWS services - Amazon Security Lake
CloudTrail journaux d'événementsJournaux de requête Route 53 ResolverLes résultats Security HubJournaux de flux VPCPrérequis : vérifier les autorisationsAjouter unService AWS en tant que sourceSupprimer un fichierService AWS en tant que source

Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des Conditions de AWS service (« Bêtas et versions préliminaires »).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Collecte de données à partir deAWS services

Amazon Security Lake peut collecter des journaux et des événements à partir des éléments suivants, pris en charge en mode natifServices AWS :

  • AWS CloudTrailévénements de gestion et de données (S3, Lambda)

  • Journaux de requête Amazon Route 53 Resolver

  • Résultats AWS Security Hub

  • Journaux de flux avec Security

CloudTrail journaux d'événements

AWS CloudTrailvous fournit un historique des appels d'AWSAPI pour votre compte, y compris les appels d'API effectués à l'aide de la console deAWS gestion,AWS des SDK, des outils de ligne de commande et de certainsAWS services. CloudTrail vous permet également d'identifier les utilisateurs et les comptes qui ont appelé lesAWS API pour les services qui les prennent en charge CloudTrail, l'adresse IP source d'origine des appels, ainsi que le moment où les appels ont eu lieu. Pour plus d'informations, consultez le AWS CloudTrailGuide de l'utilisateur .

Security Lake peut collecter des journaux associés aux événements CloudTrail de gestion et aux événements de CloudTrail données pour S3 et Lambda. Les événements de gestion, également appelés événements de contrôle, fournissent des informations sur les opérations de gestion exécutées sur les ressources dans votreCompte AWS. CloudTrail les événements de données, également appelés opérations de plan de données, indiquent les opérations sur les ressources effectuées sur ou au sein des ressources de votreCompte AWS. Ces opérations sont souvent des activités à volume élevé.

Lorsque vous ajoutez CloudTrail des événements en tant que source dans Security Lake, Security Lake commence immédiatement à collecter vos journaux CloudTrail d'événements. Il consomme CloudTrail des événements de gestion et de données directement CloudTrail via un flux d'événements indépendant et dupliqué.

Security Lake ne gère pas vos CloudTrail événements et n'affecte pas vos CloudTrail configurations existantes. Pour gérer directement l'accès et la conservation de vos CloudTrail événements, vous devez utiliser la console CloudTrail de service ou l'API. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements dans le Guide deAWS CloudTrail l'utilisateur.

Journaux de requête Route 53 Resolver

Les journaux de requêtes du résolveur Route 53 suivent les requêtes DNS émises par les ressources dans votre Amazon Virtual Private Cloud (Amazon VPC). Cela vous permet de comprendre le fonctionnement de vos applications et de détecter les menaces de sécurité.

Lorsque vous ajoutez les journaux de requêtes du résolveur Route 53 en tant que source dans Security Lake, Security Lake commence immédiatement à collecter vos journaux de requêtes de résolution directement à partir de Route 53 via un flux d'événements indépendant et dupliqué.

Security Lake ne gère pas vos journaux Route 53 et n'affecte pas les configurations existantes de journalisation des requêtes du résolveur. Pour gérer les journaux de requêtes avec Security Pour de plus amples informations, veuillez consulter Gestion des configurations de journalisation des requêtes dans le

Les résultats Security Hub

Les résultats Security Hub vous aident à comprendre votre niveau de sécurité dansAWS et vous permettent de vérifier votre environnement par rapport aux normes et aux bonnes pratiques du secteur sécurité. Security Hub recueille des résultats provenant de diverses sources, notamment des intégrations avec d'autres intégrations de produits tiersServices AWS, et des vérifications par rapport aux contrôles de Security Hub. Les Security Hub utilisent les résultats dans un format standard appelé ASFF (AWSSecurity

Lorsque vous ajoutez les résultats de Security Hub en tant que source dans Security Lake, Security Lake commence immédiatement à collecter vos résultats directement à partir de Security Hub via un flux d'événements indépendant et dupliqué. Security Lake transforme également les résultats de l'ASFF enCadre de schéma de cybersécurité ouvert (OCSF) (OCSF).

Security Lake ne gère pas les résultats de votre Security Hub et n'affecte pas les paramètres de votre Security Hub. Pour gérer les résultats de Security Hub, vous devez utiliser la console de service Security Hub, l'API ouAWS CLI. Pour plus d'informations, consultez la section RésultatsAWS Security Hub du guide deAWS Security Hub l'utilisateur.

Journaux de flux VPC

La fonctionnalité de journaux de flux VPC d'Amazon VPC capture des informations sur le trafic IP circulant vers et depuis les interfaces réseau dans votre environnement.

Lorsque vous ajoutez des journaux de flux VPC en tant que source dans Security Lake, Security Lake commence immédiatement à collecter vos journaux de flux VPC. Il utilise les journaux de flux VPC directement à partir de la fonctionnalité VPC Flow Logs via un flux de journaux de flux indépendant et dupliqué.

Security Lake ne gère pas vos journaux de flux et n'affecte pas vos configurations Amazon VPC. Pour gérer vos journaux de flux, vous devez utiliser la console de service Amazon VPC. Pour plus d'informations, consultez la section Utilisation des journaux de flux dans le Guide du développeur Amazon VPC.

Prérequis : vérifier les autorisations

Avant d'ajouter unService AWS comme source, vérifiez que vous avez l'autorisation d'exécuter les actions suivantes :

Pour vérifier vos autorisations, utilisez IAM pour consulter les politiques IAM associées à votre identité IAM. Comparez ensuite les informations contenues dans ces politiques à la liste suivante d'actions que vous devez être autorisé à effectuer pour ajouter uneService AWS source.

  • glue:CreateDatabase

  • glue:CreateTable

  • glue:GetDatabase

  • glue:GetTable

  • iam:CreateServiceLinkedRole

Ces actions vous permettent de collecter des journaux et des événements à partir de l'anService AWS et de les envoyer vers laAWS Glue base de données et la table appropriées.

Si vous utilisez uneAWS KMS clé pour le chiffrement côté serveur de votre lac de données, vous devez également obtenir une autorisation pourkms:DescribeKey.

Ajouter unService AWS en tant que source

Une foisService AWS que vous avez ajouté une source, Security Lake commence automatiquement à collecter les journaux et les événements de sécurité à partir de cette source. Ces instructions vous indiquent comment ajouter une source priseService AWS en charge nativement dans Security Lake. Pour obtenir des instructions sur l'ajout d'une source personnalisée, consultezCollecte de données à partir de sources personnalisées.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Choisissez Sources avec Security

  3. SélectionnezService AWS celui à partir duquel vous souhaitez collecter des données, puis choisissez Activer.

  4. Sélectionnez les régions dans lesquelles vous souhaitez collecter des données pour la source. Security Lake collectera les données de la source à partir de tous les comptes des régions sélectionnées.

  5. Sélectionnez Enable (Activer).

API

  1. Exécutez CreateAwsLogSource. Le paramètre inputOrder est obligatoire. Si nécessaire, fournissez une valeur prise en charge pourMEMBER (identifiant de compte d'unCompte AWS utilisateur spécifique),REGION (Région AWScode) et SOURCE_TYPE.

  2. Utilisez leenableSingleDimension paramètre pour activer toutes lesAWS sources dans des comptes ou des régions spécifiques.

  3. Utilisez leenableTwoDimensions paramètre pour activer desAWS sources spécifiques dans des comptes ou des régions spécifiques.

  4. Utilisez leenableAllDimensions paramètre pour activer desAWS sources spécifiques dans des comptes et des régions spécifiques.

Note

Si vous appliquez cette demande d'API à une région dans laquelle vous n'avez pas activé Security Lake, vous recevrez un message d'erreur. Vous pouvez résoudre l'erreur en activant Security Lake dans cette région ou en utilisant leREGIONS paramètre pour spécifier uniquement les régions dans lesquelles vous avez activé Security Lake.

Important

Lorsque vous ne fournissez aucune dimension dans votre demande, Security Lake suppose que la dimension manquante fait référence à l'ensemble complet. Par exemple, si vous ne fournissez pas de comptes spécifiques, l'API s'applique à l'ensemble des comptes de votre organisation.

Exemple de demande d'API :


{
    "inputOrder": [
        "REGION",
        "SOURCE_TYPE",
        "MEMBER"
    ],
    "enableAllDimensions": {
        "us-east-1": {
            "VPC_FLOW": [
                "123456789012",
                "111122223333"
            ],
            "ROUTE53": [
                "444455556666",
                "777788889999"
            ]
        },
        "us-west-2": {
            "SH_FINDINGS": [
                "111111111111",
                "111122223333"
            ],
            "CLOUD_TRAIL": [
                "123456789012",
                "444455556666"
            ]
        }
    }
}
AWS CLI

  1. Exécutez la commande create-aws-log-source. Le champ input-order est obligatoire. Si nécessaire, fournissez une valeur prise en charge pourMEMBER (identifiant de compte d'unCompte AWS utilisateur spécifique),REGION (Région AWScode) et SOURCE_TYPE.

  2. Exécutez la commande avec leenable-single-dimension paramètre pour collecter des données provenant de toutes lesAWS sources dans des comptes ou des régions spécifiques.

    
aws securitylake create-aws-log-source \
 --input-order MEMBER \
 --enable-single-dimension '["123456789012","111122223333","444455556666"]'

  3. Exécutez la commande avec leenable-two-dimensions paramètre pour collecter des données à partir deAWS sources spécifiques dans des comptes ou des régions spécifiques.

    
aws securitylake create-aws-log-source \
 --input-order SOURCE_TYPE MEMBER \
 --enable-two-dimensions '{"VPC_FLOW":["123456789012"],"CLOUD_TRAIL":["123456789012"], "CLOUD_TRAIL":["111122223333"]}'

  4. Exécutez la commande avec leenable-all-dimensions paramètre pour collecter des données à partir deAWS sources spécifiques dans des comptes et des régions spécifiques.

    aws securitylake create-aws-log-source \
 --input-order REGION SOURCE_TYPE MEMBER \
 --enable-all-dimensions '{{"us-east-1":{"VPC_FLOW":["123456789012"],"CLOUD_TRAIL":["123456789012"]}}, {"us-west-2": {"CLOUD_TRAIL":["111122223333"]}}}'
Note

Si vous appliquez cette demande d'API à une région dans laquelle vous n'avez pas activé Security Lake, vous recevrez un message d'erreur. Vous pouvez résoudre l'erreur en activant Security Lake dans cette région ou en utilisant leREGIONS paramètre pour spécifier uniquement les régions dans lesquelles vous avez activé Security Lake.

Important

Lorsque vous ne fournissez aucune dimension dans votre commande, Security Lake suppose que la dimension manquante fait référence à l'ensemble complet. Par exemple, si vous ne fournissez pas de comptes spécifiques, la commande s'applique à l'ensemble des comptes de votre organisation.

Supprimer un fichierService AWS en tant que source

Choisissez votre méthode d'accès et suivez les étapes pour supprimer une source prise en charge nativement enService AWS tant que source Security Lake. Vous pouvez supprimer une source pour une ou plusieurs régions. Lorsque vous supprimez la source, Security Lake arrête de collecter des données à partir de cette source dans les régions et les comptes spécifiés, et les abonnés ne peuvent plus consommer de nouvelles données provenant de la source. Toutefois, les abonnés peuvent toujours consommer les données que Security Lake a collectées auprès de la source avant leur suppression. Vous ne pouvez utiliser ces instructions que pour supprimer une source prise en chargeService AWS en mode natif. Pour plus d'informations sur la suppression d'une source personnalisée, consultezCollecte de données à partir de sources personnalisées.

Console

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Choisissez Sources avec Security

  3. Sélectionnez une source, puis choisissez Désactiver.

  4. Sélectionnez la ou les régions dans lesquelles vous souhaitez arrêter de collecter des données à partir de cette source. Security Lake cessera de collecter des données à partir de la source à partir de tous les comptes des régions sélectionnées.

API

  1. Exécutez DeleteAwsLogSource. Le paramètre inputOrder est obligatoire. Si nécessaire, fournissez une valeur prise en charge pourMEMBER (identifiant de compte d'unCompte AWS utilisateur spécifique),REGION (Région AWScode) et SOURCE_TYPE.

  2. Utilisez ledisableSingleDimension paramètre pour supprimer toutes lesAWS sources de comptes ou de régions spécifiques.

  3. Utilisez ledisableTwoDimensions paramètre pour supprimer desAWS sources spécifiques de comptes ou de régions spécifiques.

  4. Utilisez ledisableAllDimensions paramètre pour supprimer desAWS sources spécifiques de comptes spécifiques et de régions spécifiques.

Important

Lorsque vous ne fournissez aucune dimension dans votre demande, Security Lake suppose que la dimension manquante fait référence à l'ensemble complet. Par exemple, si vous ne fournissez pas de comptes spécifiques, l'API s'applique à l'ensemble des comptes de votre organisation.

Exemple de demande d'API :


{
    "inputOrder": [
        "REGION",
        "SOURCE_TYPE",
        "MEMBER"
    ],
    "disableAllDimensions": {
        "us-east-1": {
            "VPC_FLOW": [
                "123456789012",
                "111122223333"
            ],
            "ROUTE53": [
                "444455556666",
                "777788889999"
            ]
        },
        "us-west-2": {
            "SH_FINDINGS": [
                "111111111111",
                "111122223333"
            ],
            "CLOUD_TRAIL": [
                "123456789012",
                "444455556666"
            ]
        }
    }
}
AWS CLI

  1. Exécutez la commande delete-aws-log-source. Le champ input-order est obligatoire. Si nécessaire, fournissez une valeur prise en charge pourMEMBER (identifiant de compte d'unCompte AWS utilisateur spécifique),REGION (Région AWScode) et SOURCE_TYPE.

  2. Exécutez la commande avec ledisable-single-dimension paramètre pour supprimer toutes lesAWS sources de comptes ou de régions spécifiques.

    
aws securitylake delete-aws-log-source \
 --input-order MEMBER \
 --disable-single-dimension '["123456789012","111122223333","444455556666"]'

  3. Exécutez la commande avec ledisable-two-dimensions paramètre pour supprimer desAWS sources spécifiques de comptes ou de régions spécifiques.

    
aws securitylake delete-aws-log-source \
 --input-order SOURCE_TYPE MEMBER \
 --disable-two-dimensions '{"VPC_FLOW":["123456789012"],"CLOUD_TRAIL":["123456789012"], "CLOUD_TRAIL":["111122223333"]}'

  4. Exécutez la commande avec ledisable-all-dimensions paramètre pour supprimer desAWS sources spécifiques de comptes spécifiques et de régions spécifiques.

    aws securitylake delete-aws-log-source \
 --input-order REGION SOURCE_TYPE MEMBER \
 --disable-all-dimensions '{{"us-east-1":{"VPC_FLOW":["123456789012"],"CLOUD_TRAIL":["123456789012"]}}, {"us-west-2": {"CLOUD_TRAIL":["111122223333"]}}}'
Important

Lorsque vous ne fournissez aucune dimension dans votre commande, Security Lake suppose que la dimension manquante fait référence à l'ensemble complet. Par exemple, si vous ne fournissez pas de comptes spécifiques, la commande s'applique à l'ensemble des comptes de votre organisation.