Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengumpulkan data dari sumber khusus
Amazon Security Lake dapat mengumpulkan log dan peristiwa dari sumber kustom pihak ketiga. Untuk setiap sumber kustom, Security Lake menangani hal berikut:
-
Memberikan awalan unik untuk sumber di bucket Amazon S3 Anda.
-
Membuat peran dalam AWS Identity and Access Management (IAM) yang memungkinkan sumber kustom untuk menulis data ke danau data. Batas izin untuk peran ini ditetapkan oleh kebijakan AWS terkelola yang disebut. AmazonSecurityLakePermissionsBoundary
-
Membuat AWS Lake Formation tabel untuk mengatur objek yang ditulis sumber ke Security Lake.
-
Menyiapkan AWS Glue crawler untuk mempartisi data sumber Anda. Crawler mengisi AWS Glue Data Catalog dengan tabel. Ini juga secara otomatis menemukan data sumber baru dan mengekstrak definisi skema.
Untuk menambahkan sumber khusus ke Security Lake, itu harus memenuhi persyaratan berikut:
-
Tujuan — Sumber kustom harus dapat menulis data ke Security Lake sebagai satu set objek S3 di bawah awalan yang ditetapkan ke sumber. Untuk sumber yang berisi beberapa kategori data, Anda harus mengirimkan setiap kelas acara Open Cybersecurity Schema Framework (OCSF)
yang unik sebagai sumber terpisah. Security Lake membuat peran IAM yang memungkinkan sumber kustom untuk menulis ke lokasi yang ditentukan di bucket S3 Anda. catatan
Gunakan alat Validasi OCSF
untuk memverifikasi apakah sumber kustom kompatibel dengan. OCSF Schema 1.1
Format - Setiap objek S3 yang dikumpulkan dari sumber kustom harus diformat sebagai file Apache Parquet.
Skema - Kelas acara OCSF yang sama harus berlaku untuk setiap catatan dalam objek berformat Parket.
Praktik terbaik untuk menelan sumber khusus
Untuk memfasilitasi pemrosesan dan kueri data yang efisien, sebaiknya ikuti praktik terbaik ini saat menambahkan sumber khusus ke Security Lake:
- Partisi
-
Objek harus dipartisi berdasarkan lokasi sumber,, Wilayah AWS Akun AWS, dan tanggal. Jalur data partisi diformat sebagai
.bucket-name
/source-location
/region=region
/accountId=accountID
/eventDay=YYYYMMDD
Partisi sampel adalah
aws-security-data-lake-
.us-west-2-lake-uid
/source-location
/region=us-west-2
/accountId=123456789012
/eventDay=20230428
/-
bucket-name
— Nama bucket Amazon S3 tempat Security Lake menyimpan data sumber kustom Anda. -
source-location
— Awalan untuk sumber kustom di bucket S3 Anda. Security Lake menyimpan semua objek S3 untuk sumber tertentu di bawah awalan ini, dan awalan unik untuk sumber yang diberikan. -
region
— Wilayah AWS yang datanya ditulis. -
accountId
— Akun AWS ID yang berkaitan dengan catatan di partisi sumber. -
eventDay
— Tanggal di mana peristiwa terjadi, diformat sebagai string delapan karakter (YYYYMMDD
).
-
- Ukuran dan tarif objek
-
Objek yang ditulis ke Security Lake harus menyangga catatan selama 5 menit. Jika periode buffer menyertakan terlalu banyak data untuk ditanyakan secara efisien, sumber kustom dapat menulis beberapa catatan di jendela 5 menit selama ukuran rata-rata file tersebut tetap di bawah 256 MB. Sumber khusus dengan throughput rendah dapat menulis objek yang lebih kecil setiap 5 menit untuk mempertahankan latensi konsumsi 5 menit, dan dapat menyangga catatan untuk periode yang lebih lama.
- Pengaturan parket
-
Security Lake mendukung Parket versi 1.x dan 2.x. Ukuran halaman data harus dibatasi hingga 1 MB (tidak terkompresi). Ukuran grup baris tidak boleh lebih besar dari 256 MB (dikompresi). Untuk kompresi dalam objek Parket, zstandard lebih disukai.
- Penyortiran
-
Dalam setiap objek yang diformat Parket, catatan harus dipesan berdasarkan waktu untuk mengurangi biaya kueri data.
Prasyarat untuk menambahkan sumber khusus
Saat menambahkan sumber khusus, Security Lake membuat peran IAM yang memungkinkan sumber untuk menulis data ke lokasi yang benar di danau data. Nama peran mengikuti formatAmazonSecurityLake-Provider-{name of the custom source}-{region}
, Wilayah AWS di region
mana Anda menambahkan sumber kustom. Security Lake melampirkan kebijakan untuk peran yang memungkinkan akses ke danau data. Jika Anda telah mengenkripsi data lake dengan AWS KMS kunci yang dikelola pelanggan, Security Lake juga melampirkan kebijakan dengan kms:Decrypt
dan kms:GenerateDataKey
izin ke peran tersebut. Batas izin untuk peran ini ditetapkan oleh kebijakan AWS terkelola yang disebut. AmazonSecurityLakePermissionsBoundary
Topik
Memverifikasi izin
Sebelum menambahkan sumber kustom, verifikasi bahwa Anda memiliki izin untuk melakukan tindakan berikut.
Untuk memverifikasi izin Anda, gunakan IAM untuk meninjau kebijakan IAM yang dilampirkan pada identitas IAM Anda. Kemudian, bandingkan informasi dalam kebijakan tersebut dengan daftar tindakan berikut yang harus diizinkan untuk dilakukan untuk menambahkan sumber kustom.
-
glue:CreateCrawler
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:StopCrawlerSchedule
-
iam:GetRole
-
iam:PutRolePolicy
-
iam:DeleteRolePolicy
-
iam:PassRole
-
lakeformation:RegisterResource
-
lakeformation:GrantPermissions
-
s3:ListBucket
-
s3:PutObject
Tindakan ini memungkinkan Anda mengumpulkan log dan peristiwa dari sumber khusus, mengirimkannya ke AWS Glue database dan tabel yang benar, dan menyimpannya di Amazon S3.
Jika Anda menggunakan AWS KMS kunci untuk enkripsi sisi server data lake Anda, Anda juga memerlukan izin untuk,kms:CreateGrant
, kms:DescribeKey
dan. kms:GenerateDataKey
penting
Jika Anda berencana menggunakan konsol Security Lake untuk menambahkan sumber khusus, Anda dapat melewati langkah berikutnya dan melanjutkan keMenambahkan sumber khusus. Konsol Security Lake menawarkan proses yang efisien untuk memulai, dan menciptakan semua peran IAM yang diperlukan atau menggunakan peran yang ada atas nama Anda.
Jika Anda berencana untuk menggunakan Security Lake API atau AWS CLI menambahkan sumber kustom, lanjutkan dengan langkah berikutnya untuk membuat peran IAM untuk mengizinkan akses tulis ke lokasi bucket Security Lake.
Buat peran IAM untuk mengizinkan akses tulis ke lokasi bucket Security Lake (API dan langkah AWS CLI-only)
Jika Anda menggunakan Security Lake API atau AWS CLI menambahkan sumber kustom, tambahkan peran IAM ini untuk memberikan AWS Glue izin untuk merayapi data sumber kustom Anda dan mengidentifikasi partisi dalam data. Partisi ini diperlukan untuk mengatur data Anda dan membuat serta memperbarui tabel di Katalog Data.
Setelah membuat peran IAM ini, Anda akan memerlukan Nama Sumber Daya Amazon (ARN) peran tersebut untuk menambahkan sumber kustom.
Anda harus melampirkan kebijakan yang arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole
AWS
dikelola.
Untuk memberikan izin yang diperlukan, Anda juga harus membuat dan menyematkan kebijakan sebaris berikut dalam peran Anda Perayap AWS Glue untuk mengizinkan membaca file data dari sumber kustom dan membuat/memperbarui tabel di Katalog Data. AWS Glue
{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3WriteRead", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::{{bucketName}}/*" ] } ] }
Lampirkan kebijakan kepercayaan berikut untuk mengizinkan penggunaan yang dapat mengambil peran berdasarkan ID eksternal: Akun AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "glue.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Jika bucket S3 di Wilayah tempat Anda menambahkan sumber kustom dienkripsi dengan pengelola pelanggan AWS KMS key, Anda juga harus melampirkan kebijakan berikut ke peran dan kebijakan kunci KMS Anda:
{ "Effect": "Allow", "Action": [ "kms:GenerateDataKey" "kms:Decrypt" ], "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": [ "arn:aws:s3:::{{
name of S3 bucket created by Security Lake
}" ] } }, "Resource": [ "{{ARN of customer managed key}}" ] }
Menambahkan sumber khusus
Setelah membuat peran IAM untuk memanggil AWS Glue crawler, ikuti langkah-langkah berikut untuk menambahkan sumber kustom di Security Lake.
Menjaga data sumber kustom diperbarui di AWS Glue
Setelah Anda menambahkan sumber kustom di Security Lake, Security Lake membuat AWS Glue crawler. Crawler terhubung ke sumber kustom Anda, menentukan struktur data, dan mengisi Katalog AWS Glue Data dengan tabel.
Sebaiknya jalankan crawler secara manual agar skema sumber kustom Anda tetap mutakhir dan mempertahankan fungsionalitas kueri di Athena dan layanan kueri lainnya. Secara khusus, Anda harus menjalankan crawler jika salah satu dari perubahan berikut terjadi dalam kumpulan data input Anda untuk sumber kustom:
Kumpulan data memiliki satu atau lebih kolom tingkat atas baru.
Kumpulan data memiliki satu atau lebih bidang baru dalam kolom dengan
struct
tipe data.
Untuk petunjuk tentang menjalankan crawler, lihat Menjadwalkan AWS Glue crawler di Panduan Pengembang.AWS Glue
Security Lake tidak dapat menghapus atau memperbarui crawler yang ada di akun Anda. Jika Anda menghapus sumber kustom, sebaiknya hapus crawler terkait jika Anda berencana membuat sumber kustom dengan nama yang sama di masa mendatang.
Menghapus sumber kustom
Hapus sumber khusus untuk berhenti mengirim data dari sumber ke Security Lake.