Mengumpulkan data dari Layanan AWS

Amazon Security Lake dapat mengumpulkan log dan peristiwa dari yang didukung secara asli Layanan AWS berikut ini:

• AWS CloudTrail manajemen dan peristiwa data (S3, Lambda)

• Log Audit Amazon Elastic Kubernetes Service (Amazon EKS)

• Log kueri Amazon Route 53 Resolver

• AWS Security Hub temuan

• Log Aliran Amazon Virtual Private Cloud (Amazon VPC)

• AWS WAF log v2

Security Lake secara otomatis mengubah data ini menjadi format Kerangka Kerja Skema Keamanan Siber Terbuka (OCSF) dan Apache Parquet.

Tip

Untuk menambahkan satu atau beberapa layanan sebelumnya sebagai sumber log di Security Lake, Anda tidak perlu mengonfigurasi pencatatan secara terpisah di layanan ini, kecuali peristiwa CloudTrail manajemen. Jika Anda memiliki log yang dikonfigurasi dalam layanan ini, Anda tidak perlu mengubah konfigurasi logging Anda untuk menambahkannya sebagai sumber log di Security Lake. Security Lake menarik data langsung dari layanan ini melalui aliran peristiwa independen dan duplikat.

Prasyarat: Verifikasi izin

Untuk menambahkan Layanan AWS sebagai sumber di Security Lake, Anda harus memiliki izin yang diperlukan. Verifikasi bahwa kebijakan AWS Identity and Access Management (IAM) yang dilampirkan pada peran yang Anda gunakan untuk menambahkan sumber memiliki izin untuk melakukan tindakan berikut:

• glue:CreateDatabase

• glue:CreateTable

• glue:GetDatabase

• glue:GetTable

• glue:UpdateTable

• iam:CreateServiceLinkedRole

• s3:GetObject

• s3:PutObject

Disarankan agar peran memiliki kondisi dan ruang lingkup sumber daya berikut untuk s3:PutObject izin S3:getObject dan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}             

Tindakan ini memungkinkan Anda untuk mengumpulkan log dan peristiwa dari an Layanan AWS dan mengirimkannya ke AWS Glue database dan tabel yang benar.

Jika Anda menggunakan AWS KMS kunci untuk enkripsi sisi server data lake Anda, Anda juga memerlukan izin untuk. kms:DescribeKey

CloudTrail log peristiwa

AWS CloudTrail memberi Anda riwayat panggilan AWS API untuk akun Anda, termasuk panggilan API yang dilakukan menggunakan AWS Management Console, AWS SDK, alat baris perintah, dan AWS layanan tertentu. CloudTrail juga memungkinkan Anda mengidentifikasi pengguna dan akun mana yang disebut AWS API untuk layanan yang mendukung CloudTrail, alamat IP sumber tempat panggilan dibuat, dan kapan panggilan terjadi. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS CloudTrail.

Security Lake dapat mengumpulkan log yang terkait dengan peristiwa CloudTrail manajemen dan peristiwa CloudTrail data untuk S3 dan Lambda. CloudTrail peristiwa manajemen, peristiwa data S3, dan peristiwa data Lambda adalah tiga sumber terpisah di Security Lake. Akibatnya, mereka memiliki nilai yang berbeda sourceNameketika Anda menambahkan salah satunya sebagai sumber log yang dicerna. Peristiwa manajemen, juga dikenal sebagai peristiwa bidang kontrol, memberikan wawasan tentang operasi manajemen yang dilakukan pada sumber daya di Anda Akun AWS. CloudTrail Peristiwa data, juga dikenal sebagai operasi bidang data, menunjukkan operasi sumber daya yang dilakukan pada atau di dalam sumber daya di Anda Akun AWS. Operasi ini sering kali merupakan aktivitas bervolume tinggi.

Untuk mengumpulkan acara CloudTrail manajemen di Security Lake, Anda harus memiliki setidaknya satu jejak organisasi CloudTrail Multi-wilayah yang mengumpulkan acara CloudTrail manajemen baca dan tulis. Logging harus diaktifkan untuk jejak. Jika Anda memiliki logging yang dikonfigurasi di layanan lain, Anda tidak perlu mengubah konfigurasi logging Anda untuk menambahkannya sebagai sumber log di Security Lake. Security Lake menarik data langsung dari layanan ini melalui aliran peristiwa independen dan duplikat.

Jejak multi-wilayah mengirimkan file log dari beberapa Wilayah ke satu bucket Amazon Simple Storage Service (Amazon S3) untuk satu bucket. Akun AWS Jika Anda sudah memiliki jejak Multi-wilayah yang dikelola melalui CloudTrail konsol atau AWS Control Tower, tidak diperlukan tindakan lebih lanjut.

• Untuk informasi tentang membuat dan mengelola jejak CloudTrail, lihat Membuat jejak untuk organisasi di Panduan AWS CloudTrail Pengguna.

• Untuk informasi tentang membuat dan mengelola jejak AWS Control Tower, lihat AWS Control Tower Tindakan pencatatan dengan AWS CloudTrail di Panduan AWS Control Tower Pengguna.

Saat Anda menambahkan CloudTrail acara sebagai sumber, Security Lake segera mulai mengumpulkan log CloudTrail peristiwa Anda. Ini mengkonsumsi CloudTrail manajemen dan peristiwa data langsung dari CloudTrail melalui aliran peristiwa independen dan duplikat.

Security Lake tidak mengelola CloudTrail acara Anda atau memengaruhi CloudTrail konfigurasi yang ada. Untuk mengelola akses dan retensi CloudTrail acara Anda secara langsung, Anda harus menggunakan konsol CloudTrail layanan atau API. Untuk informasi selengkapnya, lihat Melihat CloudTrail peristiwa dengan riwayat peristiwa di Panduan AWS CloudTrail Pengguna.

Daftar berikut menyediakan link GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan CloudTrail peristiwa ke OCSF.

GitHub Repositori OCSF untuk acara CloudTrail

• Sumber versi 1 (v1.0.0-rc.2)

• Versi sumber 2 (v1.1.0)

Log Audit Amazon EKS

Saat Anda menambahkan Log Audit Amazon EKS sebagai sumber, Security Lake mulai mengumpulkan informasi mendalam tentang aktivitas yang dilakukan pada resource Kubernetes yang berjalan di cluster Elastic Kubernetes Service (EKS) Anda. Log Audit EKS membantu Anda mendeteksi aktivitas yang berpotensi mencurigakan di kluster EKS Anda dalam Amazon Elastic Kubernetes Service.

Security Lake menggunakan peristiwa Log Audit EKS langsung dari fitur pencatatan pesawat kontrol Amazon EKS melalui aliran log audit yang independen dan duplikatif. Proses ini dirancang agar tidak memerlukan pengaturan tambahan atau memengaruhi konfigurasi pencatatan bidang kontrol Amazon EKS yang ada yang mungkin Anda miliki. Untuk informasi selengkapnya, lihat pencatatan pesawat kontrol Amazon EKS di Panduan Pengguna Amazon EKS.

Log audit Amazon EKS hanya didukung di OCSF v1.1.0. Untuk informasi tentang cara Security Lake menormalkan peristiwa EKS Audit Logs ke OCSF, lihat referensi pemetaan di repositori GitHub OCSF untuk peristiwa Amazon EKS Audit Logs (v1.1.0).

Log pertanyaan resolver Amazon Route 53

Log kueri resolver Route 53 melacak kueri DNS yang dibuat oleh sumber daya dalam Amazon Virtual Private Cloud (Amazon VPC) Anda. Ini membantu Anda memahami bagaimana aplikasi Anda beroperasi dan menemukan ancaman keamanan.

Saat Anda menambahkan log kueri resolver Route 53 sebagai sumber di Security Lake, Security Lake segera mulai mengumpulkan log kueri resolver Anda langsung dari Route 53 melalui aliran peristiwa independen dan duplikat.

Security Lake tidak mengelola log Route 53 Anda atau memengaruhi konfigurasi pencatatan kueri resolver yang ada. Untuk mengelola log kueri resolver, Anda harus menggunakan konsol layanan Route 53. Untuk informasi selengkapnya, lihat Mengelola konfigurasi pencatatan kueri Resolver di Panduan Pengembang Amazon Route 53.

Daftar berikut menyediakan tautan GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan log Route 53 ke OCSF.

GitHub Repositori OCSF untuk log Route 53

• Sumber versi 1 (v1.0.0-rc.2)

• Versi sumber 2 (v1.1.0)

Temuan Security Hub

Temuan Security Hub membantu Anda memahami postur keamanan Anda AWS dan memungkinkan Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub mengumpulkan temuan dari berbagai sumber, termasuk integrasi dengan integrasi produk pihak ketiga lainnya Layanan AWS, dan pemeriksaan terhadap kontrol Security Hub. Security Hub memproses temuan dalam format standar yang disebut AWS Security Finding Format (ASFF).

Saat Anda menambahkan temuan Security Hub sebagai sumber di Security Lake, Security Lake segera mulai mengumpulkan temuan Anda langsung dari Security Hub melalui aliran peristiwa independen dan duplikat. Security Lake juga mengubah temuan dari ASFF ke Kerangka Kerja Skema Keamanan Siber Terbuka (OCSF) (OCSF).

Security Lake tidak mengelola temuan Security Hub Anda atau memengaruhi pengaturan Security Hub Anda. Untuk mengelola temuan Security Hub, Anda harus menggunakan konsol layanan Security Hub, API, atau AWS CLI. Untuk informasi selengkapnya, lihat Temuan AWS Security Hub di Panduan AWS Security Hub Pengguna.

Daftar berikut menyediakan link GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan temuan Security Hub ke OCSF.

GitHub Repositori OCSF untuk temuan Security Hub

• Sumber versi 1 (v1.0.0-rc.2)

• Versi sumber 2 (v1.1.0)

Log Alur VPC

Fitur VPC Flow Logs dari Amazon VPC menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di lingkungan Anda.

Saat Anda menambahkan Log Aliran VPC sebagai sumber di Security Lake, Security Lake segera mulai mengumpulkan Log Aliran VPC Anda. Ini mengkonsumsi VPC Flow Logs langsung dari Amazon VPC melalui aliran Flow Logs yang independen dan duplikat.

Security Lake tidak mengelola Log Aliran VPC Anda atau memengaruhi konfigurasi VPC Amazon Anda. Untuk mengelola Log Aliran, Anda harus menggunakan konsol layanan Amazon VPC. Untuk informasi selengkapnya, lihat Bekerja dengan Log Aliran di Panduan Pengembang Amazon VPC.

Daftar berikut menyediakan link GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan VPC Flow Logs ke OCSF.

GitHub Repositori OCSF untuk Log Aliran VPC

• Sumber versi 1 (v1.0.0-rc.2)

• Versi sumber 2 (v1.1.0)

AWS WAF log

Saat Anda menambahkan AWS WAF sebagai sumber log di Security Lake, Security Lake segera mulai mengumpulkan log. AWS WAF adalah firewall aplikasi web yang dapat Anda gunakan untuk memantau permintaan web yang dikirim pengguna akhir Anda ke aplikasi Anda dan untuk mengontrol akses ke konten Anda. Informasi yang dicatat mencakup waktu AWS WAF menerima permintaan web dari AWS sumber daya Anda, informasi terperinci tentang permintaan, dan detail tentang aturan yang cocok dengan permintaan tersebut.

Security Lake mengkonsumsi AWS WAF log langsung dari AWS WAF melalui aliran log independen dan duplikat. Proses ini dirancang untuk tidak memerlukan pengaturan tambahan atau memengaruhi AWS WAF konfigurasi yang ada yang mungkin Anda miliki. Untuk informasi selengkapnya tentang cara Anda dapat menggunakan AWS WAF untuk melindungi sumber daya aplikasi, lihat Cara AWS WAF kerjanya di Panduan AWS WAF Pengembang.

penting

Jika Anda menggunakan CloudFront distribusi Amazon sebagai tipe sumber daya AWS WAF, Anda harus memilih US East (N.Virginia) untuk menyerap log global di Security Lake.

AWS WAF log hanya didukung di OCSF v1.1.0. Untuk informasi tentang cara Security Lake menormalkan peristiwa AWS WAF log ke OCSF, lihat referensi pemetaan di repositori GitHub OCSF untuk log (v1.1.0). AWS WAF

Menambahkan Layanan AWS sebagai sumber

Setelah Anda menambahkan Layanan AWS sebagai sumber, Security Lake secara otomatis mulai mengumpulkan log keamanan dan peristiwa darinya. Instruksi ini memberi tahu Anda cara menambahkan yang didukung secara asli Layanan AWS sebagai sumber di Security Lake. Untuk petunjuk tentang menambahkan sumber kustom, lihatMengumpulkan data dari sumber khusus.

Console

Untuk menambahkan sumber AWS log (konsol)

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

2. Pilih Sumber dari panel navigasi.

3. Pilih Layanan AWS yang ingin Anda kumpulkan datanya, dan pilih Konfigurasi.

4. Di bagian Pengaturan sumber, aktifkan sumber dan pilih Versi sumber data yang ingin Anda gunakan untuk konsumsi data. Secara default, versi terbaru dari sumber data dicerna oleh Security Lake.

   penting

   Jika Anda tidak memiliki izin peran yang diperlukan untuk mengaktifkan versi baru sumber AWS log di Wilayah yang ditentukan, hubungi administrator Security Lake Anda. Untuk informasi selengkapnya, lihat Memperbarui izin peran.

   Agar pelanggan Anda dapat menelan versi sumber data yang dipilih, Anda juga harus memperbarui pengaturan pelanggan Anda. Untuk detail tentang cara mengedit pelanggan, lihat Manajemen pelanggan di Amazon Security Lake.

   Secara opsional, Anda dapat memilih untuk menelan versi terbaru saja dan menonaktifkan semua versi sumber sebelumnya yang digunakan untuk konsumsi data.

5. Di bagian Wilayah, pilih Wilayah tempat Anda ingin mengumpulkan data untuk sumbernya. Security Lake akan mengumpulkan data dari sumber dari semua akun di Wilayah yang dipilih.

6. Pilih Aktifkan.

API

Untuk menambahkan sumber AWS log (API)

Untuk menambahkan Layanan AWS sebagai sumber secara terprogram, gunakan CreateAwsLogSourcepengoperasian Security Lake API. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah create-aws-log-source. Parameter sourceName dan regions diperlukan. Secara opsional, Anda dapat membatasi ruang lingkup sumber ke spesifik accounts atau spesifiksourceVersion.

penting

Bila Anda tidak memberikan parameter dalam perintah Anda, Security Lake mengasumsikan bahwa parameter yang hilang mengacu ke seluruh rangkaian. Misalnya, jika Anda tidak memberikan accounts parameter, perintah berlaku untuk seluruh rangkaian akun di organisasi Anda.

Contoh berikut menambahkan Log Aliran VPC sebagai sumber di akun dan Wilayah yang ditunjuk. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

catatan

Jika Anda menerapkan permintaan ini ke Wilayah di mana Anda belum mengaktifkan Security Lake, Anda akan menerima kesalahan. Anda dapat mengatasi kesalahan dengan mengaktifkan Security Lake di Wilayah tersebut atau dengan menggunakan regions parameter untuk menentukan hanya Wilayah di mana Anda telah mengaktifkan Security Lake.

$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"

Memperbarui izin peran

Jika Anda tidak memiliki izin peran atau sumber daya yang AWS Lambda diperlukan—fungsi baru dan antrian Amazon Simple Queue Service (Amazon SQS) —untuk menyerap data dari versi baru sumber data, Anda harus AmazonSecurityLakeMetaStoreManagerV2 memperbarui izin peran dan membuat kumpulan sumber daya baru untuk memproses data dari sumber Anda.

Pilih metode pilihan Anda, dan ikuti petunjuk untuk memperbarui izin peran Anda dan membuat sumber daya baru untuk memproses data dari versi baru sumber AWS log di Wilayah tertentu. Ini adalah tindakan satu kali, karena izin dan sumber daya secara otomatis diterapkan ke rilis sumber data masa depan.

Console

Untuk memperbarui izin peran (konsol)

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

   Masuk dengan kredensi administrator Security Lake yang didelegasikan.

2. Di panel navigasi, pada Pengaturan, pilih Umum.

3. Pilih Perbarui izin peran.

4. Di bagian Akses Layanan, lakukan salah satu hal berikut:

   • Buat dan gunakan peran layanan baru — Anda dapat menggunakan peran AmazonSecurity LakeMetaStoreManagerV2 yang dibuat oleh Security Lake.

   • Menggunakan peran layanan yang ada — Anda dapat memilih peran layanan yang ada dari daftar nama peran Layanan.

5. Pilih Terapkan.

API

Untuk memperbarui izin peran (API)

Untuk memperbarui izin secara terprogram, gunakan UpdateDataLakepengoperasian Security Lake API. Untuk memperbarui izin menggunakan AWS CLI, jalankan update-data-lakeperintah.

Untuk memperbarui izin peran, Anda harus melampirkan AmazonSecurityLakeMetastoreManagerkebijakan ke peran tersebut.

Menghapus peran AmazonSecurityLakeMetaStoreManager

penting

Setelah memperbarui izin peranAmazonSecurityLakeMetaStoreManagerV2, konfirmasikan bahwa data lake berfungsi dengan benar sebelum Anda menghapus AmazonSecurityLakeMetaStoreManager peran lama. Disarankan untuk menunggu setidaknya 4 jam sebelum menghapus peran.

Jika Anda memutuskan untuk menghapus peran tersebut, Anda harus menghapus AmazonSecurityLakeMetaStoreManager peran tersebut terlebih dahulu AWS Lake Formation.

Ikuti langkah-langkah ini untuk menghapus AmazonSecurityLakeMetaStoreManager peran dari konsol Lake Formation.

1. Masuk ke AWS Management Console, dan buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/.

2. Di konsol Lake Formation, dari panel navigasi, pilih Peran dan tugas administratif.

3. Hapus AmazonSecurityLakeMetaStoreManager dari setiap Wilayah.

Menghapus Layanan AWS sebagai sumber

Pilih metode akses Anda, dan ikuti langkah-langkah ini untuk menghapus sumber Danau Keamanan yang didukung Layanan AWS secara asli. Anda dapat menghapus sumber untuk satu atau beberapa Wilayah. Saat Anda menghapus sumbernya, Security Lake berhenti mengumpulkan data dari sumber tersebut di Wilayah dan akun yang ditentukan, dan pelanggan tidak dapat lagi mengkonsumsi data baru dari sumbernya. Namun, pelanggan masih dapat mengkonsumsi data yang dikumpulkan Security Lake dari sumbernya sebelum dihapus. Anda hanya dapat menggunakan petunjuk ini untuk menghapus sumber yang didukung secara asli Layanan AWS . Untuk informasi tentang menghapus sumber kustom, lihatMengumpulkan data dari sumber khusus.

Console

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

2. Pilih Sumber dari panel navigasi.

3. Pilih sumber, dan pilih Nonaktifkan.

4. Pilih Wilayah atau Wilayah tempat Anda ingin berhenti mengumpulkan data dari sumber ini. Security Lake akan berhenti mengumpulkan data dari sumber dari semua akun di Wilayah yang dipilih.

API

Untuk menghapus Layanan AWS sebagai sumber secara terprogram, gunakan DeleteAwsLogSourcepengoperasian Security Lake API. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan perintah delete-aws-log-source. Parameter sourceName dan regions diperlukan. Secara opsional, Anda dapat membatasi ruang lingkup penghapusan ke spesifik accounts atau spesifiksourceVersion.

penting

Bila Anda tidak memberikan parameter dalam perintah Anda, Security Lake mengasumsikan bahwa parameter yang hilang mengacu ke seluruh rangkaian. Misalnya, jika Anda tidak memberikan accounts parameter, perintah berlaku untuk seluruh rangkaian akun di organisasi Anda.

Contoh berikut menghapus Log Aliran VPC sebagai sumber di akun dan Wilayah yang ditunjuk.

$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"                   

Contoh berikut menghapus Route 53 sebagai sumber di akun dan Wilayah yang ditunjuk.

$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"

Contoh sebelumnya diformat untuk Linux, macOS, atau Unix, dan mereka menggunakan karakter line-continuation backslash (\) untuk meningkatkan keterbacaan.

Mendapatkan status koleksi sumber

Pilih metode akses Anda, dan ikuti langkah-langkah untuk mendapatkan snapshot akun dan sumber yang pengumpulan lognya diaktifkan di Wilayah saat ini.

Console

Untuk mendapatkan status pengumpulan log di Wilayah saat ini

1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

2. Pada panel navigasi, pilih Akun.

3. Arahkan kursor ke nomor di kolom Sumber untuk melihat log mana yang diaktifkan untuk akun yang dipilih.

API

Untuk mendapatkan status pengumpulan log di Wilayah saat ini, gunakan GetDataLakeSourcespengoperasian Security Lake API. Jika Anda menggunakan AWS CLI, jalankan perintah get-data-lake-sources. Untuk accounts parameter, Anda dapat menentukan satu atau lebih Akun AWS ID sebagai daftar. Jika permintaan Anda berhasil, Security Lake mengembalikan snapshot untuk akun tersebut di Wilayah saat ini, termasuk AWS sumber mana Security Lake mengumpulkan data dan status masing-masing sumber. Jika Anda tidak menyertakan accounts parameter, respons mencakup status pengumpulan log untuk semua akun di mana Security Lake dikonfigurasi di Wilayah saat ini.

Misalnya, AWS CLI perintah berikut mengambil status pengumpulan log untuk akun yang ditentukan di Wilayah saat ini. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"