Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengumpulkan data dari Layanan AWS
Amazon Security Lake dapat mengumpulkan log dan peristiwa dari yang didukung secara asli Layanan AWS berikut ini:
-
AWS CloudTrail manajemen dan peristiwa data (S3, Lambda)
-
Log Audit Amazon Elastic Kubernetes Service (Amazon EKS)
-
Log kueri Amazon Route 53 Resolver
-
AWS Security Hub temuan
-
Log Aliran Amazon Virtual Private Cloud (Amazon VPC)
Security Lake secara otomatis mengubah data ini menjadi format Kerangka Kerja Skema Keamanan Siber Terbuka (OCSF) dan Apache Parquet.
Tip
Untuk menambahkan satu atau beberapa layanan sebelumnya sebagai sumber log di Security Lake, Anda tidak perlu mengonfigurasi pencatatan secara terpisah di layanan ini, kecuali peristiwa CloudTrail manajemen. Jika Anda memiliki log yang dikonfigurasi dalam layanan ini, Anda tidak perlu mengubah konfigurasi logging Anda untuk menambahkannya sebagai sumber log di Security Lake. Security Lake menarik data langsung dari layanan ini melalui aliran peristiwa independen dan duplikat.
Prasyarat: Verifikasi izin
Untuk menambahkan Layanan AWS sebagai sumber di Security Lake, Anda harus memiliki izin yang diperlukan. Verifikasi bahwa kebijakan AWS Identity and Access Management (IAM) yang dilampirkan pada peran yang Anda gunakan untuk menambahkan sumber memiliki izin untuk melakukan tindakan berikut:
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:GetDatabase
-
glue:GetTable
-
glue:UpdateTable
iam:CreateServiceLinkedRole
s3:GetObject
s3:PutObject
Disarankan agar peran memiliki kondisi dan ruang lingkup sumber daya berikut untuk s3:PutObject
izin S3:getObject
dan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Tindakan ini memungkinkan Anda untuk mengumpulkan log dan peristiwa dari an Layanan AWS dan mengirimkannya ke AWS Glue database dan tabel yang benar.
Jika Anda menggunakan AWS KMS kunci untuk enkripsi sisi server data lake Anda, Anda juga memerlukan izin untuk. kms:DescribeKey
CloudTrail log peristiwa
AWS CloudTrail memberi Anda riwayat panggilan AWS API untuk akun Anda, termasuk panggilan API yang dilakukan menggunakan AWS Management Console, AWS SDK, alat baris perintah, dan AWS layanan tertentu. CloudTrail juga memungkinkan Anda mengidentifikasi pengguna dan akun mana yang disebut AWS API untuk layanan yang mendukung CloudTrail, alamat IP sumber tempat panggilan dibuat, dan kapan panggilan terjadi. Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS CloudTrail.
Security Lake dapat mengumpulkan log yang terkait dengan peristiwa CloudTrail manajemen dan peristiwa CloudTrail data untuk S3 dan Lambda. CloudTrail peristiwa manajemen, peristiwa data S3, dan peristiwa data Lambda adalah tiga sumber terpisah di Security Lake. Akibatnya, mereka memiliki nilai yang berbeda sourceName
ketika Anda menambahkan salah satunya sebagai sumber log yang dicerna. Peristiwa manajemen, juga dikenal sebagai peristiwa bidang kontrol, memberikan wawasan tentang operasi manajemen yang dilakukan pada sumber daya di Anda Akun AWS. CloudTrail Peristiwa data, juga dikenal sebagai operasi bidang data, menunjukkan operasi sumber daya yang dilakukan pada atau di dalam sumber daya di Anda Akun AWS. Operasi ini sering kali merupakan aktivitas bervolume tinggi.
Untuk mengumpulkan acara CloudTrail manajemen di Security Lake, Anda harus memiliki setidaknya satu jejak organisasi CloudTrail Multi-wilayah yang mengumpulkan acara CloudTrail manajemen baca dan tulis. Logging harus diaktifkan untuk jejak. Jika Anda memiliki logging yang dikonfigurasi di layanan lain, Anda tidak perlu mengubah konfigurasi logging Anda untuk menambahkannya sebagai sumber log di Security Lake. Security Lake menarik data langsung dari layanan ini melalui aliran peristiwa independen dan duplikat.
Jejak multi-wilayah mengirimkan file log dari beberapa Wilayah ke satu bucket Amazon Simple Storage Service (Amazon S3) untuk satu bucket. Akun AWS Jika Anda sudah memiliki jejak Multi-wilayah yang dikelola melalui CloudTrail konsol atau AWS Control Tower, tidak diperlukan tindakan lebih lanjut.
Untuk informasi tentang membuat dan mengelola jejak CloudTrail, lihat Membuat jejak untuk organisasi di Panduan AWS CloudTrail Pengguna.
-
Untuk informasi tentang membuat dan mengelola jejak AWS Control Tower, lihat AWS Control Tower Tindakan pencatatan dengan AWS CloudTrail di Panduan AWS Control Tower Pengguna.
Saat Anda menambahkan CloudTrail acara sebagai sumber, Security Lake segera mulai mengumpulkan log CloudTrail peristiwa Anda. Ini mengkonsumsi CloudTrail manajemen dan peristiwa data langsung dari CloudTrail melalui aliran peristiwa independen dan duplikat.
Security Lake tidak mengelola CloudTrail acara Anda atau memengaruhi CloudTrail konfigurasi yang ada. Untuk mengelola akses dan retensi CloudTrail acara Anda secara langsung, Anda harus menggunakan konsol CloudTrail layanan atau API. Untuk informasi selengkapnya, lihat Melihat CloudTrail peristiwa dengan riwayat peristiwa di Panduan AWS CloudTrail Pengguna.
Daftar berikut menyediakan link GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan CloudTrail peristiwa ke OCSF.
GitHub Repositori OCSF untuk acara CloudTrail
-
Sumber versi 1 (v1.0.0-rc.2
) -
Versi sumber 2 (v1.1.0
)
Log Audit Amazon EKS
Saat Anda menambahkan Log Audit Amazon EKS sebagai sumber, Security Lake mulai mengumpulkan informasi mendalam tentang aktivitas yang dilakukan pada resource Kubernetes yang berjalan di cluster Elastic Kubernetes Service (EKS) Anda. Log Audit EKS membantu Anda mendeteksi aktivitas yang berpotensi mencurigakan di kluster EKS Anda dalam Amazon Elastic Kubernetes Service.
Security Lake menggunakan peristiwa Log Audit EKS langsung dari fitur pencatatan pesawat kontrol Amazon EKS melalui aliran log audit yang independen dan duplikatif. Proses ini tidak memerlukan pengaturan tambahan atau memengaruhi konfigurasi pencatatan pesawat kontrol Amazon EKS yang ada yang mungkin Anda miliki. Untuk informasi selengkapnya, lihat pencatatan pesawat kontrol Amazon EKS di Panduan Pengguna Amazon EKS.
Untuk informasi tentang cara Security Lake menormalkan peristiwa Log Audit EKS ke OCSF, lihat referensi pemetaan di repositori GitHub OCSF
Log pertanyaan resolver Amazon Route 53
Log kueri resolver Route 53 melacak kueri DNS yang dibuat oleh sumber daya dalam Amazon Virtual Private Cloud (Amazon VPC) Anda. Ini membantu Anda memahami bagaimana aplikasi Anda beroperasi dan menemukan ancaman keamanan.
Saat Anda menambahkan log kueri resolver Route 53 sebagai sumber di Security Lake, Security Lake segera mulai mengumpulkan log kueri resolver Anda langsung dari Route 53 melalui aliran peristiwa independen dan duplikat.
Security Lake tidak mengelola log Route 53 Anda atau memengaruhi konfigurasi pencatatan kueri resolver yang ada. Untuk mengelola log kueri resolver, Anda harus menggunakan konsol layanan Route 53. Untuk informasi selengkapnya, lihat Mengelola konfigurasi pencatatan kueri Resolver di Panduan Pengembang Amazon Route 53.
Daftar berikut menyediakan link GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan log Route 53 ke OCSF.
GitHub Repositori OCSF untuk log Route 53
-
Sumber versi 1 (v1.0.0-rc.2
) -
Versi sumber 2 (v1.1.0
)
Temuan Security Hub
Temuan Security Hub membantu Anda memahami postur keamanan Anda AWS dan memungkinkan Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub mengumpulkan temuan dari berbagai sumber, termasuk integrasi dengan integrasi produk pihak ketiga lainnya Layanan AWS, dan pemeriksaan terhadap kontrol Security Hub. Security Hub memproses temuan dalam format standar yang disebut AWS Security Finding Format (ASFF).
Saat Anda menambahkan temuan Security Hub sebagai sumber di Security Lake, Security Lake segera mulai mengumpulkan temuan Anda langsung dari Security Hub melalui aliran peristiwa independen dan duplikat. Security Lake juga mengubah temuan dari ASFF ke Kerangka Kerja Skema Keamanan Siber Terbuka (OCSF) (OCSF).
Security Lake tidak mengelola temuan Security Hub Anda atau memengaruhi pengaturan Security Hub Anda. Untuk mengelola temuan Security Hub, Anda harus menggunakan konsol layanan Security Hub, API, atau AWS CLI. Untuk informasi selengkapnya, lihat Temuan AWS Security Hub di Panduan AWS Security Hub Pengguna.
Daftar berikut menyediakan link GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan temuan Security Hub ke OCSF.
GitHub Repositori OCSF untuk temuan Security Hub
-
Sumber versi 1 (v1.0.0-rc.2
) -
Versi sumber 2 (v1.1.0
)
Log Alur VPC
Fitur VPC Flow Logs dari Amazon VPC menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di lingkungan Anda.
Saat Anda menambahkan Log Aliran VPC sebagai sumber di Security Lake, Security Lake segera mulai mengumpulkan Log Aliran VPC Anda. Ini mengkonsumsi VPC Flow Logs langsung dari Amazon VPC melalui aliran Flow Logs yang independen dan duplikatif.
Security Lake tidak mengelola Log Aliran VPC Anda atau memengaruhi konfigurasi VPC Amazon Anda. Untuk mengelola Log Aliran, Anda harus menggunakan konsol layanan Amazon VPC. Untuk informasi selengkapnya, lihat Bekerja dengan Log Aliran di Panduan Pengembang Amazon VPC.
Daftar berikut menyediakan link GitHub repositori ke referensi pemetaan untuk bagaimana Security Lake menormalkan VPC Flow Logs ke OCSF.
GitHub Repositori OCSF untuk Log Aliran VPC
-
Sumber versi 1 (v1.0.0-rc.2
) -
Versi sumber 2 (v1.1.0
)
Menambahkan Layanan AWS sebagai sumber
Setelah Anda menambahkan Layanan AWS sebagai sumber, Security Lake secara otomatis mulai mengumpulkan log keamanan dan peristiwa darinya. Instruksi ini memberi tahu Anda cara menambahkan yang didukung secara asli Layanan AWS sebagai sumber di Security Lake. Untuk petunjuk tentang menambahkan sumber kustom, lihatMengumpulkan data dari sumber khusus.
Memperbarui izin peran
Jika Anda tidak memiliki izin peran atau sumber daya yang AWS Lambda diperlukan—fungsi baru dan antrian Amazon Simple Queue Service (Amazon SQS) —untuk menyerap data dari versi baru sumber data, Anda harus AmazonSecurityLakeMetaStoreManagerV2
memperbarui izin peran dan membuat kumpulan sumber daya baru untuk memproses data dari sumber Anda.
Pilih metode pilihan Anda, dan ikuti petunjuk untuk memperbarui izin peran Anda dan membuat sumber daya baru untuk memproses data dari versi baru sumber AWS log di Wilayah tertentu. Ini adalah tindakan satu kali, karena izin dan sumber daya secara otomatis diterapkan ke rilis sumber data masa depan.
Menghapus peran AmazonSecurityLakeMetaStoreManager
penting
Setelah memperbarui izin peranAmazonSecurityLakeMetaStoreManagerV2
, konfirmasikan bahwa data lake berfungsi dengan benar sebelum Anda menghapus AmazonSecurityLakeMetaStoreManager
peran lama. Disarankan untuk menunggu setidaknya 4 jam sebelum menghapus peran.
Jika Anda memutuskan untuk menghapus peran, Anda harus menghapus AmazonSecurityLakeMetaStoreManager
peran terlebih dahulu AWS Lake Formation.
Ikuti langkah-langkah ini untuk menghapus AmazonSecurityLakeMetaStoreManager
peran dari konsol Lake Formation.
-
Masuk ke AWS Management Console, dan buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/
. -
Di konsol Lake Formation, dari panel navigasi, pilih Peran dan tugas administratif.
-
Hapus
AmazonSecurityLakeMetaStoreManager
dari setiap Wilayah.
Menghapus Layanan AWS sebagai sumber
Pilih metode akses Anda, dan ikuti langkah-langkah ini untuk menghapus sumber Danau Keamanan yang didukung Layanan AWS secara asli. Anda dapat menghapus sumber untuk satu atau beberapa Wilayah. Saat Anda menghapus sumbernya, Security Lake berhenti mengumpulkan data dari sumber tersebut di Wilayah dan akun yang ditentukan, dan pelanggan tidak dapat lagi mengkonsumsi data baru dari sumbernya. Namun, pelanggan masih dapat mengkonsumsi data yang dikumpulkan Security Lake dari sumbernya sebelum dihapus. Anda hanya dapat menggunakan petunjuk ini untuk menghapus sumber yang didukung secara asli Layanan AWS . Untuk informasi tentang menghapus sumber kustom, lihatMengumpulkan data dari sumber khusus.
Mendapatkan status koleksi sumber
Pilih metode akses Anda, dan ikuti langkah-langkah untuk mendapatkan snapshot akun dan sumber yang pengumpulan lognya diaktifkan di Wilayah saat ini.