Integrazione con Amazon Security Lake

Amazon Security Lake è un servizio di data lake di sicurezza completamente gestito. Puoi utilizzare Security Lake per centralizzare automaticamente i dati di sicurezza provenienti da AWS ambienti, provider SaaS, fonti locali, fonti cloud e fonti di terze parti in un data lake creato appositamente e archiviato nel tuo account. AWS Security Lake ti aiuta ad analizzare i dati di sicurezza in modo da ottenere un quadro più completo del tuo livello di sicurezza in tutta l'organizzazione. Con Security Lake, puoi anche migliorare la protezione di carichi di lavoro, applicazioni e dati.

Amazon Detective è ora integrato con Security Lake, il che significa che puoi interrogare e recuperare i dati dei log non elaborati archiviati da Security Lake.

Grazie a questa integrazione, puoi raccogliere log ed eventi dalle seguenti origini supportate in modo nativo da Security Lake. Detective supporta fino alla versione sorgente 2 (OCSF 1.1.0).

• AWS CloudTrail gestione degli eventi versione 1.0 e successive

• Amazon Virtual Private Cloud (Amazon VPC) Flow Logs versione 1.0 e successive

• Registro di controllo di Amazon Elastic Kubernetes Service (Amazon EKS) versione 2.0. Per utilizzare i log di controllo di Amazon EKS come fonte, devi ram:ListResources aggiungere le autorizzazioni IAM. Per maggiori dettagli, consulta Aggiungere le autorizzazioni IAM richieste al tuo account.

Per i dettagli su come Security Lake converte automaticamente i log e gli eventi provenienti da AWS servizi supportati nativamente nello schema OCSF, consulta la Amazon Security Lake User Guide.

Dopo aver integrato Detective con Security Lake, Detective inizia a estrarre i log non elaborati da Security Lake relativi agli eventi di AWS CloudTrail gestione e ai log di flusso di Amazon VPC. Per ulteriori dettagli, consulta Esecuzione di query sui log non elaborati.

Per integrare Detective con Security Lake, completa la seguente procedura:

1. Prima di iniziare

   Utilizza un account di gestione di Organizations per designare un amministratore delegato di Security Lake per la tua organizzazione. Assicurati che Security Lake sia abilitato e verifica che Security Lake stia raccogliendo log ed eventi dagli eventi di AWS CloudTrail gestione e dai log di flusso di Amazon Virtual Private Cloud (Amazon VPC).

   In linea con la Security Reference Architecture, Detective consiglia di utilizzare un account Log Archive e di non utilizzare un account Security Tooling per l'implementazione di Security Lake.

2. Creazione di un abbonato a Security Lake

   Per utilizzare i log e gli eventi di Amazon Security Lake, devi essere abbonato a Security Lake. Segui questa procedura per concedere l'accesso alle query a un amministratore dell'account Detective.

3. Aggiungi le autorizzazioni richieste AWS Identity and Access Management (IAM) alla tua identità IAM.

   • Aggiungi queste autorizzazioni per creare l'integrazione di Detective con Security Lake:

     • Associa queste autorizzazioni AWS Identity and Access Management (IAM) alla tua identità IAM. Per i dettagli, consulta la sezione Aggiungi le autorizzazioni IAM richieste al tuo account.

     • Aggiungi questa policy IAM al principio IAM che intendi utilizzare per assegnare il ruolo AWS CloudFormation di servizio. Per maggiori dettagli, consulta la sezione Aggiungi permessi al tuo principale IAM.

   • Se hai già integrato Detective con Security Lake, per utilizzare l'integrazione collega queste autorizzazioni (IAM) alla tua identità IAM. Per i dettagli, consulta la sezione Aggiungere le autorizzazioni IAM richieste al tuo account.

4. Accettazione dell'invito dell'ARN di condivisione delle risorse e abilitazione dell'integrazione

Utilizza il AWS CloudFormation modello per configurare i parametri necessari per creare e gestire l'accesso alle query per gli abbonati a Security Lake. Per i passaggi dettagliati per creare uno stack, consulta Creare uno stack utilizzando il modello. AWS CloudFormation Dopo aver creato lo stack, abilita l'integrazione.

Per una dimostrazione di come integrare Amazon Detective con Amazon Security Lake utilizzando la console Detective, guarda il seguente video:

Prima di iniziare

Security Lake si integra con AWS Organizations la gestione della raccolta di log su più account di un'organizzazione. Per utilizzare Security Lake per un'organizzazione, l'account di AWS Organizations gestione deve prima designare un amministratore delegato di Security Lake per l'organizzazione. L'amministratore delegato di Security Lake deve quindi abilitare Security Lake e consentire la raccolta di log ed eventi per gli account membri dell'organizzazione.

Prima di integrare Security Lake, con Detective, assicurati che Security Lake sia abilitato per l'account amministratore di Security Lake. Per i passaggi dettagliati su come abilitare Security Lake, consulta Nozioni di base nella Guida per l'utente di Amazon Security Lake.

Inoltre, verifica che Security Lake stia raccogliendo log ed eventi dagli eventi di AWS CloudTrail gestione e dai log di flusso di Amazon Virtual Private Cloud (Amazon VPC). Per ulteriori dettagli sulla raccolta dei log in Security Lake, consulta Raccolta di dati dai AWS servizi nella Guida per l'utente di Amazon Security Lake.

Fase 1: Creazione di un abbonato a Security Lake

Per utilizzare i log e gli eventi di Amazon Security Lake, devi essere abbonato a Security Lake. Un abbonato può interrogare e accedere ai dati raccolti da Security Lake. Un abbonato con accesso alle query può interrogare AWS Lake Formation le tabelle direttamente in un bucket Amazon Simple Storage Service (Amazon S3) utilizzando servizi come Amazon Athena. Per diventare un abbonato, l'amministratore di Security Lake ti deve fornire un accesso da abbonato che ti consenta di eseguire query sul data lake. Per informazioni su come l'amministratore esegue questa operazione, consulta Creazione di un abbonato con accesso alle query nella Guida per l'utente di Amazon Security Lake.

Segui questa procedura per concedere l'accesso alle query a un amministratore dell'account Detective.

Creare un abbonato Detective in Security Lake

1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

2. Nel riquadro di navigazione, scegli Integrazioni.

3. Nel riquadro degli abbonati di Security Lake, prendi nota dei valori ID account e ID esterno.

   Chiedi all'amministratore di Security Lake di utilizzare questi ID per:

   • Creare un abbonato Detective in Security Lake per tuo conto.

   • Configurare l'abbonato in modo che abbia accesso alle query.

   • Per garantire che l'abbonato della query di Security Lake sia creato con le autorizzazioni di Lake Formation, seleziona Lake Formation come Metodo di accesso ai dati nella console di Security Lake.

   Quando l'amministratore di Security Lake crea un abbonato per tuo conto, Security Lake genera un ARN di condivisione delle risorse Amazon. Chiedi all'amministratore di inviarti questo ARN.

4. Immetti l'ARN di condivisione delle risorse fornito dall'amministratore di Security Lake nel riquadro degli abbonati di Security Lake.

5. Dopo aver ricevuto l'ARN di condivisione delle risorse dall'amministratore di Security Lake, inseriscilo nella casella ARN di condivisione delle risorse nel riquadro degli abbonati di Security Lake.

Fase 2: Aggiunta delle autorizzazioni IAM richieste al proprio account

Per abilitare l'integrazione di Detective con Security Lake, devi allegare la seguente politica di autorizzazioni AWS Identity and Access Management (IAM) alla tua identità IAM.

Collega la seguente policy in linea al ruolo. Se desideri utilizzare il tuo bucket Amazon S3 per archiviare i risultati delle query Athena, sostituisci athena-results-bucket con il nome del tuo bucket Amazon S3. Se desideri che Detective generi automaticamente un bucket Amazon S3 per archiviare il risultato delle query Athena, puoi rimuovere tutte le S3ObjectPermissions dalla policy IAM.

Se non disponi delle autorizzazioni necessarie per allegare questa policy alla tua identità IAM, contatta il tuo AWS amministratore. Se disponi delle autorizzazioni richieste ma si verifica un problema, consulta Risoluzione dei problemi generali di IAM nella Guida per l'utente di IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "S3ObjectPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::<athena-results-bucket>",
        "arn:aws:s3:::<athena-results-bucket>/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "glue:GetDatabases",
        "glue:GetPartitions",
        "glue:GetTable",
        "glue:GetTables"
      ],
      "Resource": [
        "arn:aws:glue:*:<ACCOUNT ID>:database/amazon_security_lake*",
        "arn:aws:glue:*:<ACCOUNT ID>:table/amazon_security_lake*/amazon_security_lake*",
        "arn:aws:glue:*:<ACCOUNT ID>:catalog"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "athena:BatchGetQueryExecution",
        "athena:GetQueryExecution",
        "athena:GetQueryResults",
        "athena:GetQueryRuntimeStatistics",
        "athena:GetWorkGroup",
        "athena:ListQueryExecutions",
        "athena:StartQueryExecution",
        "athena:StopQueryExecution",
        "lakeformation:GetDataAccess",
        "ram:ListResources"
      ],
      "Resource": "*"
    },
    {
       "Effect": "Allow",
        "Action": [
          "ssm:GetParametersByPath"
        ],
        "Resource": [
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/ResourceShareArn",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/S3Bucket",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/TableNames",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/DatabaseName",
          "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/StackId"
        ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:GetTemplateSummary",
        "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:ListDelegatedAdministrators"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:ServicePrincipal": [
            "securitylake.amazonaws.com"
          ]
        }
      }
    }
  ]
}    
        

Mostra piùMostra meno

Fase 3: Accettazione dell'invito dell'ARN di condivisione delle risorse e abilitazione dell'integrazione

Per accedere ai log dei dati non elaborati da Security Lake, è necessario accettare un invito alla condivisione delle risorse dall'account Security Lake creato dall'amministratore di Security Lake. Sono inoltre necessarie le autorizzazioni AWS Lake Formation per configurare la condivisione delle tabelle tra account. Inoltre, devi creare un bucket Amazon Simple Storage Service (Amazon S3) in grado di ricevere log di query non elaborati.

Nel passaggio successivo, utilizzerai un AWS CloudFormation modello per creare uno stack per: accettare l'invito Resource Share ARN, creare le risorse Crawler di AWS Glue necessarie e AWS Lake Formation concedere le autorizzazioni di amministratore.

Per creare uno stack AWS CloudFormation

1. Crea una nuova CloudFormation pila utilizzando il CloudFormation modello. Per ulteriori dettagli, consulta Creazione di uno stack mediante il modello AWS CloudFormation.

2. Dopo aver finito di creare lo stack, scegli Abilita integrazione.

Creazione di uno stack mediante il modello AWS CloudFormation

Detective fornisce un AWS CloudFormation modello che è possibile utilizzare per impostare i parametri necessari per creare e gestire l'accesso alle query per gli abbonati a Security Lake.

Fase 1: Creare un ruolo AWS CloudFormation di servizio

È necessario creare un ruolo AWS CloudFormation di servizio per creare uno stack utilizzando il AWS CloudFormation modello. Se non disponi delle autorizzazioni necessarie per creare un ruolo di servizio, contatta l'amministratore dell'account amministratore di Detective. Per ulteriori informazioni sul ruolo di servizio AWS CloudFormation , consulta Ruolo di servizio AWS CloudFormation.

1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione della console IAM, scegliere Ruoli e quindi Crea ruolo.

3. In Seleziona tipo di entità attendibile, scegli Servizio AWS .

4. Scegli AWS CloudFormation. Quindi, seleziona Next (Successivo).

5. Inserisci un nome per il ruolo. Ad esempio, CFN-DetectiveSecurityLakeIntegration.

6. Collega la seguente policy in linea al ruolo. <Account ID>Sostituiscila con il tuo ID AWS account.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudFormationPermission",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateChangeSet"
            ],
            "Resource": [
                "arn:aws:cloudformation:*:aws:transform/*"
            ]
        },
        {
            "Sid": "IamPermissions",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole",
                "iam:DeleteRole",
                "iam:AttachRolePolicy",
                "iam:DetachRolePolicy",
                "iam:UpdateAssumeRolePolicy",
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy",
                "iam:CreatePolicy",
                "iam:DeletePolicy",
                "iam:PassRole",
                "iam:GetRole",
                "iam:GetRolePolicy"
            ],
            "Resource": [
                "arn:aws:iam::<ACCOUNT ID>:role/*",
                "arn:aws:iam::<ACCOUNT ID>:policy/*"
            ]
        },
        {
            "Sid": "S3Permissions",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:DeleteBucket*",
                "s3:PutBucket*",
                "s3:GetBucket*",
                "s3:GetObject",
                "s3:PutEncryptionConfiguration",
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ]
        },
        {
            "Sid": "LambdaPermissions",
            "Effect": "Allow",
            "Action": [
                "lambda:CreateFunction",
                "lambda:DeleteFunction",
                "lambda:GetFunction",
                "lambda:TagResource",
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:<ACCOUNT ID>:function:*"
            ]
        },
        {
            "Sid": "CloudwatchPermissions",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DeleteLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:<ACCOUNT ID>:log-group:*"
        },
        {
            "Sid": "KmsPermission",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:*:<ACCOUNT ID>:key/*"
        }
    ]
}       
              

Mostra piùMostra meno

Fase 2: Aggiunta delle autorizzazioni al principale IAM.

Avrai bisogno delle seguenti autorizzazioni per creare uno stack utilizzando il ruolo di CloudFormation servizio creato nel passaggio precedente. Aggiungi la seguente policy IAM al principale IAM che intendi utilizzare per passare il CloudFormation ruolo di servizio. Assumerai questo principale IAM per creare lo stack. Se non disponi delle autorizzazioni necessarie per aggiungere la policy IAM, contatta l'amministratore dell'account amministratore di Detective.

Nota

Nella seguente policy, il termine CFN-DetectiveSecurityLakeIntegration utilizzato si riferisce al ruolo creato nella fase precedente del ruolo di servizio Creating an AWS CloudFormation. Se è diverso, modificalo con il nome del ruolo che hai inserito nel passaggio precedente.

 {
    "Version": "2012-10-17",
    "Statement": [
        {
             "Sid": "PassRole",
             "Effect": "Allow",
             "Action":
             [
                "iam:GetRole",
                "iam:PassRole"
             ],
             "Resource": "arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration"
        },
        {
            "Sid": "RestrictCloudFormationAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:DeleteStack",
                "cloudformation:UpdateStack"
            ],
            "Resource": "arn:aws:cloudformation:*:<ACCOUNT ID>:stack/*",
            "Condition": {
                "StringEquals": {
                    "cloudformation:RoleArn": [
                        "arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration"
                    ]
                }
            }
        },
        {
            "Sid": "CloudformationDescribeStack",
            "Effect": "Allow",
            "Action": [
                "cloudformation:DescribeStacks",
                "cloudformation:DescribeStackEvents",
                "cloudformation:GetStackPolicy"
            ],
            "Resource": "arn:aws:cloudformation:*:<ACCOUNT ID>:stack/*"
        },
        {
            "Sid": "CloudformationListStacks",
            "Effect": "Allow",
            "Action": [
                "cloudformation:ListStacks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CloudWatchPermissions",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents"
            ],
            "Resource": "arn:aws:logs:*:<ACCOUNT ID>:log-group:*"
        }
    ]
}

Mostra piùMostra meno

Passaggio 3: Specificare i valori personalizzati nella AWS CloudFormation console

1. Vai alla AWS CloudFormation console da Detective.

2. (Facoltativo) Immissione di un Nome stack. Il nome dello stack viene compilato automaticamente. Puoi modificare il nome dello stack con un nome che non sia in conflitto con i nomi degli stack esistenti.

3. Immetti i seguenti parametri:

   • AthenaResultsBucket— Se non inserisci valori, questo modello genera un bucket Amazon S3. Se desideri utilizzare il tuo bucket, inserisci un nome di bucket per memorizzare i risultati della query Athena. Se utilizzi il tuo bucket, assicurati che il bucket si trovi nella stessa Regione dell'ARN di condivisione delle risorse. Se usi il tuo bucket, assicurati che i LakeFormationPrincipals scelti dispongano delle autorizzazioni per scrivere e leggere oggetti dal bucket. Per ulteriori informazioni sulle autorizzazioni del bucket, consulta Risultati della query e query recenti nella Guida per l'utente di Amazon Athena.

   • DTRegion: questo campo è pre-compilato. Non modificare i valori in questo campo.

   • LakeFormationPrincipals— Inserisci l'ARN dei principali IAM (ad esempio, l'ARN del ruolo IAM) a cui desideri concedere l'accesso per utilizzare l'integrazione di Security Lake, separati da virgole. Questi potrebbero essere i tuoi analisti e ingegneri della sicurezza che usano Detective.

     Puoi utilizzare solo i principali IAM a cui hai precedentemente associato le autorizzazioni IAM nel passaggio [Step 2: Add the required IAM permissions to your account]

   • ResourceShareARN — Questo campo è precompilato. Non modificare i valori in questo campo.

4. Autorizzazioni

   Ruolo IAM: seleziona il ruolo creato nella fase Creating an AWS CloudFormation Service Role. Facoltativamente, puoi lasciarlo vuoto se il ruolo IAM dispone di tutte le autorizzazioni richieste nella fase Creating an AWS CloudFormation Service Role.

5. Controlla tutte le caselle Confermo, quindi fai clic sul pulsante Crea stack. Per maggiori dettagli, consulta le seguenti risorse IAM che verranno create.

* ResourceShareAcceptorCustomResourceFunction
    - ResourceShareAcceptorLambdaRole
    - ResourceShareAcceptorLogsAccessPolicy
* SsmParametersCustomResourceFunction
    - SsmParametersLambdaRole
    - SsmParametersLogsAccessPolicy
* GlueDatabaseCustomResourceFunction
    - GlueDatabaseLambdaRole
    - GlueDatabaseLogsAccessPolicy
* GlueTablesCustomResourceFunction
    - GlueTablesLambdaRole
    - GlueTablesLogsAccessPolicy

Fase 4: Aggiunta della policy del bucket Amazon S3 ai principali IAM in LakeFormationPrincipals

(Facoltativo) Se consenti a questo modello di generare automaticamente AthenaResultsBucket per tuo conto, devi collegare la seguente policy ai principali IAM in LakeFormationPrincipals.

{
  "Sid": "S3ObjectPermissions",
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject"
  ],
  "Resource": [
    "arn:aws:s3:::<athena-results-bucket>",
    "arn:aws:s3:::<athena-results-bucket>/*"
  ]
}      

Sostituisci athena-results-bucket con il nome. AthenaResultsBucket Lo si AthenaResultsBucket può trovare sulla AWS CloudFormation console:

1. Apri la AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

2. Fai clic sullo stack.

3. Seleziona la scheda Risorse.

4. Cerca l'ID logico AthenaResultsBucket e copiane l'ID fisico.

Eliminazione di uno stack CloudFormation

Se non elimini lo stack esistente, la creazione di un nuovo stack nella stessa Regione avrà esito negativo. È possibile eliminare uno CloudFormation stack utilizzando la CloudFormation console o la AWS CLI.

Per eliminare lo AWS CloudFormation stack (Console)

1. Apri la AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

2. Nella pagina Stack della CloudFormation console, seleziona lo stack che desideri eliminare. Lo stack deve essere attualmente in esecuzione.

3. Nel riquadro dei dettagli dello stack, scegliere Delete (Elimina).

4. Selezionare Delete stack (Elimina stack) quando richiesto.

   Nota

   Una volta iniziata, l'operazione di eliminazione dello stack non può essere interrotta. Lo stack procede allo stato DELETE_IN_PROGRESS.

Dopo l'eliminazione dello stack, lo stack sarà nello stato DELETE_COMPLETE.

Risoluzione dei problemi relativi agli errori di eliminazione dello stack

Se visualizzi un errore di autorizzazione nel messaggio Failed to delete stack dopo aver fatto clic Delete sul pulsante, il tuo ruolo IAM non dispone dell' CloudFormation autorizzazione per eliminare uno stack. Contatta l'amministratore del tuo account per eliminare lo stack.

Per eliminare lo CloudFormation stack (AWS CLI)

Immettete il seguente comando nell' AWS interfaccia CLI:

aws cloudformation delete-stack --stack-name your-stack-name --role-arn
      arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration

CFN-DetectiveSecurityLakeIntegration è il ruolo di servizio creato nella fase Creating an AWS CloudFormation Service Role.

Modifica della configurazione di integrazione

Se desideri modificare uno qualsiasi dei parametri che hai usato per integrare Detective con Security Lake, puoi modificarli e quindi abilitare nuovamente l'integrazione. Puoi modificare il AWS CloudFormation modello per riattivare questa integrazione per i seguenti scenari:

• Per aggiornare l'abbonamento a Security Lake, puoi creare un nuovo abbonato oppure l'amministratore di Security Lake può aggiornare l'origine dati per l'abbonamento esistente.

• Specificare un bucket Amazon S3 diverso in cui archiviare i log di query non elaborati.

• Specificare principali di Lake Formation differenti.

Quando riabiliti l'integrazione di Detective con Security Lake, puoi modificare l'ARN di condivisione delle risorse e visualizzare le autorizzazioni IAM. Per modificare le autorizzazioni IAM, puoi accedere alla console IAM da Detective. Puoi anche modificare i valori che hai inserito in precedenza nel AWS CloudFormation modello. È necessario eliminare lo CloudFormation stack esistente e ricrearlo per riattivare l'integrazione.

Riabilitare l'integrazione di Detective con Security Lake

1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

2. Nel riquadro di navigazione, scegli Integrazioni.

3. Puoi modificare l'integrazione utilizzando uno di questi passaggi:

   • Nel riquadro Security Lake, scegli Modifica.

   • Nel riquadro Security Lake, scegli Visualizza. Nella pagina della vista, scegli Modifica.

4. Inserisci un nuovo ARN di condivisione delle risorse per accedere alle origini dati in una Regione.

5. Se desideri modificare le autorizzazioni IAM, visualizza le autorizzazioni IAM correnti e passa alla console IAM.

6. Modifica i valori nel modello. CloudFormation

   1. Elimina lo stack esistente prima di crearne uno nuovo. Se non elimini lo stack esistente, la creazione di un nuovo stack nella stessa Regione avrà esito negativo. Per ulteriori dettagli, consulta Eliminazione di uno stack CloudFormation .

   1. Crea una nuova CloudFormation pila. Per ulteriori dettagli, consulta Creazione di uno stack mediante il modello AWS CloudFormation.

7. Scegli Abilita integrazione.

Disabilitazione dell'integrazione

Se disabiliti l'integrazione di Detective con Security Lake, non potrai più interrogare i dati di log ed eventi da Security Lake.

Disabilitare l'integrazione di Detective con Security Lake

1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

2. Nel riquadro di navigazione, scegli Integrazioni.

3. Elimina lo stack esistente. Per ulteriori dettagli, consulta Eliminazione di uno stack CloudFormation .

4. Nel riquadro Disabilita integrazione Security Lake, scegli Disabilita.

Regioni supportate AWS

Puoi integrare Detective con Security Lake nelle seguenti AWS regioni.

Nome della regione	Regione	Endpoint	Protocollo;
Stati Uniti orientali (Ohio)	us-east-2	securitylake.us-east-2.amazonaws.com	HTTPS
US East (N. Virginia)	us-east-1	securitylake.us-east-1.amazonaws.com	HTTPS
US West (N. California)	us-west-1	securitylake.us-west-1.amazonaws.com	HTTPS
US West (Oregon)	us-west-2	securitylake.us-west-2.amazonaws.com	HTTPS
Asia Pacifico (Mumbai)	ap-south-1	securitylake.ap-south-1.amazonaws.com	HTTPS
Asia Pacifico (Seoul)	ap-northeast-2	securitylake.ap-northeast-2.amazonaws.com	HTTPS
Asia Pacifico (Singapore)	ap-southeast-1	securitylake.ap-southeast-1.amazonaws.com	HTTPS
Asia Pacifico (Sydney)	ap-southeast-2	securitylake.ap-southeast-2.amazonaws.com	HTTPS
Asia Pacifico (Tokyo)	ap-northeast-1	securitylake.ap-northeast-1.amazonaws.com	HTTPS
Canada (Central)	ca-central-1	securitylake.ca-central-1.amazonaws.com	HTTPS
Europe (Frankfurt)	eu-central-1	securitylake.eu-central-1.amazonaws.com	HTTPS
Europa (Irlanda)	eu-west-1	securitylake.eu-west-1.amazonaws.com	HTTPS
Europe (London)	eu-west-2	securitylake.eu-west-2.amazonaws.com	HTTPS
Europe (Paris)	eu-west-3	securitylake.eu-west-3.amazonaws.com	HTTPS
Europa (Stoccolma)	eu-north-1	securitylake.eu-north-1.amazonaws.com	HTTPS
Sud America (São Paulo)	sa-east-1	securitylake.sa-east-1.amazonaws.com	HTTPS

Query sui log non elaborati in Detective

Dopo aver integrato Detective con Security Lake, Detective inizia a estrarre i log non elaborati da Security Lake relativi agli eventi di AWS CloudTrail gestione e ai log di flusso di Amazon Virtual Private Cloud (Amazon VPC).

Nota

Non sono previsti costi supplementari per le query sui log non elaborati in Detective. I costi di utilizzo per altri AWS Servizi, incluso Amazon Athena, si applicano ancora alle tariffe pubblicate.

AWS CloudTrail gli eventi di gestione sono disponibili per i seguenti profili:

• AWS conto

• AWS utente

• AWS ruolo

• AWS ruolo Sessione

• Istanza Amazon EC2

• Bucket Amazon S3

• Indirizzo IP

• cluster Kubernetes

• Pod Kubernets

• Soggetto Kubernets

• Ruolo IAM

• Sessione come ruolo IAM

• Utente IAM

I log di flusso di Amazon VPC sono disponibili per i seguenti profili:

• Istanza Amazon EC2

• Pod Kubernetes

Per una dimostrazione di come usare Amazon Detective con Amazon Security Lake utilizzando la console Detective, guarda il seguente video:

Per eseguire query sui log non elaborati per un account AWS

1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

2. Nel pannello di navigazione, scegli Ruoli e cerca un AWS account.

3. Nella sezione Volume globale delle chiamate API, scegli Visualizza i dettagli per il periodo di validità.

4. Da qui, puoi iniziare a interrogare i log non elaborati.

Nella tabella di anteprima dei log non elaborati, è possibile visualizzare i log e gli eventi recuperati interrogando i dati da Security Lake. Per maggiori dettagli sui log degli eventi non elaborati, puoi visualizzare i dati visualizzati in Amazon Athena.

Dalla tabella Interroga log non elaborati, puoi annullare la richiesta di query, visualizzare i risultati in Amazon Athena e scaricare i risultati come file con valori separati da virgole (.csv).

Se vedi i log in Detective ma la query non ha prodotto risultati, ciò potrebbe accadere per i seguenti motivi.

• I log non elaborati possono diventare disponibili in Detective prima di essere visualizzati nelle tabelle di log di Security Lake. Riprova più tardi.

• È possibile che in Security Lake manchino dei log . Se hai atteso per un periodo di tempo prolungato, significa che i log non sono presenti in Security Lake. Contatta l'amministratore di Security Lake per risolvere il problema.

Interroga i log non elaborati per un ruolo AWS

Se vuoi comprendere l'attività di un AWS ruolo in una nuova geolocalizzazione, puoi farlo all'interno della console Detective.

Per eseguire query sui log non elaborati per un ruolo AWS

1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

2. Dalla pagina Detective Summary, sezione Geolocalizzazioni appena osservate, annota il AWS ruolo.

3. Nel pannello di navigazione, scegli Ruoli e cerca AWS role.

4. Per il AWS ruolo, espandi la risorsa per visualizzare le chiamate API specifiche emesse da quell'indirizzo IP da quella risorsa.

5. Scegli l'icona a forma di lente di ingrandimento accanto alla chiamata API che desideri esaminare per aprire la tabella Anteprima dei log non elaborati.

   

Interroga i log non elaborati per un cluster Amazon EKS

1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

2. Dalla pagina Detective Summary, sezione Cluster di container con il maggior numero di pod creati, accedi a un cluster Amazon EKS.

3. Nella pagina dei dettagli del cluster Amazon EKS, seleziona la scheda Attività dell'API Kubernets.

4. Nella sezione Attività complessiva dell'API Kubernets che coinvolge questo cluster Amazon EKS, scegli Visualizza dettagli per l'ambito temporale.

5. Da qui, puoi iniziare a interrogare i log non elaborati.

Eseguire query sui log non elaborati per un'istanza Amazon EC2

1. Apri la console Detective all'indirizzo https://console.aws.amazon.com/detective/.

2. Nel pannello di navigazione, scegli Ruoli e cerca un Amazon EC2 instance.

3. Nella sezione Volume complessivo del flusso VPC, scegli l'icona a forma di lente di ingrandimento accanto alla chiamata API che desideri esaminare per aprire la tabella Anteprima dei log non elaborati.

4. Da qui, puoi iniziare a interrogare i log non elaborati.

   

Nella tabella di anteprima dei log non elaborati, è possibile visualizzare i log e gli eventi recuperati interrogando i dati da Security Lake. Per maggiori dettagli sui log degli eventi non elaborati, puoi visualizzare i dati visualizzati in Amazon Athena.

Dalla tabella Interroga log non elaborati, puoi annullare la richiesta di query, visualizzare i risultati in Amazon Athena e scaricare i risultati come file con valori separati da virgole (.csv).