Guida introduttiva ad Amazon Security Lake

Questa sezione spiega come abilitare e iniziare a utilizzare Security Lake. Imparerai come configurare le impostazioni del data lake e configurare la raccolta dei log. Puoi abilitare e utilizzare Security Lake tramite AWS Management Console o a livello di codice. Indipendentemente dal metodo utilizzato, è necessario innanzitutto configurare un utente Account AWS e un utente amministrativo. I passaggi successivi variano in base al metodo di accesso. La console Security Lake offre un processo semplificato per iniziare e crea tutti i ruoli AWS Identity and Access Management (IAM) necessari per creare il data lake.

Configurazione iniziale Account AWS

Iscriviti per un Account AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

Per iscriverti a un Account AWS

1. Apri la pagina all'indirizzo https://portal.aws.amazon.com/billing/signup.

2. Segui le istruzioni online.

   Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

   Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i AWS servizi nell'account. Come procedura consigliata in materia di sicurezza, assegnate l'accesso amministrativo a un utente e utilizzate solo l'utente root per eseguire attività che richiedono l'accesso da parte dell'utente root.

AWS ti invia un'e-mail di conferma dopo il completamento della procedura di registrazione. È possibile visualizzare l'attività corrente dell'account e gestire l'account in qualsiasi momento accedendo all'indirizzo https://aws.amazon.com/ e selezionando Il mio account.

Crea un utente con accesso amministrativo

Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.

Proteggi i tuoi Utente root dell'account AWS

1. Accedi AWS Management Consolecome proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

   Per informazioni sull'accesso utilizzando un utente root, consulta la pagina Signing in as the root user della Guida per l'utente di Accedi ad AWS .

2. Abilita l'autenticazione a più fattori (MFA) per l'utente root.

   Per istruzioni, consulta Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console) nella Guida per l'utente IAM.

Crea un utente con accesso amministrativo

1. Abilita Centro identità IAM.

   Per istruzioni, consulta Abilitazione di AWS IAM Identity Center nella Guida per l'utente di AWS IAM Identity Center .

2. In IAM Identity Center, concedi l'accesso amministrativo a un utente.

   Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta Configurare l'accesso utente con le impostazioni predefinite IAM Identity Center directory nella Guida per l'AWS IAM Identity Center utente.

Accedi come utente con accesso amministrativo

• Per accedere con l'utente IAM Identity Center, utilizza l'URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l'utente IAM Identity Center.

  Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta AWS Accedere al portale di accesso nella Guida per l'Accedi ad AWS utente.

Assegna l'accesso ad altri utenti

1. In IAM Identity Center, crea un set di autorizzazioni che segua la migliore pratica di applicazione delle autorizzazioni con privilegi minimi.

   Per istruzioni, consulta Creare un set di autorizzazioni nella Guida per l'utente.AWS IAM Identity Center

2. Assegna gli utenti a un gruppo, quindi assegna l'accesso Single Sign-On al gruppo.

   Per istruzioni, consulta Aggiungere gruppi nella Guida per l'utente.AWS IAM Identity Center

Identifica l'account che utilizzerai per abilitare Security Lake

Security Lake si integra AWS Organizations per gestire la raccolta dei log su più account di un'organizzazione. Se si desidera utilizzare Security Lake per un'organizzazione, è necessario utilizzare l'account di gestione Organizations per designare un amministratore delegato di Security Lake. Quindi, è necessario utilizzare le credenziali dell'amministratore delegato per abilitare Security Lake, aggiungere account membro e abilitare Security Lake per tali account. Per ulteriori informazioni, consulta Gestione di più account con AWS Organizations.

In alternativa, puoi utilizzare Security Lake senza l'integrazione Organizations per un account autonomo che non fa parte di un'organizzazione.

Considerazioni sull'abilitazione di Amazon Security Lake

Prima di abilitare Security Lake, considera quanto segue:

• Security Lake offre funzionalità di gestione interregionale, il che significa che puoi creare il tuo data lake e configurare la raccolta dei log in tutto Regioni AWS il mondo. Per abilitare Security Lake in tutte le regioni supportate, puoi scegliere qualsiasi endpoint regionale supportato. Puoi anche aggiungere regioni di rollup per aggregare i dati di più regioni in un'unica regione.

• Ti consigliamo di attivare Security Lake in tutte le piattaforme supportate. Regioni AWS In questo modo, Security Lake può raccogliere dati collegati ad attività non autorizzate o insolite anche nelle regioni che non utilizzi attivamente. Se Security Lake non è attivato in tutte le regioni supportate, la sua capacità di raccogliere dati da altri servizi utilizzati in più regioni è ridotta.

• Quando abiliti Security Lake per la prima volta in qualsiasi regione, viene creato un ruolo collegato al servizio per il tuo account chiamato. AWSServiceRoleForSecurityLake Questo ruolo include le autorizzazioni per chiamare altre persone per tuo AWS servizi conto e gestire il security data lake. Per ulteriori informazioni su come funzionano i ruoli collegati ai servizi, consulta Using service-linked roles nella IAM User Guide. Se abiliti Security Lake come amministratore delegato di Security Lake, Security Lake crea il ruolo collegato al servizio in ogni account membro dell'organizzazione.

• Security Lake non supporta Amazon S3 Object Lock. Quando vengono creati i bucket di data lake, S3 Object Lock è disabilitato per impostazione predefinita. L'abilitazione di Object Lock su un bucket interrompe la consegna di dati di log normalizzati al data lake.

Guida introduttiva alla console

Questo tutorial spiega come abilitare e configurare Security Lake tramite AWS Management Console. Come parte di AWS Management Console, la console Security Lake offre un processo semplificato per iniziare e crea tutti i ruoli AWS Identity and Access Management (IAM) necessari per creare il data lake.

Fase 1: Configurare le fonti

Security Lake raccoglie dati di log ed eventi da una varietà di fonti e da tutto il tuo Account AWS territorio. Regioni AWS Segui queste istruzioni per identificare quali dati vuoi che Security Lake raccolga. Puoi usare queste istruzioni solo per aggiungere una fonte supportata nativamente AWS servizio . Per informazioni sull'aggiunta di una fonte personalizzata, consulta. Raccolta di dati da fonti personalizzate

Per configurare la raccolta di sorgenti di log

1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

2. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, selezionate una regione. Puoi abilitare Security Lake nella regione corrente e in altre regioni durante l'onboarding.

3. Scegli Avvia.

4. Per Seleziona sorgenti di log ed eventi, scegli una delle seguenti opzioni:

   1. Inserisci AWS fonti predefinite: quando scegli l'opzione consigliata, gli eventi di dati CloudTrail S3 non sono inclusi per l'ingestione. Questo perché l'ingestione di un volume elevato di eventi di dati CloudTrail - S3 potrebbe influire in modo significativo sui costi di utilizzo. Per importare questa fonte, seleziona l'opzione Inserisci fonti specifiche. AWS

   2. Inserisci AWS fonti specifiche: con questa opzione, puoi selezionare una o più fonti di log ed eventi che desideri importare.

   Nota

   Quando abiliti Security Lake in un account per la prima volta, tutte le fonti di log ed eventi selezionate faranno parte di un periodo di prova gratuito di 15 giorni. Per ulteriori informazioni sulle statistiche di utilizzo, vedereAnalisi dell'utilizzo e dei costi stimati.

5. Per Versioni, scegli la versione dell'origine dati da cui desideri importare le fonti di registro e di eventi.

   Importante

   Se non disponi delle autorizzazioni di ruolo necessarie per abilitare la nuova versione dell'origine del AWS registro nella regione specificata, contatta l'amministratore di Security Lake. Per ulteriori informazioni, consulta Aggiornare le autorizzazioni dei ruoli.

6. Per Select Regions, scegli se importare le fonti di log ed eventi da tutte le regioni supportate o da regioni specifiche. Se scegli Regioni specifiche, seleziona le regioni da cui importare i dati.

7. Per accedere al servizio, crea un nuovo ruolo IAM o utilizza un ruolo IAM esistente che autorizzi Security Lake a raccogliere dati dalle tue fonti e aggiungerli al tuo data lake. Un ruolo viene utilizzato in tutte le regioni in cui abiliti Security Lake.

8. Seleziona Successivo.

Fase 2: Definizione delle impostazioni di archiviazione e delle regioni di rollup (opzionale)

Puoi specificare la classe di storage Amazon S3 in cui desideri che Security Lake memorizzi i tuoi dati e per quanto tempo. Puoi anche specificare una regione di rollup per consolidare i dati provenienti da più regioni. Questi sono passaggi facoltativi. Per ulteriori informazioni, consulta Gestione del ciclo di vita in Security Lake.

Per configurare le impostazioni di archiviazione e rollup

1. Se desideri consolidare i dati di più regioni contribuenti in una regione di rollup, per Seleziona regioni di rollup, scegli Aggiungi regione di rollup. Specificate la regione di rollup e le regioni che vi contribuiranno. È possibile configurare una o più regioni di rollup.

2. Per le classi di storage Select, scegli una classe di storage Amazon S3. La classe di storage predefinita è S3 Standard. Fornisci un periodo di conservazione (in giorni) se desideri che i dati passino a un'altra classe di archiviazione dopo tale periodo e scegli Aggiungi transizione. Al termine del periodo di conservazione, gli oggetti scadono e Amazon S3 li elimina. Per ulteriori informazioni sulle classi di storage e sulla conservazione di Amazon S3, consulta. Gestione della conservazione

3. Se hai selezionato una regione di rollup nel primo passaggio, per l'accesso al servizio, crea un nuovo ruolo IAM o utilizza un ruolo IAM esistente che autorizzi Security Lake a replicare i dati su più regioni.

4. Seleziona Successivo.

Fase 3: Rivedi e crea un data lake

Controlla le fonti da cui Security Lake raccoglierà i dati, le tue regioni di rollup e le tue impostazioni di conservazione. Quindi, crea il tuo data lake.

Per rivedere e creare il data lake

1. Durante l'attivazione di Security Lake, esamina le sorgenti di log ed eventi, le regioni, le regioni di rollup e le classi di archiviazione.

2. Scegli Crea.

Dopo aver creato il data lake, verrà visualizzata la pagina di riepilogo sulla console di Security Lake. Questa pagina fornisce una panoramica del numero di regioni e aree di rollup, informazioni sugli abbonati e sui problemi.

Il menu Problemi mostra un riepilogo dei problemi degli ultimi 14 giorni che hanno avuto un impatto sul servizio Security Lake o sui bucket Amazon S3. Per ulteriori dettagli su ogni problema, puoi andare alla pagina Problemi della console Security Lake.

Passaggio 4: Visualizza e interroga i tuoi dati

Dopo aver creato il tuo data lake, puoi utilizzare Amazon Athena o servizi simili per visualizzare e interrogare i tuoi dati da AWS Lake Formation database e tabelle. Quando usi la console, Security Lake concede automaticamente le autorizzazioni di visualizzazione del database al ruolo che utilizzi per abilitare Security Lake. Come minimo, il ruolo deve disporre delle autorizzazioni di analista dei dati. Per ulteriori informazioni sui livelli di autorizzazione, consulta Lake Formation personas e IAM permissions reference. Per istruzioni sulla concessione SELECT delle autorizzazioni, consulta Concessione delle autorizzazioni di Data Catalog utilizzando il metodo della risorsa denominata nella Guida per gli sviluppatori.AWS Lake Formation

Fase 5: Creare abbonati

Dopo aver creato il data lake, puoi aggiungere abbonati per utilizzare i tuoi dati. Gli abbonati possono utilizzare i dati accedendo direttamente agli oggetti nei bucket Amazon S3 o interrogando il data lake. Per ulteriori informazioni sugli abbonati, consulta. Gestione degli abbonati in Amazon Security Lake

Iniziare a livello di programmazione

Questo tutorial spiega come abilitare e iniziare a utilizzare Security Lake a livello di codice. L'API Amazon Security Lake ti offre un accesso completo e programmatico al tuo account, ai dati e alle risorse di Security Lake. In alternativa, puoi utilizzare gli strumenti da riga di AWS comando, AWS Command Line Interfaceovvero gli AWS Strumenti per, PowerShell o gli AWS SDK per accedere a Security Lake.

Fase 1: Creare ruoli IAM

Se accedi a Security Lake in modo programmatico, è necessario creare alcuni ruoli AWS Identity and Access Management (IAM) per configurare il data lake.

Importante

Non è necessario creare questi ruoli IAM se si utilizza la console di Security Lake per abilitare e configurare Security Lake.

Devi creare ruoli in IAM se intendi intraprendere una o più delle seguenti azioni (scegli i link per visualizzare ulteriori informazioni sui ruoli IAM per ciascuna azione):

• Creazione di una fonte personalizzata: le fonti personalizzate sono fonti diverse da quelle supportate nativamente AWS servizi che inviano dati a Security Lake.

• Creazione di un abbonato con accesso ai dati: gli abbonati con autorizzazioni possono accedere direttamente agli oggetti S3 dal data lake.

• Creazione di un abbonato con accesso tramite query: gli abbonati con autorizzazioni possono interrogare i dati da Security Lake utilizzando servizi come Amazon Athena.

• Configurazione di una regione di rollup: una regione di rollup consolida i dati provenienti da più regioni. Regioni AWS

Dopo aver creato i ruoli menzionati in precedenza, collega la policy AmazonSecurityLakeAdministrator AWS gestita al ruolo che stai utilizzando per abilitare Security Lake. Questa politica concede autorizzazioni amministrative che consentono a un preside di accedere a Security Lake e accedere a tutte le azioni di Security Lake.

Allega la policy AmazonSecurityLakeMetaStoreManager AWS gestita per creare il tuo data lake o interrogare i dati da Security Lake. Questa policy è necessaria affinché Security Lake supporti i processi di estrazione, trasformazione e caricamento (ETL) su dati non elaborati di log ed eventi che riceve dalle fonti.

Passaggio 2: abilitare Amazon Security Lake

Per abilitare Security Lake a livello di codice, utilizza il CreateDataLakefunzionamento dell'API Security Lake. Se utilizzi il AWS CLI, esegui il comando create-data-lake. Nella richiesta, utilizzate il region campo dell'configurationsoggetto per specificare il codice regionale per la regione in cui abilitare Security Lake. Per un elenco dei codici regionali, consulta gli endpoint di Amazon Security Lake nel Riferimenti generali di AWS.

Esempio 1

Il comando di esempio seguente abilita Security Lake nelle us-east-2 regioni us-east-1 e. In entrambe le regioni, questo data lake è crittografato con chiavi gestite di Amazon S3. Gli oggetti scadono dopo 365 giorni e gli oggetti passano alla classe di storage ONEZONE_IA S3 dopo 60 giorni. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Esempio 2

Il comando di esempio seguente abilita Security Lake nella us-east-2 regione. Questo data lake è crittografato con una chiave gestita dal cliente creata in AWS Key Management Service (AWS KMS). Gli oggetti scadono dopo 500 giorni e gli oggetti passano alla classe di storage GLACIER S3 dopo 30 giorni. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Nota

Se hai già abilitato Security Lake e desideri aggiornare le impostazioni di configurazione per una regione o una fonte, usa l'UpdateDataLakeoperazione o, se usi il comando AWS CLIupdate-data-lake. Non utilizzare l'operazione. CreateDataLake

Fase 3: Configurare le fonti

Security Lake raccoglie dati di log ed eventi da una varietà di fonti e da tutto il tuo Account AWS territorio. Regioni AWS Segui queste istruzioni per identificare quali dati vuoi che Security Lake raccolga. Puoi usare queste istruzioni solo per aggiungere una fonte supportata nativamente AWS servizio . Per informazioni sull'aggiunta di una fonte personalizzata, consulta. Raccolta di dati da fonti personalizzate

Per definire una o più fonti di raccolta a livello di codice, utilizzate il CreateAwsLogSourcefunzionamento dell'API Security Lake. Per ogni fonte, specificate un valore unico a livello regionale per il parametro. sourceName Facoltativamente, utilizzate parametri aggiuntivi per limitare l'ambito della fonte a account specifici (accounts) o a una versione specifica (sourceVersion).

Nota

Se non includi un parametro opzionale nella richiesta, Security Lake applica la richiesta a tutti gli account o a tutte le versioni della fonte specificata, a seconda del parametro che escludi. Ad esempio, se sei l'amministratore delegato di Security Lake di un'organizzazione ed escludi il accounts parametro, Security Lake applica la richiesta a tutti gli account dell'organizzazione. Analogamente, se si esclude il sourceVersion parametro, Security Lake applica la richiesta a tutte le versioni della fonte specificata.

Se la richiesta specifica una regione in cui non hai abilitato Security Lake, si verifica un errore. Per risolvere questo errore, assicurati che l'regionsarray specifichi solo le regioni in cui hai abilitato Security Lake. In alternativa, puoi abilitare Security Lake nella regione e quindi inviare nuovamente la richiesta.

Quando abiliti Security Lake in un account per la prima volta, tutte le fonti di registro ed eventi selezionate faranno parte di un periodo di prova gratuito di 15 giorni. Per ulteriori informazioni sulle statistiche di utilizzo, vedereAnalisi dell'utilizzo e dei costi stimati.

Fase 4: Configurazione delle impostazioni di archiviazione e delle regioni di rollup (opzionale)

Puoi specificare la classe di storage Amazon S3 in cui desideri che Security Lake memorizzi i tuoi dati e per quanto tempo. Puoi anche specificare una regione di rollup per consolidare i dati provenienti da più regioni. Questi sono passaggi facoltativi. Per ulteriori informazioni, consulta Gestione del ciclo di vita in Security Lake.

Per definire un obiettivo a livello di codice quando abiliti Security Lake, utilizza il CreateDataLakefunzionamento dell'API Security Lake. Se hai già abilitato Security Lake e desideri definire un obiettivo target, usa l'UpdateDataLakeoperazione, non l'CreateDataLakeoperazione.

Per entrambe le operazioni, utilizzate i parametri supportati per specificare le impostazioni di configurazione desiderate:

• Per specificare una regione di rollup, utilizzate il region campo per specificare la regione in cui desiderate inserire i dati nelle regioni di rollup. Nell'regionsarray dell'replicationConfigurationoggetto, specificate il codice regionale per ogni regione di rollup. Per un elenco dei codici regionali, consulta gli endpoint di Amazon Security Lake nel Riferimenti generali di AWS.

• Per specificare le impostazioni di conservazione dei dati, utilizza i lifecycleConfiguration parametri:

  • Pertransitions, specifica il numero totale di giorni (days) in cui desideri archiviare gli oggetti S3 in una particolare classe storageClass di storage Amazon S3 ().

  • Perexpiration, specifica il numero totale di giorni in cui desideri archiviare gli oggetti in Amazon S3, utilizzando qualsiasi classe di storage, dopo la creazione degli oggetti. Al termine di questo periodo di conservazione, gli oggetti scadono e Amazon S3 li elimina.

  Security Lake applica le impostazioni di conservazione specificate alla regione specificata nel region campo dell'oggetto. configurations

Ad esempio, il comando seguente crea un data lake con ap-northeast-2 come regione di rollup. La us-east-1 regione fornirà dati alla ap-northeast-2 regione. Questo esempio stabilisce anche un periodo di scadenza di 10 giorni per gli oggetti che vengono aggiunti al data lake.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Ora hai creato il tuo data lake. Utilizza il ListDataLakesfunzionamento dell'API Security Lake per verificare l'abilitazione di Security Lake e delle impostazioni del data lake in ogni regione.

Se si verificano problemi o errori nella creazione del data lake, è possibile visualizzare un elenco di eccezioni utilizzando l'ListDataLakeExceptionsoperazione e notificare agli utenti le eccezioni durante l'operazione. CreateDataLakeExceptionSubscription Per ulteriori informazioni, consulta Risoluzione dei problemi relativi allo stato del data lake.

Passaggio 5: Visualizza e interroga i tuoi dati

Dopo aver creato il tuo data lake, puoi utilizzare Amazon Athena o servizi simili per visualizzare e interrogare i tuoi dati da AWS Lake Formation database e tabelle. Quando abiliti Security Lake a livello di codice, le autorizzazioni di visualizzazione del database non vengono concesse automaticamente. L'account amministratore del data lake in AWS Lake Formation deve concedere SELECT le autorizzazioni al ruolo IAM che desideri utilizzare per interrogare i database e le tabelle pertinenti. Come minimo, il ruolo deve disporre delle autorizzazioni di analista dei dati. Per ulteriori informazioni sui livelli di autorizzazione, consulta Lake Formation personas e IAM permissions reference. Per istruzioni sulla concessione SELECT delle autorizzazioni, consulta Concessione delle autorizzazioni di Data Catalog utilizzando il metodo della risorsa denominata nella Guida per gli sviluppatori.AWS Lake Formation

Fase 6: Creare abbonati

Dopo aver creato il data lake, puoi aggiungere abbonati per utilizzare i tuoi dati. Gli abbonati possono utilizzare i dati accedendo direttamente agli oggetti nei bucket Amazon S3 o interrogando il data lake. Per ulteriori informazioni sugli abbonati, consulta. Gestione degli abbonati in Amazon Security Lake