Raccolta di dati da Servizi AWS

Amazon Security Lake può raccogliere log ed eventi dai seguenti elementi supportati Servizi AWS nativamente:

• AWS CloudTrail gestione ed eventi relativi ai dati (S3, Lambda)

• Registri di controllo di Amazon Elastic Kubernetes Service (Amazon EKS)

• Log di query di Amazon Route 53 Resolver

• AWS Security Hub risultati

• Log di flusso Amazon Virtual Private Cloud (Amazon VPC)

• AWS WAF registri v2

Security Lake trasforma automaticamente questi dati nel formato Apache Open Cybersecurity Schema Framework (OCSF) Parquet.

Suggerimento

Per aggiungere uno o più dei servizi precedenti come origine di registro in Security Lake, non è necessario configurare separatamente la registrazione in questi servizi, ad eccezione degli eventi di gestione. CloudTrail Se la registrazione è configurata in questi servizi, non è necessario modificare la configurazione di registrazione per aggiungerli come sorgenti di registro in Security Lake. Security Lake estrae i dati direttamente da questi servizi attraverso un flusso di eventi indipendente e duplicato.

Prerequisito: verificare le autorizzazioni

Per aggiungere un file Servizio AWS come fonte in Security Lake, è necessario disporre delle autorizzazioni necessarie. Verifica che la policy AWS Identity and Access Management (IAM) allegata al ruolo che utilizzi per aggiungere una fonte sia autorizzata a eseguire le seguenti azioni:

• glue:CreateDatabase

• glue:CreateTable

• glue:GetDatabase

• glue:GetTable

• glue:UpdateTable

• iam:CreateServiceLinkedRole

• s3:GetObject

• s3:PutObject

È consigliabile che il ruolo soddisfi le condizioni e l'ambito di risorse seguenti per le s3:PutObject autorizzazioni S3:getObject e.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}             

Queste azioni consentono di raccogliere registri ed eventi da un utente e inviarli al AWS Glue database Servizio AWS e alla tabella corretti.

Se utilizzi una AWS KMS chiave per la crittografia lato server del tuo data lake, ti serve anche l'autorizzazione per. kms:DescribeKey

CloudTrail registri degli eventi

AWS CloudTrail fornisce una cronologia delle chiamate AWS API per il tuo account, incluse le chiamate API effettuate utilizzando gli AWS SDK AWS Management Console, gli strumenti da riga di comando e determinati AWS servizi. CloudTrail consente inoltre di identificare gli utenti e gli account chiamati AWS API per i servizi che supportano CloudTrail, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono state effettuate le chiamate. Per ulteriori informazioni, consulta la Guida per l'utente AWS CloudTrail.

Security Lake può raccogliere i log associati agli eventi di CloudTrail gestione e agli eventi relativi ai CloudTrail dati per S3 e Lambda. CloudTrail gli eventi di gestione, gli eventi sui dati S3 e gli eventi sui dati Lambda sono tre fonti separate in Security Lake. Di conseguenza, hanno valori diversi sourceNamese ne aggiungi uno come fonte di log importata. Gli eventi di gestione, noti anche come eventi del piano di controllo, forniscono informazioni dettagliate sulle operazioni di gestione eseguite sulle risorse dell'azienda. Account AWS CloudTrail gli eventi relativi ai dati, noti anche come operazioni sul piano dati, mostrano le operazioni relative alle risorse eseguite sulle risorse o all'interno di esse Account AWS. Queste operazioni sono spesso attività ad alto volume.

Per raccogliere gli eventi di CloudTrail gestione in Security Lake, è necessario disporre di almeno un percorso organizzativo CloudTrail multiregionale che raccolga gli eventi di gestione di lettura e scrittura CloudTrail . La registrazione deve essere abilitata per il percorso. Se la registrazione è configurata negli altri servizi, non è necessario modificare la configurazione di registrazione per aggiungerli come fonti di registro in Security Lake. Security Lake estrae i dati direttamente da questi servizi attraverso un flusso di eventi indipendente e duplicato.

Un percorso multiregionale fornisce file di log da più regioni a un singolo bucket Amazon Simple Storage Service (Amazon S3) per un singolo bucket. Account AWS Se disponi già di un percorso multiregionale gestito tramite CloudTrail console oppure non sono AWS Control Tower necessarie ulteriori azioni.

• Per informazioni sulla creazione e la gestione di un itinerario CloudTrail, consulta Creazione di un itinerario per un'organizzazione nella Guida per l'AWS CloudTrail utente.

• Per informazioni sulla creazione e la gestione di un percorso AWS Control Tower, consulta Logging AWS Control Tower actions with AWS CloudTrail nella Guida per l'AWS Control Tower utente.

Quando aggiungi CloudTrail eventi come fonte, Security Lake inizia immediatamente a raccogliere i registri CloudTrail degli eventi. Utilizza gli eventi di CloudTrail gestione e dati direttamente da CloudTrail un flusso di eventi indipendente e duplicato.

Security Lake non gestisce gli CloudTrail eventi né influisce sulle configurazioni esistenti CloudTrail . Per gestire direttamente l'accesso e la conservazione degli CloudTrail eventi, è necessario utilizzare la console di CloudTrail servizio o l'API. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi nella Guida AWS CloudTrail per l'utente.

L'elenco seguente fornisce i collegamenti del GitHub repository ai riferimenti di mappatura relativi al modo in cui Security Lake normalizza CloudTrail gli eventi in OCSF.

GitHub CloudTrail Archivio OCSF per eventi

• Versione sorgente 1 (v1.0.0-rc.2)

• Versione sorgente 2 (v1.1.0)

Registri di controllo di Amazon EKS

Quando aggiungi Amazon EKS Audit Logs come fonte, Security Lake inizia a raccogliere informazioni approfondite sulle attività eseguite sulle risorse Kubernetes in esecuzione nei cluster Elastic Kubernetes Service (EKS). I registri di controllo EKS consentono di rilevare attività potenzialmente sospette nei cluster EKS all'interno di Amazon Elastic Kubernetes Service.

Security Lake utilizza gli eventi EKS Audit Log direttamente dalla funzionalità di registrazione del piano di controllo di Amazon EKS attraverso un flusso indipendente e duplicato di log di audit. Questo processo è progettato per non richiedere configurazioni aggiuntive né influire sulle configurazioni di registrazione del piano di controllo di Amazon EKS esistenti che potresti avere. Per ulteriori informazioni, consulta la registrazione del piano di controllo di Amazon EKS nella Guida per l'utente di Amazon EKS.

I log di controllo di Amazon EKS sono supportati solo in OCSF v1.1.0. Per informazioni su come Security Lake normalizza gli eventi EKS Audit Logs in OCSF, consulta il riferimento alla mappatura nel GitHub repository OCSF per gli eventi di Amazon EKS Audit Logs (v1.1.0).

Log delle query di Route 53 Resolver

I log delle query del resolver Route 53 tengono traccia delle query DNS effettuate dalle risorse all'interno del tuo Amazon Virtual Private Cloud (Amazon VPC). Questo ti aiuta a capire come funzionano le tue applicazioni e a individuare le minacce alla sicurezza.

Quando aggiungete i log delle query del resolver Route 53 come origine in Security Lake, Security Lake inizia immediatamente a raccogliere i log delle query del resolver direttamente da Route 53 attraverso un flusso di eventi indipendente e duplicato.

Security Lake non gestisce i log di Route 53 né influisce sulle configurazioni di registrazione delle query del resolver esistenti. Per gestire i log delle interrogazioni del resolver, è necessario utilizzare la console di servizio Route 53. Per ulteriori informazioni, consulta Managing Resolver Query Logging configurations nella Amazon Route 53 Developer Guide.

L'elenco seguente fornisce collegamenti ai GitHub repository ai riferimenti di mappatura su come Security Lake normalizza i log di Route 53 in OCSF.

GitHub Archivio OCSF per i log di Route 53

• Versione sorgente 1 (v1.0.0-rc.2)

• Versione sorgente 2 (v1.1.0)

Risultati del Security Hub

I risultati di Security Hub ti aiutano a comprendere la tua posizione in materia di sicurezza AWS e ti consentono di verificare il tuo ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub raccoglie i risultati da varie fonti, comprese le integrazioni con altre Servizi AWS integrazioni di prodotti di terze parti e i controlli del Security Hub. Security Hub elabora i risultati in un formato standard chiamato AWS Security Finding Format (ASFF).

Quando aggiungi i risultati di Security Hub come fonte in Security Lake, Security Lake inizia immediatamente a raccogliere i risultati direttamente da Security Hub attraverso un flusso di eventi indipendente e duplicato. Security Lake trasforma anche i risultati da ASFF a Open Cybersecurity Schema Framework (OCSF) (OCSF).

Security Lake non gestisce i risultati del Security Hub né influisce sulle impostazioni del Security Hub. Per gestire i risultati di Security Hub, è necessario utilizzare la console del servizio Security Hub, l'API o AWS CLI. Per ulteriori informazioni, consulta Findings AWS Security Hub nella Guida AWS Security Hub per l'utente.

L'elenco seguente fornisce collegamenti al GitHub repository al riferimento di mappatura su come Security Lake normalizza i risultati del Security Hub in OCSF.

GitHub Archivio OCSF per i risultati del Security Hub

• Versione sorgente 1 (v1.0.0-rc.2)

• Versione sorgente 2 (v1.1.0)

Log di flusso VPC

La funzionalità VPC Flow Logs di Amazon VPC acquisisce informazioni sul traffico IP da e verso le interfacce di rete all'interno del tuo ambiente.

Quando aggiungi i log di flusso VPC come origine in Security Lake, Security Lake inizia immediatamente a raccogliere i log di flusso VPC. Utilizza i log di flusso VPC direttamente da Amazon VPC attraverso un flusso indipendente e duplicato di Flow Logs.

Security Lake non gestisce i log di flusso VPC né influisce sulle configurazioni di Amazon VPC. Per gestire i tuoi Flow Logs, devi utilizzare la console di servizio Amazon VPC. Per ulteriori informazioni, consulta Work with Flow Logs nella Amazon VPC Developer Guide.

L'elenco seguente fornisce i collegamenti del GitHub repository al riferimento di mappatura su come Security Lake normalizza i log di flusso VPC in OCSF.

GitHub Archivio OCSF per i log di flusso VPC

• Versione sorgente 1 (v1.0.0-rc.2)

• Versione sorgente 2 (v1.1.0)

AWS WAF registri

Quando si aggiunge AWS WAF come fonte di log in Security Lake, Security Lake inizia immediatamente a raccogliere i log. AWS WAF è un firewall per applicazioni Web che puoi utilizzare per monitorare le richieste Web inviate dagli utenti finali alle tue applicazioni e per controllare l'accesso ai tuoi contenuti. Le informazioni registrate includono l'ora in cui è AWS WAF stata ricevuta una richiesta Web dalla AWS risorsa, informazioni dettagliate sulla richiesta e dettagli sulle regole a cui la richiesta corrisponde.

Security Lake utilizza i AWS WAF log direttamente da un AWS WAF flusso di log indipendente e duplicato. Questo processo è progettato per non richiedere configurazioni aggiuntive né influire sulle AWS WAF configurazioni esistenti che potresti avere. Per ulteriori informazioni su come AWS WAF proteggere le risorse dell'applicazione, consulta How AWS WAF works nella AWS WAF Developer Guide.

Importante

Se utilizzi la CloudFront distribuzione Amazon come tipo di risorsa AWS WAF, devi selezionare Stati Uniti orientali (Virginia settentrionale) per importare i log globali in Security Lake.

AWS WAF i log sono supportati solo in OCSF v1.1.0. Per informazioni su come Security Lake normalizza gli eventi di AWS WAF registro in OCSF, consultate il riferimento alla mappatura nel repository OCSF per i log (v1.1.0). GitHub AWS WAF

Aggiungere un file come fonte Servizio AWS

Dopo aver aggiunto un file Servizio AWS come fonte, Security Lake inizia automaticamente a raccogliere i registri di sicurezza e gli eventi da esso. Queste istruzioni spiegano come aggiungere una sorgente supportata in modo nativo in Security Servizio AWS Lake. Per istruzioni sull'aggiunta di una fonte personalizzata, consulta. Raccolta di dati da fonti personalizzate

Console

Per aggiungere una fonte di AWS registro (console)

1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

2. Scegli Sorgenti dal pannello di navigazione.

3. Seleziona Servizio AWS quello da cui desideri raccogliere i dati e scegli Configura.

4. Nella sezione Impostazioni della fonte, abilita la fonte e seleziona la versione dell'origine dati che desideri utilizzare per l'ingestione dei dati. Per impostazione predefinita, la versione più recente dell'origine dati viene acquisita da Security Lake.

   Importante

   Se non disponi delle autorizzazioni di ruolo necessarie per abilitare la nuova versione dell'origine del AWS registro nella regione specificata, contatta l'amministratore di Security Lake. Per ulteriori informazioni, consulta Aggiornare le autorizzazioni dei ruoli.

   Affinché i tuoi abbonati possano importare la versione selezionata dell'origine dati, devi anche aggiornare le impostazioni degli abbonati. Per i dettagli su come modificare un abbonato, consulta Gestione degli abbonati in Amazon Security Lake.

   Facoltativamente, puoi scegliere di importare solo la versione più recente e disabilitare tutte le versioni di origine precedenti utilizzate per l'inserimento dei dati.

5. Nella sezione Regioni, seleziona le regioni in cui desideri raccogliere i dati per l'origine. Security Lake raccoglierà i dati dalla fonte da tutti gli account nelle regioni selezionate.

6. Scegli Abilita .

API

Per aggiungere una fonte di AWS registro (API)

Per aggiungere un file Servizio AWS come sorgente a livello di codice, utilizza il CreateAwsLogSourcefunzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando create-aws-log-source. I parametri sourceName e regions sono obbligatori. Facoltativamente, puoi limitare l'ambito della fonte a uno specifico o a uno specifico. accounts sourceVersion

Importante

Quando non si fornisce un parametro nel comando, Security Lake presuppone che il parametro mancante si riferisca all'intero set. Ad esempio, se non si fornisce il accounts parametro, il comando si applica all'intero set di account dell'organizzazione.

L'esempio seguente aggiunge i log di flusso VPC come origine negli account e nelle regioni designati. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

Nota

Se applichi questa richiesta a una regione in cui non hai abilitato Security Lake, riceverai un errore. Puoi risolvere l'errore abilitando Security Lake in quella regione o utilizzando il regions parametro per specificare solo le regioni in cui hai abilitato Security Lake.

$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"

Aggiornamento delle autorizzazioni dei ruoli

Se non disponi delle autorizzazioni o delle risorse necessarie (nuova AWS Lambda funzione e coda Amazon Simple Queue Service (Amazon SQS) per importare dati da una nuova versione dell'origine dati, devi aggiornare le autorizzazioni del ruolo e creare un nuovo set di risorse per elaborare i dati dalle AmazonSecurityLakeMetaStoreManagerV2 tue fonti.

Scegli il tuo metodo preferito e segui le istruzioni per aggiornare le autorizzazioni del ruolo e creare nuove risorse per elaborare i dati da una nuova versione di un'origine di AWS registro in una regione specificata. Si tratta di un'azione unica, poiché le autorizzazioni e le risorse vengono applicate automaticamente alle future versioni delle origini dati.

Console

Per aggiornare le autorizzazioni dei ruoli (console)

1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

   Accedi con le credenziali dell'amministratore delegato di Security Lake.

2. Nel riquadro di navigazione, in Settings (Impostazioni), scegliere General (Generali).

3. Scegli Aggiorna le autorizzazioni del ruolo.

4. Nella sezione Accesso al servizio, esegui una delle seguenti operazioni:

   • Creare e utilizzare un nuovo ruolo di servizio: è possibile utilizzare il ruolo AmazonSecurityLakeMetaStoreManagerV2 creato da Security Lake.

   • Usa un ruolo di servizio esistente: puoi scegliere un ruolo di servizio esistente dall'elenco dei nomi del ruolo di servizio.

5. Scegli Applica.

API

Per aggiornare le autorizzazioni dei ruoli (API)

Per aggiornare le autorizzazioni a livello di codice, utilizza il UpdateDataLakefunzionamento dell'API Security Lake. Per aggiornare le autorizzazioni utilizzando AWS CLI, esegui il comando. update-data-lake

Per aggiornare le autorizzazioni del ruolo, è necessario allegare la AmazonSecurityLakeMetastoreManagerpolicy al ruolo.

Eliminazione del ruolo AmazonSecurityLakeMetaStoreManager

Importante

Dopo aver aggiornato le autorizzazioni del ruolo aAmazonSecurityLakeMetaStoreManagerV2, verifica che il data lake funzioni correttamente prima di rimuovere il vecchio AmazonSecurityLakeMetaStoreManager ruolo. Si consiglia di attendere almeno 4 ore prima di rimuovere il ruolo.

Se decidi di rimuovere il ruolo, devi prima eliminare il AmazonSecurityLakeMetaStoreManager ruolo da AWS Lake Formation.

Segui questi passaggi per rimuovere il AmazonSecurityLakeMetaStoreManager ruolo dalla console di Lake Formation.

1. Accedi a e apri AWS Management Console la console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/.

2. Nella console di Lake Formation, dal riquadro di navigazione, scegli Ruoli e attività amministrative.

3. Rimuovi AmazonSecurityLakeMetaStoreManager da ogni regione.

Rimuovere un Servizio AWS file come fonte

Scegli il tuo metodo di accesso e segui questi passaggi per rimuovere una fonte Security Lake supportata Servizio AWS nativamente. Puoi rimuovere una fonte per una o più regioni. Quando rimuovi la fonte, Security Lake interrompe la raccolta di dati da tale fonte nelle regioni e negli account specificati e gli abbonati non possono più consumare nuovi dati dalla fonte. Tuttavia, gli abbonati possono comunque utilizzare i dati raccolti da Security Lake dalla fonte prima della rimozione. È possibile utilizzare queste istruzioni solo per rimuovere una fonte supportata in modo nativo Servizio AWS . Per informazioni sulla rimozione di una fonte personalizzata, consulta. Raccolta di dati da fonti personalizzate

Console

1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

2. Scegli Sorgenti dal pannello di navigazione.

3. Seleziona una fonte e scegli Disattiva.

4. Seleziona una o più regioni in cui desideri interrompere la raccolta di dati da questa fonte. Security Lake smetterà di raccogliere dati dalla fonte da tutti gli account nelle regioni selezionate.

API

Per rimuovere un file Servizio AWS come fonte a livello di codice, utilizza il DeleteAwsLogSourcefunzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando delete-aws-log-source. I parametri sourceName e regions sono obbligatori. Facoltativamente, puoi limitare l'ambito della rimozione a uno specifico o a uno specifico. accounts sourceVersion

Importante

Quando non si fornisce un parametro nel comando, Security Lake presuppone che il parametro mancante si riferisca all'intero set. Ad esempio, se non si fornisce il accounts parametro, il comando si applica all'intero set di account dell'organizzazione.

L'esempio seguente rimuove i log di flusso VPC come origine negli account e nelle regioni designati.

$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"                   

L'esempio seguente rimuove Route 53 come origine nell'account e nelle regioni designati.

$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"

Gli esempi precedenti sono formattati per Linux, macOS o Unix e utilizzano il carattere di continuazione di riga (\) per migliorare la leggibilità.

Ottenere lo stato della raccolta di sorgenti

Scegli il tuo metodo di accesso e segui i passaggi per ottenere un'istantanea degli account e delle fonti per i quali è abilitata la raccolta dei log nella regione corrente.

Console

Per conoscere lo stato della raccolta dei log nella regione corrente

1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

2. Nel riquadro di navigazione, scegli Account.

3. Posiziona il cursore sul numero nella colonna Sorgenti per vedere quali registri sono abilitati per l'account selezionato.

API

Per conoscere lo stato della raccolta dei log nella regione corrente, utilizza il GetDataLakeSourcesfunzionamento dell'API Security Lake. Se utilizzi il AWS CLI, esegui il comando get-data-lake-sources. Per il accounts parametro, puoi specificare uno o più ID come elenco. Account AWS Se la richiesta ha esito positivo, Security Lake restituisce un'istantanea per gli account nella regione corrente, incluse AWS le fonti da cui Security Lake raccoglie i dati e lo stato di ciascuna fonte. Se non si include il accounts parametro, la risposta include lo stato della raccolta dei log per tutti gli account in cui Security Lake è configurato nella regione corrente.

Ad esempio, il AWS CLI comando seguente recupera lo stato della raccolta dei registri per gli account specificati nella regione corrente. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"