Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Raccolta di dati da Servizi AWS
Amazon Security Lake può raccogliere log ed eventi dai seguenti elementi supportati Servizi AWS nativamente:
-
AWS CloudTrail gestione ed eventi relativi ai dati (S3, Lambda)
-
Registri di controllo di Amazon Elastic Kubernetes Service (Amazon EKS)
-
Log di query di Amazon Route 53 Resolver
-
AWS Security Hub risultati
-
Log di flusso Amazon Virtual Private Cloud (Amazon VPC)
-
AWS WAF registri v2
Security Lake trasforma automaticamente questi dati nel formato Apache Open Cybersecurity Schema Framework (OCSF) Parquet.
Suggerimento
Per aggiungere uno o più dei servizi precedenti come origine di registro in Security Lake, non è necessario configurare separatamente la registrazione in questi servizi, ad eccezione degli eventi di gestione. CloudTrail Se la registrazione è configurata in questi servizi, non è necessario modificare la configurazione di registrazione per aggiungerli come sorgenti di registro in Security Lake. Security Lake estrae i dati direttamente da questi servizi attraverso un flusso di eventi indipendente e duplicato.
Prerequisito: verificare le autorizzazioni
Per aggiungere un file Servizio AWS come fonte in Security Lake, è necessario disporre delle autorizzazioni necessarie. Verifica che la policy AWS Identity and Access Management (IAM) allegata al ruolo che utilizzi per aggiungere una fonte sia autorizzata a eseguire le seguenti azioni:
-
glue:CreateDatabase
-
glue:CreateTable
-
glue:GetDatabase
-
glue:GetTable
-
glue:UpdateTable
iam:CreateServiceLinkedRole
s3:GetObject
s3:PutObject
È consigliabile che il ruolo soddisfi le condizioni e l'ambito di risorse seguenti per le s3:PutObject
autorizzazioni S3:getObject
e.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUpdatingSecurityLakeS3Buckets", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::aws-security-data-lake*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
Queste azioni consentono di raccogliere registri ed eventi da un utente e inviarli al AWS Glue database Servizio AWS e alla tabella corretti.
Se utilizzi una AWS KMS chiave per la crittografia lato server del tuo data lake, ti serve anche l'autorizzazione per. kms:DescribeKey
CloudTrail registri degli eventi
AWS CloudTrail fornisce una cronologia delle chiamate AWS API per il tuo account, incluse le chiamate API effettuate utilizzando gli AWS SDK AWS Management Console, gli strumenti da riga di comando e determinati AWS servizi. CloudTrail consente inoltre di identificare gli utenti e gli account chiamati AWS API per i servizi che supportano CloudTrail, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono state effettuate le chiamate. Per ulteriori informazioni, consulta la Guida per l'utente AWS CloudTrail.
Security Lake può raccogliere i log associati agli eventi di CloudTrail gestione e agli eventi relativi ai CloudTrail dati per S3 e Lambda. CloudTrail gli eventi di gestione, gli eventi sui dati S3 e gli eventi sui dati Lambda sono tre fonti separate in Security Lake. Di conseguenza, hanno valori diversi sourceName
se ne aggiungi uno come fonte di log importata. Gli eventi di gestione, noti anche come eventi del piano di controllo, forniscono informazioni dettagliate sulle operazioni di gestione eseguite sulle risorse dell'azienda. Account AWS CloudTrail gli eventi relativi ai dati, noti anche come operazioni sul piano dati, mostrano le operazioni relative alle risorse eseguite sulle risorse o all'interno di esse Account AWS. Queste operazioni sono spesso attività ad alto volume.
Per raccogliere gli eventi di CloudTrail gestione in Security Lake, è necessario disporre di almeno un percorso organizzativo CloudTrail multiregionale che raccolga gli eventi di gestione di lettura e scrittura CloudTrail . La registrazione deve essere abilitata per il percorso. Se la registrazione è configurata negli altri servizi, non è necessario modificare la configurazione di registrazione per aggiungerli come fonti di registro in Security Lake. Security Lake estrae i dati direttamente da questi servizi attraverso un flusso di eventi indipendente e duplicato.
Un percorso multiregionale fornisce file di log da più regioni a un singolo bucket Amazon Simple Storage Service (Amazon S3) per un singolo bucket. Account AWS Se disponi già di un percorso multiregionale gestito tramite CloudTrail console oppure non sono AWS Control Tower necessarie ulteriori azioni.
Per informazioni sulla creazione e la gestione di un itinerario CloudTrail, consulta Creazione di un itinerario per un'organizzazione nella Guida per l'AWS CloudTrail utente.
-
Per informazioni sulla creazione e la gestione di un percorso AWS Control Tower, consulta Logging AWS Control Tower actions with AWS CloudTrail nella Guida per l'AWS Control Tower utente.
Quando aggiungi CloudTrail eventi come fonte, Security Lake inizia immediatamente a raccogliere i registri CloudTrail degli eventi. Utilizza gli eventi di CloudTrail gestione e dati direttamente da CloudTrail un flusso di eventi indipendente e duplicato.
Security Lake non gestisce gli CloudTrail eventi né influisce sulle configurazioni esistenti CloudTrail . Per gestire direttamente l'accesso e la conservazione degli CloudTrail eventi, è necessario utilizzare la console di CloudTrail servizio o l'API. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi nella Guida AWS CloudTrail per l'utente.
L'elenco seguente fornisce i collegamenti del GitHub repository ai riferimenti di mappatura relativi al modo in cui Security Lake normalizza CloudTrail gli eventi in OCSF.
GitHub CloudTrail Archivio OCSF per eventi
Registri di controllo di Amazon EKS
Quando aggiungi Amazon EKS Audit Logs come fonte, Security Lake inizia a raccogliere informazioni approfondite sulle attività eseguite sulle risorse Kubernetes in esecuzione nei cluster Elastic Kubernetes Service (EKS). I registri di controllo EKS consentono di rilevare attività potenzialmente sospette nei cluster EKS all'interno di Amazon Elastic Kubernetes Service.
Security Lake utilizza gli eventi EKS Audit Log direttamente dalla funzionalità di registrazione del piano di controllo di Amazon EKS attraverso un flusso indipendente e duplicato di log di audit. Questo processo è progettato per non richiedere configurazioni aggiuntive né influire sulle configurazioni di registrazione del piano di controllo di Amazon EKS esistenti che potresti avere. Per ulteriori informazioni, consulta la registrazione del piano di controllo di Amazon EKS nella Guida per l'utente di Amazon EKS.
I log di controllo di Amazon EKS sono supportati solo in OCSF v1.1.0. Per informazioni su come Security Lake normalizza gli eventi EKS Audit Logs in OCSF, consulta il riferimento alla mappatura nel GitHub repository OCSF per gli eventi di Amazon
Log delle query di Route 53 Resolver
I log delle query del resolver Route 53 tengono traccia delle query DNS effettuate dalle risorse all'interno del tuo Amazon Virtual Private Cloud (Amazon VPC). Questo ti aiuta a capire come funzionano le tue applicazioni e a individuare le minacce alla sicurezza.
Quando aggiungete i log delle query del resolver Route 53 come origine in Security Lake, Security Lake inizia immediatamente a raccogliere i log delle query del resolver direttamente da Route 53 attraverso un flusso di eventi indipendente e duplicato.
Security Lake non gestisce i log di Route 53 né influisce sulle configurazioni di registrazione delle query del resolver esistenti. Per gestire i log delle interrogazioni del resolver, è necessario utilizzare la console di servizio Route 53. Per ulteriori informazioni, consulta Managing Resolver Query Logging configurations nella Amazon Route 53 Developer Guide.
L'elenco seguente fornisce collegamenti ai GitHub repository ai riferimenti di mappatura su come Security Lake normalizza i log di Route 53 in OCSF.
GitHub Archivio OCSF per i log di Route 53
Risultati del Security Hub
I risultati di Security Hub ti aiutano a comprendere la tua posizione in materia di sicurezza AWS e ti consentono di verificare il tuo ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub raccoglie i risultati da varie fonti, comprese le integrazioni con altre Servizi AWS integrazioni di prodotti di terze parti e i controlli del Security Hub. Security Hub elabora i risultati in un formato standard chiamato AWS Security Finding Format (ASFF).
Quando aggiungi i risultati di Security Hub come fonte in Security Lake, Security Lake inizia immediatamente a raccogliere i risultati direttamente da Security Hub attraverso un flusso di eventi indipendente e duplicato. Security Lake trasforma anche i risultati da ASFF a Open Cybersecurity Schema Framework (OCSF) (OCSF).
Security Lake non gestisce i risultati del Security Hub né influisce sulle impostazioni del Security Hub. Per gestire i risultati di Security Hub, è necessario utilizzare la console del servizio Security Hub, l'API o AWS CLI. Per ulteriori informazioni, consulta Findings AWS Security Hub nella Guida AWS Security Hub per l'utente.
L'elenco seguente fornisce collegamenti al GitHub repository al riferimento di mappatura su come Security Lake normalizza i risultati del Security Hub in OCSF.
GitHub Archivio OCSF per i risultati del Security Hub
Log di flusso VPC
La funzionalità VPC Flow Logs di Amazon VPC acquisisce informazioni sul traffico IP da e verso le interfacce di rete all'interno del tuo ambiente.
Quando aggiungi i log di flusso VPC come origine in Security Lake, Security Lake inizia immediatamente a raccogliere i log di flusso VPC. Utilizza i log di flusso VPC direttamente da Amazon VPC attraverso un flusso indipendente e duplicato di Flow Logs.
Security Lake non gestisce i log di flusso VPC né influisce sulle configurazioni di Amazon VPC. Per gestire i tuoi Flow Logs, devi utilizzare la console di servizio Amazon VPC. Per ulteriori informazioni, consulta Work with Flow Logs nella Amazon VPC Developer Guide.
L'elenco seguente fornisce i collegamenti del GitHub repository al riferimento di mappatura su come Security Lake normalizza i log di flusso VPC in OCSF.
GitHub Archivio OCSF per i log di flusso VPC
AWS WAF registri
Quando si aggiunge AWS WAF come fonte di log in Security Lake, Security Lake inizia immediatamente a raccogliere i log. AWS WAF è un firewall per applicazioni Web che puoi utilizzare per monitorare le richieste Web inviate dagli utenti finali alle tue applicazioni e per controllare l'accesso ai tuoi contenuti. Le informazioni registrate includono l'ora in cui è AWS WAF stata ricevuta una richiesta Web dalla AWS risorsa, informazioni dettagliate sulla richiesta e dettagli sulle regole a cui la richiesta corrisponde.
Security Lake utilizza i AWS WAF log direttamente da un AWS WAF flusso di log indipendente e duplicato. Questo processo è progettato per non richiedere configurazioni aggiuntive né influire sulle AWS WAF configurazioni esistenti che potresti avere. Per ulteriori informazioni su come AWS WAF proteggere le risorse dell'applicazione, consulta How AWS WAF works nella AWS WAF Developer Guide.
Importante
Se utilizzi la CloudFront distribuzione Amazon come tipo di risorsa AWS WAF, devi selezionare Stati Uniti orientali (Virginia settentrionale) per importare i log globali in Security Lake.
AWS WAF i log sono supportati solo in OCSF v1.1.0. Per informazioni su come Security Lake normalizza gli eventi di AWS WAF registro in OCSF, consultate il riferimento alla mappatura nel repository OCSF per i log (v1.1.0). GitHub AWS WAF
Aggiungere un file come fonte Servizio AWS
Dopo aver aggiunto un file Servizio AWS come fonte, Security Lake inizia automaticamente a raccogliere i registri di sicurezza e gli eventi da esso. Queste istruzioni spiegano come aggiungere una sorgente supportata in modo nativo in Security Servizio AWS Lake. Per istruzioni sull'aggiunta di una fonte personalizzata, consulta. Raccolta di dati da fonti personalizzate
Aggiornamento delle autorizzazioni dei ruoli
Se non disponi delle autorizzazioni o delle risorse necessarie (nuova AWS Lambda funzione e coda Amazon Simple Queue Service (Amazon SQS) per importare dati da una nuova versione dell'origine dati, devi aggiornare le autorizzazioni del ruolo e creare un nuovo set di risorse per elaborare i dati dalle AmazonSecurityLakeMetaStoreManagerV2
tue fonti.
Scegli il tuo metodo preferito e segui le istruzioni per aggiornare le autorizzazioni del ruolo e creare nuove risorse per elaborare i dati da una nuova versione di un'origine di AWS registro in una regione specificata. Si tratta di un'azione unica, poiché le autorizzazioni e le risorse vengono applicate automaticamente alle future versioni delle origini dati.
Eliminazione del ruolo AmazonSecurityLakeMetaStoreManager
Importante
Dopo aver aggiornato le autorizzazioni del ruolo aAmazonSecurityLakeMetaStoreManagerV2
, verifica che il data lake funzioni correttamente prima di rimuovere il vecchio AmazonSecurityLakeMetaStoreManager
ruolo. Si consiglia di attendere almeno 4 ore prima di rimuovere il ruolo.
Se decidi di rimuovere il ruolo, devi prima eliminare il AmazonSecurityLakeMetaStoreManager
ruolo da AWS Lake Formation.
Segui questi passaggi per rimuovere il AmazonSecurityLakeMetaStoreManager
ruolo dalla console di Lake Formation.
-
Accedi a e apri AWS Management Console la console Lake Formation all'indirizzo https://console.aws.amazon.com/lakeformation/
. -
Nella console di Lake Formation, dal riquadro di navigazione, scegli Ruoli e attività amministrative.
-
Rimuovi
AmazonSecurityLakeMetaStoreManager
da ogni regione.
Rimuovere un Servizio AWS file come fonte
Scegli il tuo metodo di accesso e segui questi passaggi per rimuovere una fonte Security Lake supportata Servizio AWS nativamente. Puoi rimuovere una fonte per una o più regioni. Quando rimuovi la fonte, Security Lake interrompe la raccolta di dati da tale fonte nelle regioni e negli account specificati e gli abbonati non possono più consumare nuovi dati dalla fonte. Tuttavia, gli abbonati possono comunque utilizzare i dati raccolti da Security Lake dalla fonte prima della rimozione. È possibile utilizzare queste istruzioni solo per rimuovere una fonte supportata in modo nativo Servizio AWS . Per informazioni sulla rimozione di una fonte personalizzata, consulta. Raccolta di dati da fonti personalizzate
Ottenere lo stato della raccolta di sorgenti
Scegli il tuo metodo di accesso e segui i passaggi per ottenere un'istantanea degli account e delle fonti per i quali è abilitata la raccolta dei log nella regione corrente.