As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Amazon Security Lake
O Amazon Security Lake centraliza automaticamente dados de segurança de AWS ambientes, provedores de software como serviço (SaaS), locais e fontes na nuvem em um data lake criado especificamente e armazenado em seu. Conta da AWS Com o Security Lake, você pode obter uma compreensão mais completa dos seus dados de segurança em toda a organização. O Security Lake adotou o Open Cybersecurity Schema Framework (OCSF), um esquema de eventos de segurança de código aberto. Com o suporte do OCSF, o serviço normaliza e combina dados de segurança de AWS uma ampla variedade de fontes de dados de segurança corporativa.
AppFabric considerações sobre a ingestão de registros de auditoria
Você pode obter seus registros de auditoria de SaaS no Amazon Security Lake Conta da AWS adicionando uma fonte personalizada ao Security Lake. As seções a seguir descrevem o esquema AppFabric de saída, o formato de saída e os destinos de saída a serem usados com o Security Lake.
Esquema e formato
O Security Lake suporta o seguinte esquema e formato de AppFabric saída:
-
OCSF - JSON
-
AppFabric normaliza os dados usando o Open Cybersecurity Schema Framework (OCSF) e gera os dados no formato JSON.
-
Locais de saída
O Security Lake oferece suporte AppFabric como uma fonte personalizada usando um stream de entrega do Amazon Data Firehose como local de saída da AppFabric ingestão. Para configurar a AWS Glue tabela e o stream de entrega do Firehose e configurar uma fonte personalizada no Security Lake, use os procedimentos a seguir.
Crie uma AWS Glue tabela
-
Navegue até o Amazon Simple Storage Service (Amazon S3) e crie um bucket com um nome de sua escolha.
-
Navegue até o AWS Glue console.
-
Para Catálogo de dados, vá para a seção Tabelas e escolha Adicionar tabela.
-
Insira um nome de sua escolha para essa tabela.
-
Selecione o bucket do Amazon S3 que você criou na etapa 1.
-
Para o formato de dados, selecione JSON e escolha Avançar.
-
Na página Escolher ou definir esquema, escolha Editar esquema como JSON.
-
Insira o esquema a seguir e conclua o processo de criação da AWS Glue tabela.
[ { "Name": "activity_id", "Type": "string", "Comment": "" }, { "Name": "activity_name", "Type": "string", "Comment": "" }, { "Name": "actor", "Type": "struct<session:struct<created_time:bigint,uid:string,issuer:string>,user:struct<uid:string,email_addr:string,credential_uid:string,name:string,type:string>>", "Comment": "" }, { "Name": "user", "Type": "struct<uid:string,email_addr:string,credential_uid:string,name:string,type:string>", "Comment": "" }, { "Name": "group", "Type": "struct<uid:string,desc:string,name:string,type:string,privileges:array<string>>", "Comment": "" }, { "Name": "privileges", "Type": "array<string>", "Comment": "" }, { "Name": "web_resources", "Type": "array<struct<type:string,uid:string,name:string,data:struct<current_value:string,previous_value:string>>>" }, { "Name": "http_request", "Type": "struct<http_method:string,user_agent:string,url:string>", "Comment": "" }, { "Name": "auth_protocol", "Type": "string", "Comment": "" }, { "Name": "auth_protocol_id", "Type": "int", "Comment": "" }, { "Name": "category_name", "Type": "string", "Comment": "" }, { "Name": "category_uid", "Type": "string", "Comment": "" }, { "Name": "class_name", "Type": "string", "Comment": "" }, { "Name": "class_uid", "Type": "string", "Comment": "" }, { "Name": "is_mfa", "Type": "boolean", "Comment": "" }, { "Name": "raw_data", "Type": "string", "Comment": "" }, { "Name": "severity", "Type": "string", "Comment": "" }, { "Name": "severity_id", "Type": "int", "Comment": "" }, { "Name": "status", "Type": "string", "Comment": "" }, { "Name": "status_detail", "Type": "string", "Comment": "" }, { "Name": "status_id", "Type": "int", "Comment": "" }, { "Name": "time", "Type": "bigint", "Comment": "" }, { "Name": "type_name", "Type": "string", "Comment": "" }, { "Name": "type_uid", "Type": "string", "Comment": "" }, { "Name": "description", "Type": "string", "Comment": "" }, { "Name": "metadata", "Type": "struct<product:struct<uid:string,vendor_name:string,name:string>,processed_time:string,version:string,uid:string,event_code:string>" }, { "Name": "device", "Type": "struct<uid:string,hostname:string,ip:string,name:string,region:string,type:string,os:struct<name:string,type:string,version:string>,location:struct<coordinates:array<float>,city:string,state:string,country:string,postal_code:string,continent:string,desc:string>>" }, { "Name": "unmapped", "Type": "map<string,string>" } ]
Criar uma fonte personalizada no Security Lake
-
Navegue até o console do Amazon Security Lake.
-
Selecione Fontes personalizadas no painel de navegação.
-
Escolha Criar fonte personalizada.
-
Insira um nome para a fonte personalizada e selecione uma classe de evento do OCSF aplicável.
nota
AppFabric usa classes de eventos de Alteração de Conta, Autenticação, Gerenciamento de Acesso de Usuários, Gerenciamento de Grupos, Atividade de Recursos da Web e Atividade de Acesso a Recursos da Web.
-
Para Conta da AWS ID e ID externa, insira sua Conta da AWS ID. Selecione Criar.
-
Salve a localização do Amazon S3 da fonte personalizada. Você o usará para configurar um stream de entrega do Amazon Data Firehose.
Crie um stream de entrega no Firehose
-
Navegue até o console do Amazon Data Firehose.
-
Escolha Criar stream de entrega.
-
Para Fonte, selecione PUT direto.
-
Para Destino, escolha S3.
-
Na seção Transformar e converter registros, escolha Habilitar conversão de formato de registro e escolha Apache Parquet como formato de saída.
-
Para AWS Glue tabela, escolha a AWS Glue tabela que você criou no procedimento anterior e escolha a versão mais recente.
-
Para Configurações de destino, escolha o bucket do Amazon S3 que você criou com a fonte personalizada do Security Lake.
-
Para Particionamento dinâmico, escolha Ativado.
-
Para Análise embutida para JSON, escolha Ativado.
-
Para Nome, insira
eventDayValue. -
Para Expressão JQ, insira
(.time/1000)|strftime("%Y%m%d").
-
-
Para o Prefixo do bucket do S3, insira o valor seguinte.
ext/AppFabric/region=<region>/accountId=<account_id>/eventDay=!{partitionKeyFromQuery:eventDayValue}/<region>
<account_id>Substituae por seu Conta da AWS ID Região da AWS e. -
Para o Prefixo de saída de erro do bucket do S3, insira o valor seguinte.
ext/AppFabric/error/ -
Para a Duração da nova tentativa, selecione 300.
-
Para o Tamanho do buffer, selecione 128 MiB.
-
Para o Intervalo de buffer, selecione 60s.
-
Conclua o processo de criação do stream de entrega do Firehose.
Crie AppFabric ingestões
Para enviar dados para o Amazon Security Lake, você deve criar uma ingestão no AppFabric console que use o stream de entrega do Firehose que você criou anteriormente como local de saída. Para obter mais informações sobre como configurar AppFabric ingestões para usar o Firehose como um local de saída, consulte Criar um local de saída.
