Conceitos básicos do Amazon Security Lake

Esta seção explica como habilitar e começar a usar o Security Lake. Você aprenderá como definir suas configurações de data lake e configurar a coleta de registros. Você pode ativar e usar o Security Lake por meio do AWS Management Console ou programaticamente. Seja qual for o método usado, você deve primeiro configurar um Conta da AWS e um usuário administrativo. As etapas posteriores diferem com base no método de acesso. O console do Security Lake oferece um processo simplificado para começar e cria todas as funções AWS Identity and Access Management (IAM) necessárias para criar seu data lake.

Conta da AWS Configuração inicial

Inscreva-se para um Conta da AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS

1. Abra https://portal.aws.amazon.com/billing/signup.

2. Siga as instruções online.

   Parte do procedimento de inscrição envolve receber uma chamada telefônica e inserir um código de verificação no teclado do telefone.

   Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário raiz tem acesso a todos os Serviços da AWS e atributos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando Minha conta.

Criar um usuário com acesso administrativo

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS AWS IAM Identity Center, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

Proteja seu Usuário raiz da conta da AWS

1. Faça login AWS Management Consolecomo proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira sua senha.

   Para obter ajuda ao fazer login usando o usuário raiz, consulte Fazer login como usuário raiz no Guia do usuário do Início de Sessão da AWS .

2. Habilite a autenticação multifator (MFA) para o usuário raiz.

   Para obter instruções, consulte Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia do usuário do IAM.

Criar um usuário com acesso administrativo

1. Habilitar o IAM Identity Center.

   Para obter instruções, consulte Habilitar AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center .

2. No Centro de Identidade do IAM, conceda o acesso administrativo para um usuário.

   Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no Guia AWS IAM Identity Center do usuário.

Iniciar sessão como o usuário com acesso administrativo

• Para fazer login com seu usuário do Centro de Identidade do IAM, use o URL de login que foi enviado ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

  Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no portal de AWS acesso no Guia Início de Sessão da AWS do usuário.

Atribuir acesso a usuários adicionais

1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.

   Para obter instruções, consulte Create a permission set no Guia do usuário do AWS IAM Identity Center .

2. Atribua usuários a um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.

   Para obter instruções, consulte Add groups no Guia do usuário do AWS IAM Identity Center .

Identifique a conta que você usará para ativar o Security Lake

O Security Lake se integra AWS Organizations para gerenciar a coleta de registros em várias contas em uma organização. Se deseja usar o Security Lake em uma organização, a conta de gerenciamento do Organizations deve designar um administrador delegado do Security Lake. Em seguida, você deve usar as credenciais do administrador delegado para ativar o Security Lake, adicionar contas de membros e ativar o Security Lake para elas. Para ter mais informações, consulte Gerenciando várias contas com AWS Organizations.

Como alternativa, você pode usar o Security Lake sem a integração do Organizations para uma conta autônoma que não faz parte de uma organização.

Considerações ao ativar o Amazon Security Lake

Antes de habilitar o Security Lake, considere o seguinte:

• O Security Lake fornece recursos de gerenciamento entre regiões, o que significa que você pode criar seu data lake e configurar a coleta de registros nas Regiões da AWS. Para habilitar o Security Lake em todas as regiões suportadas, você pode escolher qualquer endpoint regional compatível. Você também pode adicionar Regiões de rollup para agregar dados de várias regiões em uma única região.

• Recomendamos habilitar o Security Lake em todas as Regiões da AWS suportadas. Se você fizer isso, o Security Lake poderá coletar dados conectados a atividades não autorizadas ou incomuns, mesmo em regiões que você não usa ativamente. Se o Security Lake não estiver ativado em todas as regiões suportadas, sua capacidade de coletar dados de outros serviços que você usa em várias regiões será reduzida.

• Quando você ativa o Security Lake pela primeira vez em qualquer região, ele cria uma função vinculada a serviços para sua conta chamada AWSServiceRoleForSecurityLake. Essa função inclui as permissões para ligar para outras Serviços da AWS pessoas em seu nome e operar o data lake de segurança. Para obter mais informações sobre como funcionam as funções vinculadas a serviços, consulte Uso de funções vinculadas a serviços no Guia do usuário do IAM. Se você habilitar o Security Lake como administrador delegado do Security Lake, o Security Lake criará a função vinculada a serviços em cada conta membro da organização.

• O Security Lake não oferece suporte ao bloqueio de objetos do Amazon S3. Quando os buckets do data lake são criados, o bloqueio de objetos do S3 é desabilitado por padrão. Habilitar o bloqueio de objetos em um bucket interrompe a entrega de dados de log normalizados para o data lake.

Introdução ao console

Este tutorial explica como habilitar e configurar o Security Lake por meio do AWS Management Console. Como parte do AWS Management Console, o console do Security Lake oferece um processo simplificado para começar e cria todas as funções AWS Identity and Access Management (IAM) necessárias para criar seu data lake.

Etapa 1: Configurar fontes

O Security Lake coleta dados de logs e de eventos de várias fontes e de todas as suas Contas da AWS e Regiões da AWS. Siga estas instruções para identificar quais dados você deseja que o Security Lake colete. Você só pode usar essas instruções para adicionar um AWS service (Serviço da AWS) com suporte nativo como fonte. Para obter mais informações sobre como adicionar uma fonte personalizada, consulte Coletando dados de fontes personalizadas.

Para configurar a coleta de fontes de log

1. Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.

2. Usando o Região da AWS seletor no canto superior direito da página, selecione uma região. Você pode habilitar o Security Lake na região atual e em outras regiões durante a integração.

3. Escolha Comece a usar.

4. Em Selecionar fontes de log e eventos, escolha uma das seguintes opções:

   1. AWS Fontes padrão de ingestão — Quando você escolhe a opção recomendada, CloudTrail os eventos de dados do S3 não são incluídos para ingestão. Isso ocorre porque a ingestão de um alto volume de CloudTrail eventos de dados do S3 pode afetar significativamente o custo de uso. Para ingerir essa fonte, selecione a opção Ingerir fontes da AWS específicas.

   2. Ingerir AWS fontes específicas — Com essa opção, você pode selecionar uma ou mais fontes de registro e eventos que você deseja ingerir.

   nota

   Quando você habilita o Security Lake em uma conta pela primeira vez, todas as origens de log e eventos selecionadas farão parte de um período de teste gratuito de 15 dias. Para saber mais sobre estatísticas de uso, consulte Como analisar o uso e os custos estimados.

5. Em Versões, escolha a versão da fonte de dados da qual você deseja ingerir fontes de registro e eventos.

   Importante

   Se você não tiver as permissões de função necessárias para habilitar a nova versão da fonte de AWS log na região especificada, entre em contato com o administrador do Security Lake. Para obter mais informações, consulte Atualizar permissões de função.

6. Em Selecionar regiões, escolha se deseja ingerir fontes de logs e eventos de todas as regiões suportadas ou regiões específicas. Se você escolher Regiões específicas, selecione de quais regiões ingerir dados.

7. Para Acesso ao serviço, crie um novo perfil do IAM ou use um perfil do IAM existente que dê permissão ao Security Lake para coletar dados de suas fontes e adicioná-los ao seu data lake. Uma função é usada em todas as regiões nas quais você habilitar o Security Lake.

8. Escolha Próximo.

Etapa 2: definir configurações de armazenamento e regiões cumulativas (opcional)

Você pode especificar a classe de armazenamento do Amazon S3 na qual deseja que o Security Lake armazene seus dados e por quanto tempo. Você também pode especificar uma região de rollup para consolidar dados de várias regiões. Essas são etapas opcionais. Para ter mais informações, consulte Gerenciamento do ciclo de vida no Security Lake.

Para definir as configurações de armazenamento e de rollup

1. Se você quiser consolidar dados de várias regiões contribuintes em uma região de rollup, em Selecionar regiões de rollup, escolha Adicionar região de rollup. Especifique a região de rollup e as regiões que contribuirão com ela. Você pode configurar uma ou mais regiões de rollup.

2. Em Selecionar classes de armazenamento, escolha uma classe de armazenamento do Amazon S3. A classe de armazenamento padrão é S3 Standard. Forneça um período de retenção (em dias) se quiser que os dados sejam transferidos para outra classe de armazenamento após esse período e escolha Adicionar transição. Após o término desse período de retenção, os objetos expiram e o Amazon S3 os exclui. Para obter mais informações sobre classes de armazenamento e retenção do Amazon S3, consulte Gerenciamento de retenção.

3. Se você selecionou uma região de rollup na primeira etapa, para Acesso ao serviço, crie um novo perfil do IAM ou use um perfil do IAM existente que dê permissão ao Security Lake para replicar dados em várias regiões.

4. Escolha Próximo.

Etapa 3: revisar e criar um data lake

Analise as fontes das quais o Security Lake coletará dados, suas regiões de rollup e suas configurações de retenção. Em seguida, crie seu data lake.

Para revisar e criar o data lake

1. Ao habilitar o Security Lake, revise Fontes de logs e eventos, Regiões, Regiões de rollup e Classes de armazenamento.

2. Escolha Criar.

Depois de criar seu data lake, você verá a página Resumo no console do Security Lake. Esta página fornece uma visão geral do número de regiões e regiões cumulativas, informações sobre assinantes e problemas.

O menu Problemas mostra um resumo dos problemas dos últimos 14 dias que estão afetando o serviço Security Lake ou seus buckets do Amazon S3. Para obter detalhes adicionais sobre cada problema, acesse a página Problemas do console do Security Lake.

Etapa 4: visualizar e consultar seus próprios dados

Depois de criar seu data lake, você pode usar o Amazon Athena ou serviços similares para visualizar e consultar seus dados em AWS Lake Formation bancos de dados e tabelas. Quando você usa o console, o Security Lake concede automaticamente permissões de visualização do banco de dados ao perfil que você usa para habilitar o Security Lake. No mínimo, a função deve ter permissões de Analista de dados. Para obter mais informações sobre os níveis de permissão, consulte Referência de permissões do IAM e personas do Lake Formation. Para obter instruções sobre como conceder permissões SELECT, consulte Como conceder permissões no catálogo de dados usando o método de recurso nomeado no Guia do desenvolvedor do AWS Lake Formation .

Etapa 5: criar assinantes

Depois de criar seu data lake, você pode adicionar assinantes para consumir seus dados. Os assinantes podem consumir dados acessando diretamente os objetos nos seus buckets do Amazon S3 ou consultando o data lake. Para obter mais informações sobre assinantes, consulte Gerenciamento de assinantes no Amazon Security Lake.

Começando programaticamente

Este tutorial explica como ativar e começar a usar o Security Lake programaticamente. A API do Amazon Security Lake oferece acesso abrangente e programático à sua conta, dados e recursos do Security Lake. Como alternativa, você pode usar ferramentas de linha de AWS comando — AWS Command Line Interfaceou as AWS Ferramentas para PowerShell — ou os AWS SDKs para acessar o Security Lake.

Etapa 1: criar funções do IAM

Se você acessar o Security Lake programaticamente, é necessário criar algumas funções AWS Identity and Access Management (IAM) para configurar seu data lake.

Importante

Não é necessário criar essas funções do IAM se você usar o console do Security Lake para habilitar e configurar o Security Lake.

Crie funções no IAM se você estiver realizando uma ou mais dessas ações (escolha os links para ver mais informações sobre os perfis do IAM para cada ação):

• Como criar uma fonte personalizada: fontes personalizadas são fontes sem suporte nativo nos Serviços da AWS que enviam dados para o Security Lake.

• Como criar um assinante com acesso a dados: os assinantes com permissões podem acessar diretamente os objetos do S3 do seu data lake.

• Como criar um assinante com acesso de consulta: assinantes com permissões podem consultar dados do Security Lake usando serviços como o Amazon Athena.

• Como configurar uma região de rollup: uma região de rollup consolida dados de várias Regiões da AWS.

Depois de criar as funções mencionadas anteriormente, anexe a política AmazonSecurityLakeAdministrator AWS gerenciada à função que você está usando para ativar o Security Lake. Essa política concede permissões administrativas que permitem à entidade principal acesso ao Security Lake e acesso total a todas as ações do Security Lake.

Anexe a política AmazonSecurityLakeMetaStoreManager AWS gerenciada para criar seu data lake ou consultar dados do Security Lake. Essa política é necessária para que o Security Lake ofereça suporte a trabalhos de extração, transformação e carregamento (ETL) em dados brutos de log e eventos recebidos das fontes.

Etapa 2: habilitar o Amazon Security Lake

Para habilitar o Security Lake programaticamente, use a CreateDataLakeoperação da API do Security Lake. Se você estiver usando o AWS CLI, execute o comando create-data-lake. Em sua solicitação, use o campo region do objeto configurations para especificar o código da região na qual o Security Lake será habilitado. Para obter uma lista de códigos de região, consulte Endpoints do Amazon Security Lake na Referência geral da AWS.

Exemplo 1

O comando de exemplo a seguir ativa o Security Lake nas us-east-2 regiões us-east-1 e. Em ambas as regiões, esse data lake é criptografado com chaves gerenciadas do Amazon S3. Os objetos expiram após 365 dias e os objetos passam para a classe de armazenamento ONEZONE_IA S3 após 60 dias. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}, {"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":365},"transitions":[{"days":60,"storageClass":"ONEZONE_IA"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Exemplo 2

O comando de exemplo a seguir ativa o Security Lake na us-east-2 região. Esse data lake é criptografado com uma chave gerenciada pelo cliente que foi criada em AWS Key Management Service (AWS KMS). Os objetos expiram após 500 dias, e os objetos passam para a classe de armazenamento GLACIER S3 após 30 dias. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"1234abcd-12ab-34cd-56ef-1234567890ab"},"region":"us-east-2","lifecycleConfiguration": {"expiration":{"days":500},"transitions":[{"days":30,"storageClass":"GLACIER"}]}}]' \
--meta-store-manager-role-arn "arn:aws:iam:us-east-1:123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

nota

Se você já habilitou o Security Lake e deseja atualizar as configurações de uma região ou fonte, use a UpdateDataLakeoperação ou, se estiver usando o AWS CLI, o comando update-data-lake. Não use a CreateDataLake operação.

Etapa 3: Configurar fontes

O Security Lake coleta dados de logs e de eventos de várias fontes e de todas as suas Contas da AWS e Regiões da AWS. Siga estas instruções para identificar quais dados você deseja que o Security Lake colete. Você só pode usar essas instruções para adicionar um AWS service (Serviço da AWS) com suporte nativo como fonte. Para obter mais informações sobre como adicionar uma fonte personalizada, consulte Coletando dados de fontes personalizadas.

Para definir uma ou mais fontes de coleta programaticamente, use a CreateAwsLogSourceoperação da API Security Lake. Para cada fonte, especifique um valor regionalmente exclusivo para o parâmetro sourceName. Opcionalmente, use parâmetros adicionais para limitar o escopo da fonte a contas específicas (accounts) ou a uma versão específica (sourceVersion).

nota

Se você não incluir um parâmetro opcional em sua solicitação, o Security Lake aplicará sua solicitação a todas as contas ou a todas as versões da fonte especificada, dependendo do parâmetro que você excluir. Por exemplo, se você for o administrador delegado do Security Lake de uma organização e excluir o parâmetro accounts, o Security Lake aplicará sua solicitação a todas as contas da sua organização. Da mesma forma, se você excluir o parâmetro sourceVersion, o Security Lake aplicará sua solicitação a todas as versões da fonte especificada.

Se sua solicitação especificar uma região na qual você não habilitou o Security Lake, ocorrerá um erro. Para resolver esse erro, certifique-se de que a matriz regions especifique somente as regiões nas quais você habilitou o Security Lake. Como alternativa, você pode habilitar o Security Lake na região e enviar sua solicitação novamente.

Quando você habilita o Security Lake em uma conta pela primeira vez, todas as origens de log e eventos selecionadas farão parte de um período de teste gratuito de 15 dias. Para saber mais sobre estatísticas de uso, consulte Como analisar o uso e os custos estimados.

Etapa 4: definir as configurações de armazenamento e as regiões cumulativas (opcional)

Você pode especificar a classe de armazenamento do Amazon S3 na qual deseja que o Security Lake armazene seus dados e por quanto tempo. Você também pode especificar uma região de rollup para consolidar dados de várias regiões. Essas são etapas opcionais. Para ter mais informações, consulte Gerenciamento do ciclo de vida no Security Lake.

Para definir um objetivo alvo programaticamente ao ativar o Security Lake, use a CreateDataLakeoperação da API do Security Lake. Se você já habilitou o Security Lake e deseja definir um objetivo alvo, use a UpdateDataLakeoperação, não a CreateDataLake operação.

Para qualquer operação, use os parâmetros suportados para especificar as configurações desejadas:

• Para especificar uma região cumulativa, use o region campo para especificar a região na qual você deseja contribuir com dados para as regiões cumulativas. Na regions matriz do replicationConfiguration objeto, especifique o código da região para cada região de rollup. Para obter uma lista de códigos de região, consulte Endpoints do Amazon Security Lake na Referência geral da AWS.

• Para especificar as configurações de retenção dos seus dados, use os parâmetros lifecycleConfiguration:

  • Para transitions, especifique o número total de dias (days) pelo qual você deseja armazenar objetos do S3 em uma determinada classe de armazenamento do Amazon S3 (storageClass).

  • Para expiration, especifique o número total de dias pelo qual você deseja armazenar objetos no Amazon S3, usando qualquer classe de armazenamento, após a criação dos objetos. Quando esse período de retenção termina, os objetos expiram e o Amazon S3 os exclui.

  O Security Lake aplica as configurações de retenção especificadas à Região que você especifica no campo region do objeto configurations.

Por exemplo, o comando a seguir cria um data lake com ap-northeast-2 uma região cumulativa. A us-east-1 Região contribuirá com dados para a ap-northeast-2 Região. Esse exemplo também estabelece um período de expiração de 10 dias para objetos adicionados ao data lake.

$ aws securitylake create-data-lake \
--configurations '[{"encryptionConfiguration": {"kmsKeyId":"S3_MANAGED_KEY"},"region":"us-east-1","replicationConfiguration": {"regions": ["ap-northeast-2"],"roleArn":"arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeS3ReplicationRole"},"lifecycleConfiguration": {"expiration":{"days":10}}}]' \
--meta-store-manager-role-arn "arn:aws:iam::123456789012:role/service-role/AmazonSecurityLakeMetaStoreManager"

Agora você criou seu data lake. Use a ListDataLakesoperação da API Security Lake para verificar a ativação do Security Lake e suas configurações de data lake em cada região.

Se surgirem problemas ou erros na criação do seu data lake, você poderá visualizar uma lista de exceções usando a ListDataLakeExceptionsoperação e notificar os usuários sobre exceções com a CreateDataLakeExceptionSubscriptionoperação. Para ter mais informações, consulte Solução de problemas do status do data lake.

Etapa 5: visualizar e consultar seus próprios dados

Depois de criar seu data lake, você pode usar o Amazon Athena ou serviços similares para visualizar e consultar seus dados em AWS Lake Formation bancos de dados e tabelas. Quando você ativa programaticamente o Security Lake, as permissões de visualização do banco de dados não são concedidas automaticamente. A conta de administrador do data lake AWS Lake Formation deve conceder SELECT permissões para a função do IAM que você deseja usar para consultar os bancos de dados e tabelas relevantes. No mínimo, a função deve ter permissões de Analista de dados. Para obter mais informações sobre os níveis de permissão, consulte Referência de permissões do IAM e personas do Lake Formation. Para obter instruções sobre como conceder permissões SELECT, consulte Como conceder permissões no catálogo de dados usando o método de recurso nomeado no Guia do desenvolvedor do AWS Lake Formation .

Etapa 6: criar assinantes

Depois de criar seu data lake, você pode adicionar assinantes para consumir seus dados. Os assinantes podem consumir dados acessando diretamente os objetos nos seus buckets do Amazon S3 ou consultando o data lake. Para obter mais informações sobre assinantes, consulte Gerenciamento de assinantes no Amazon Security Lake.