本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 Amazon Security Lake 的集成
Amazon Security Lake 是一项完全托管的安全数据湖服务。您可以使用 Security Lake 自动将来自 AWS 环境、SaaS 提供商、本地资源、云源和第三方来源的安全数据集中到存储在您账户中的专用数据湖中。 AWS Security Lake 可以帮助您分析安全数据,让您更全面地了解整个组织的安全状况。借助 Security Lake,您还可以改善对工作负载、应用程序和数据的保护。
Amazon Detective 与 Amazon Security Lake 集成,这意味着您可以查询和检索 Security Lake 存储的原始日志数据。
使用此集成,您可以从 Security Lake 原生支持的以下来源收集日志和事件。Detective 最多支持源版本 2(OCSF 1.1.0)。
-
AWS CloudTrail 管理事件版本 1.0 及更高版本
-
亚马逊 Virtual Private Cloud(亚马逊 VPC)流日志 1.0 及更高版本
-
亚马逊 Elastic Kubernetes Service(亚马逊 EKS)审核日志版本 2.0。要使用 Amazon EKS 审计日志作为来源,您必须添加
ram:ListResources到 IAM 权限中。有关更多详细信息,请参阅向您的账户添加所需的 IAM 权限。
有关 Security Lake 如何自动将来自原生支持的 AWS 服务的日志和事件转换为 OCSF 架构的详细信息,请参阅 A mazon Secur ity Lake 用户指南。
将 Detective 与 Security Lake 集成后,Detective 开始从安全湖中提取与 AWS CloudTrail 管理事件和 Amazon VPC 流日志相关的原始日志。有关更多详细信息,请参阅查询原始日志。
要将 Detective 与 Security Lake 集成,请完成以下步骤:
-
使用 Organizations 管理账户来为您的组织指定一个委托的 Security Lake 管理员。确保安全湖已启用,并确认安全湖正在从 AWS CloudTrail 管理事件和亚马逊虚拟私有云 (Amazon VPC) 流日志中收集日志和事件。
为了与安全参考架构保持一致,Detective 建议使用日志存档帐户,并推迟使用安全工具帐户进行 Security Lake 部署。
-
要使用来自 Amazon Security Lake 的日志和事件,您必须为 Security Lake 订阅用户。按照以下步骤向 Detective 账户管理员授予查询权限。
-
将所需的 AWS Identity and Access Management (IAM) 权限添加到您的 IAM 身份。
-
添加以下权限以创建 Detective 与 Security Lake 集成:
-
将这些 AWS 身份和访问管理 (IAM) 权限附加到您的 IAM 身份。有关详细信息,请参阅向您的账户添加所需的 IAM 权限部分。
-
将此 IAM 策略添加到您计划用于传递 AWS CloudFormation 服务角色的 IAM 委托人中。有关更多详细信息,请参阅向您的 IAM 委托人添加权限部分。
-
-
如果你已经将 Detective 与 Security Lake 集成,那么要使用集成,请将这些 (IAM) 权限附加到你的 IAM 身份。有关详细信息,请参阅向您的账户添加所需的 IAM 权限部分。
-
使用 AWS CloudFormation 模板设置创建和管理 Security Lake 订阅者的查询访问权限所需的参数。有关创建堆栈的详细步骤,请参阅使用 AWS CloudFormation 模板创建堆栈。创建完堆栈后,启用集成。
要演示如何使用 Detective 控制台将 Amazon Detective 与 Amazon Security Lake 集成,请观看以下视频:
开始前的准备工作
Security Lake 与 AWS Organizations 集成,可管理组织中多个账户的日志收集。要为组织使用 Security Lake,您的 AWS Organizations 管理账户必须先为您的组织指定一名委派的 Security Lake 管理员。然后,委托的 Security Lake 管理员必须启用 Security Lake,并为组织中的成员账户启用日志和事件收集。
在将 Security Lake 与 Detective 集成之前,请确保已为 Security Lake 管理员账户启用 Security Lake。有关如何启用 Security Lake 的详细步骤,请参阅《Amazon Security Lake 用户指南》中的入门。
此外,请验证 Security Lake 是否正在从 AWS CloudTrail 管理事件和亚马逊虚拟私有云(Amazon VPC)流日志中收集日志和事件。有关安全湖中日志收集的更多详细信息,请参阅 Amazon Security Lake 用户指南中的从 AWS 服务收集数据。
步骤 1:创建 Security Lake 订阅用户
要使用来自 Amazon Security Lake 的日志和事件,您必须为 Security Lake 订阅用户。订阅用户可以查询和访问 Security Lake 收集的数据。具有查询权限的订阅者可以使用诸如亚马逊 Athena 之类的服务直接在亚马逊简单存储服务 (Amazon S3) 存储桶中查询 AWS Lake Formation 表。要成为订阅用户,Security Lake 管理员必须为您提供允许您查询数据湖的订阅用户访问权限。有关管理员如何执行此操作的信息,请参阅《Amazon Security Lake 用户指南》中的创建具有查询权限的订阅用户。
按照以下步骤向 Detective 账户管理员授予查询权限。
在 Security Lake 中创建 Detective 订阅用户
-
打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/
。 -
在导航窗格中,选择集成。
-
在 Security Lake 订阅用户窗格中,记下账户 ID 和外部 ID 值。
要求 Security Lake 管理员使用这些 ID 执行以下操作:
-
在 Security Lake 中为您创建 Detective 订阅用户。
-
将订阅用户配置为具有查询权限。
-
要确保创建具有 Lake Formation 权限的 Security Lake 查询订阅用户,请在 Security Lake 控制台中选择 Lake Formation 作为数据访问方式。
当 Security Lake 管理员为您创建订阅用户时,Security Lake 会为您生成一个 Amazon 资源共享 ARN。要求管理员将此 ARN 发送给您。
-
-
在 Security Lake 订阅用户窗格中输入 Security Lake 管理员提供的资源共享 ARN。
-
收到 Security Lake 管理员的资源共享 ARN 后,在 Security Lake 订阅用户窗格的资源共享 ARN 框中输入 ARN。
步骤 2:向您的账户添加所需的 IAM 权限
要启用 Detective 与 Security Lake 的集成,您必须将以下 AWS Identity and Access Management (IAM) 权限策略附加到您的 IAM 身份。
将下面的内联策略附加到角色。如果您想使用自己的 Amazon S3 存储桶来存储 Athena 查询结果,请将 athena-results-bucket 替换为您的 Amazon S3 存储桶名称。如果您希望 Detective 自动生成 Amazon S3 存储桶来存储 Athena 查询结果,请从 IAM 策略中删除全部 S3ObjectPermissions。
如果您没有将此策略附加到您的 IAM 身份所需的权限,请联系您的 AWS 管理员。如果您拥有所需权限但出现问题,请参阅《IAM 用户指南》中的排查常规 IAM 问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Sid": "S3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<athena-results-bucket>", "arn:aws:s3:::<athena-results-bucket>/*" ] }, { "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetPartitions", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:<ACCOUNT ID>:database/amazon_security_lake*", "arn:aws:glue:*:<ACCOUNT ID>:table/amazon_security_lake*/amazon_security_lake*", "arn:aws:glue:*:<ACCOUNT ID>:catalog" ] }, { "Effect": "Allow", "Action": [ "athena:BatchGetQueryExecution", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetQueryRuntimeStatistics", "athena:GetWorkGroup", "athena:ListQueryExecutions", "athena:StartQueryExecution", "athena:StopQueryExecution", "lakeformation:GetDataAccess", "ram:ListResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParametersByPath" ], "Resource": [ "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/ResourceShareArn", "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/S3Bucket", "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/TableNames", "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/DatabaseName", "arn:aws:ssm:*:<ACCOUNT ID>:parameter/Detective/SLI/StackId" ] }, { "Effect": "Allow", "Action": [ "cloudformation:GetTemplateSummary", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "securitylake.amazonaws.com" ] } } } ] }
步骤 3:接受资源共享 ARN 邀请并启用集成
要从 Security Lake 访问原始数据日志,您必须接受 Security Lake 管理员创建的 Security Lake 账户发出的资源共享邀请。您还需要设置跨账户表共享的 AWS Lake Formation 权限。此外,您还必须创建可接收原始查询日志的 Amazon Simple Storage Service(Amazon S3)存储桶。
在下一步中,您将使用 AWS CloudFormation 模板为以下内容创建堆栈:接受资源共享 ARN 邀请、创建所需 AWS Glue 爬网程序 资源和授予 AWS Lake Formation 管理员权限。
创建 AWS CloudFormation 堆栈
-
使用 CloudFormation 模板创建新 CloudFormation 堆栈。有关更多详细信息,请参阅使用 AWS CloudFormation 模板创建堆栈。
-
创建完堆栈后,选择启用集成。
使用 AWS CloudFormation 模板创建堆栈
Detective 提供了一个 AWS CloudFormation 模板,您可以使用该模板来设置创建和管理 Security Lake 订阅者的查询访问权限所需的参数。
步骤 1:创建 AWS CloudFormation 服务角色
必须创建 AWS CloudFormation 服务角色才能使用 AWS CloudFormation 模板创建堆栈。如果您没有创建服务角色所需的权限,请联系 Detective 管理员账户的管理员。有关 AWS CloudFormation 服务角色的更多信息,请参阅 AWS CloudFormation 服务角色。
登录 AWS Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择角色,然后选择创建角色。
-
对于选择可信实体,选择 AWS 服务。
-
选择AWS CloudFormation。然后选择下一步。
-
输入角色的名称。例如,
CFN-DetectiveSecurityLakeIntegration。 -
将下面的内联策略附加到角色。
<Account ID>用您的 AWS 账户 ID 替换。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CloudFormationPermission", "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": [ "arn:aws:cloudformation:*:aws:transform/*" ] }, { "Sid": "IamPermissions", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:PutRolePolicy", "iam:DeleteRolePolicy", "iam:CreatePolicy", "iam:DeletePolicy", "iam:PassRole", "iam:GetRole", "iam:GetRolePolicy" ], "Resource": [ "arn:aws:iam::<ACCOUNT ID>:role/*", "arn:aws:iam::<ACCOUNT ID>:policy/*" ] }, { "Sid": "S3Permissions", "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:DeleteBucket*", "s3:PutBucket*", "s3:GetBucket*", "s3:GetObject", "s3:PutEncryptionConfiguration", "s3:GetEncryptionConfiguration" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Sid": "LambdaPermissions", "Effect": "Allow", "Action": [ "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction", "lambda:TagResource", "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:<ACCOUNT ID>:function:*" ] }, { "Sid": "CloudwatchPermissions", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DeleteLogGroup", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:<ACCOUNT ID>:log-group:*" }, { "Sid": "KmsPermission", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:<ACCOUNT ID>:key/*" } ] }
步骤 2:为您的 IAM 主体添加权限。
您需要以下权限才能使用您在上一步中创建的 CloudFormation 服务角色创建堆栈。将以下 IAM 策略添加到您计划用于传递 CloudFormation 服务角色的 IAM 委托人。您将假设这个 IAM 主体来创建堆栈。如果您没有添加 IAM 策略所需的权限,请联系 Detective 管理员账户的管理员。
注意
在以下策略中,本策略中使用的 CFN-DetectiveSecurityLakeIntegration 是指您在前面的 Creating an AWS CloudFormation 服务角色步骤中创建的角色。如果不一致,请将其更改为您在之前步骤中输入的角色名称。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PassRole", "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration" }, { "Sid": "RestrictCloudFormationAccess", "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource": "arn:aws:cloudformation:*:<ACCOUNT ID>:stack/*", "Condition": { "StringEquals": { "cloudformation:RoleArn": [ "arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration" ] } } }, { "Sid": "CloudformationDescribeStack", "Effect": "Allow", "Action": [ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:GetStackPolicy" ], "Resource": "arn:aws:cloudformation:*:<ACCOUNT ID>:stack/*" }, { "Sid": "CloudformationListStacks", "Effect": "Allow", "Action": [ "cloudformation:ListStacks" ], "Resource": "*" }, { "Sid": "CloudWatchPermissions", "Effect": "Allow", "Action": [ "logs:GetLogEvents" ], "Resource": "arn:aws:logs:*:<ACCOUNT ID>:log-group:*" } ] }
步骤 3:在 AWS CloudFormation 控制台中指定自定义值
-
从 Detective 进入 AWS CloudFormation 控制台。
-
(可选)输入堆栈名称。堆栈名称是自动填充的。您可以将堆栈名称更改为与现有堆栈名称不冲突的名称。
-
输入以下参数。
-
AthenaResultsBucket— 如果您不输入值,则此模板会生成一个 Amazon S3 存储桶。如果您想使用自己的存储桶,请输入要存储 Athena 查询结果的存储桶名称。如果您使用自己的存储桶,请确保存储桶与资源共享 ARN 位于同一区域。如果您使用自己的存储桶,请确保您选择的
LakeFormationPrincipals具有向存储桶写入对象和从存储桶读取对象的权限。有关存储桶权限的更多详细信息,请参阅《Amazon Athena 用户指南》中的查询结果和最近查询。 -
DTRegion:此字段已预先填写。请不要更改此字段中的值。
LakeFormationPrincipals— 输入您想要授予使用安全湖集成的权限的 IAM 委托人(例如,IAM 角色 ARN)的 ARN,以逗号分隔。这些可能是你的安全分析师和使用 Detective 的安全工程师。
您只能使用之前在步骤 [
Step 2: Add the required IAM permissions to your account]中附加了 IAM 权限的 IAM 主体。-
ResourceShareARN-此字段已预先填写。请不要更改此字段中的值。
-
-
权限
IAM 角色:选择您在
Creating an AWS CloudFormation Service Role步骤中创建的角色。或者,可以将其留空(如果您的当前 IAM 角色具有Creating an AWS CloudFormation Service Role步骤中的所有必需权限)。 -
查看并选中所有我确认复选框,然后单击创建堆栈按钮。有关更多详细信息,请查看将要创建的以下 IAM 资源。
* ResourceShareAcceptorCustomResourceFunction - ResourceShareAcceptorLambdaRole - ResourceShareAcceptorLogsAccessPolicy * SsmParametersCustomResourceFunction - SsmParametersLambdaRole - SsmParametersLogsAccessPolicy * GlueDatabaseCustomResourceFunction - GlueDatabaseLambdaRole - GlueDatabaseLogsAccessPolicy * GlueTablesCustomResourceFunction - GlueTablesLambdaRole - GlueTablesLogsAccessPolicy
步骤 4:将 Amazon S3 存储桶策略添加到 LakeFormationPrincipals 中的 IAM 主体
(可选)如果您让此模板为您生成 AthenaResultsBucket,则必须将以下策略附加到 LakeFormationPrincipals 中的 IAM 主体。
{ "Sid": "S3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::<athena-results-bucket>", "arn:aws:s3:::<athena-results-bucket>/*" ] }
athena-results-bucket替换为AthenaResultsBucket名称。 AthenaResultsBucket可以在 AWS CloudFormation 控制台上找到:
-
打开 AWS CloudFormation 控制台,网址为 https://console.aws.amazon.com/cloudformation
。 -
单击您的堆栈。
-
单击资源选项卡。
-
搜索逻辑 ID
AthenaResultsBucket并复制其物理 ID。
删除堆 CloudFormation 栈
如果您不删除现有堆栈,则在同一区域创建新堆栈将失败。您可以使用 CloudFormation 控制台或使用 AWS CLI 删除 CloudFormation 堆栈。
删除 AWS CloudFormation 堆栈(控制台)
-
打开 AWS CloudFormation 控制台,网址为 https://console.aws.amazon.com/cloudformation
。 -
在 CloudFormation 控制台的堆栈页面上,选择要删除的堆栈。该堆栈当前必须处于运行状态。
-
在堆栈详细信息窗格中,选择删除。
-
在系统提示时,选择删除堆栈。
注意
堆栈删除开始后,就无法停止堆栈删除操作。堆栈进入
DELETE_IN_PROGRESS状态。
堆栈删除过程完成之后,堆栈将处于 DELETE_COMPLETE 状态。
排查堆栈删除错误
如果您在单击Delete按钮Failed to delete
stack后看到该消息出现权限错误,则表示您的 IAM 角色无 CloudFormation 权删除堆栈。请联系您的账户管理员以删除堆栈。
删除 CloudFormation 堆栈 (AWS CLI)
在 AWS CLI 界面中输入以下命令:
aws cloudformation delete-stack --stack-name your-stack-name --role-arn arn:aws:iam::<ACCOUNT ID>:role/CFN-DetectiveSecurityLakeIntegration
CFN-DetectiveSecurityLakeIntegration 是您在 Creating an AWS CloudFormation Service Role 步骤中创建的服务角色。
更改集成配置
如果要更改用于将 Detective 与 Security Lake 集成的任何参数,可以对其进行编辑,然后再次启用集成。您可以编辑 AWS CloudFormation 模板以在以下情况下重新启用此集成:
-
要更新 Security Lake 订阅,您可以创建新的订阅用户,也可以让 Security Lake 管理员更新现有订阅的数据来源。
-
指定用于存储原始查询日志的其他 Amazon S3 存储桶。
-
指定其他 Lake Formation 主体。
重新启用 Detective 与 Security Lake 的集成时,您可以编辑资源共享 ARN,并查看 IAM 权限。要编辑 IAM 权限,您可以从 Detective 转到 IAM 控制台。您也可以编辑先前在 AWS CloudFormation 模板中输入的值。您必须删除现有 CloudFormation 堆栈并重新创建它才能重新启用集成。
重新启用 Detective 与 Security Lake 的集成
-
打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/
。 -
在导航窗格中,选择集成。
-
您可以使用以下任一步骤编辑集成:
-
在 Security Lake 窗格中,选择编辑。
-
在 Security Lake 窗格中,选择视图。在视图页面中,选择编辑。
-
-
输入新的资源共享 ARN,以访问区域中的数据来源。
-
查看当前 IAM 权限,并转到 IAM 控制台(如果您想编辑 IAM 权限)。
-
编辑 CloudFormation 模板中的值。
-
在创建新堆栈之前,请先删除现有堆栈。如果您不删除现有堆栈并尝试在同一区域创建新堆栈,则您的请求将失败。有关更多详细信息,请参阅删除堆 CloudFormation 栈。
-
创建新 CloudFormation 堆栈。有关更多详细信息,请参阅使用 AWS CloudFormation 模板创建堆栈。
-
-
选择启用集成。
禁用集成
如果您禁用 Detective 与 Security Lake 的集成,则无法再从 Security Lake 中查询日志和事件数据。
禁用 Detective 与 Security Lake 的集成
-
打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/
。 -
在导航窗格中,选择集成。
-
删除现有堆栈。有关更多详细信息,请参阅删除堆 CloudFormation 栈。
-
在禁用 Security Lake 集成窗格中,选择禁用。
支持的 AWS 区域
你可以在以下 AWS 区域将 Detective 与 Security Lake 集成。
| 区域名称 | 区域 | 终端节点 | 协议 |
|---|---|---|---|
| 美国东部(俄亥俄州) | us-east-2 |
securitylake.us-east-2.amazonaws.com |
HTTPS |
| 美国东部(弗吉尼亚州北部) | us-east-1 |
securitylake.us-east-1.amazonaws.com |
HTTPS |
| 美国西部(北加利福尼亚) | us-west-1 |
securitylake.us-west-1.amazonaws.com |
HTTPS |
| 美国西部(俄勒冈州) | us-west-2 |
securitylake.us-west-2.amazonaws.com |
HTTPS |
| 亚太地区(孟买) | ap-south-1 |
securitylake.ap-south-1.amazonaws.com |
HTTPS |
| 亚太地区(首尔) | ap-northeast-2 |
securitylake.ap-northeast-2.amazonaws.com |
HTTPS |
| 亚太地区(新加坡) | ap-southeast-1 |
securitylake.ap-southeast-1.amazonaws.com |
HTTPS |
| 亚太地区(悉尼) | ap-southeast-2 |
securitylake.ap-southeast-2.amazonaws.com |
HTTPS |
| 亚太地区(东京) | ap-northeast-1 |
securitylake.ap-northeast-1.amazonaws.com |
HTTPS |
| 加拿大(中部) | ca-central-1 |
securitylake.ca-central-1.amazonaws.com |
HTTPS |
| 欧洲地区(法兰克福) | eu-central-1 |
securitylake.eu-central-1.amazonaws.com |
HTTPS |
| 欧洲地区(爱尔兰) | eu-west-1 |
securitylake.eu-west-1.amazonaws.com |
HTTPS |
| 欧洲地区(伦敦) | eu-west-2 |
securitylake.eu-west-2.amazonaws.com |
HTTPS |
| 欧洲地区(巴黎) | eu-west-3 |
securitylake.eu-west-3.amazonaws.com |
HTTPS |
| 欧洲地区(斯德哥尔摩) | eu-north-1 |
securitylake.eu-north-1.amazonaws.com |
HTTPS |
| 南美洲(圣保罗) | sa-east-1 |
securitylake.sa-east-1.amazonaws.com |
HTTPS |
在 Detective 中查询原始日志
将 Detective 与 Security Lake 集成后,Detective 开始从安全湖提取与 AWS CloudTrail 管理事件和亚马逊虚拟私有云(亚马逊 VPC)流日志相关的原始日志。
注意
在 Detective 中查询原始日志不会产生额外费用。包括亚马逊 Athena 在内的其他 AWS 服务的使用费仍按公布费率收取。
AWS CloudTrail 管理事件适用于以下配置文件:
-
AWS 账户
-
AWS 用户
-
AWS 角色
-
AWS 角色会话
-
Amazon EC2 实例
-
Amazon S3 存储桶
-
IP 地址
-
Kubernetes 集群
-
Kubernets 吊舱
-
Kubernets 主题
-
IAM 角色
-
IAM 角色会话
-
IAM 用户
Amazon VPC 流日志适用于以下配置文件:
-
Amazon EC2 实例
-
Kubernetes 容器组(pod)
要演示如何使用 Detective 控制台将 Amazon Detective 与 Amazon Security Lake 配合使用,请观看以下视频:
查询 AWS 账户的原始日志
-
打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/
。 -
在导航窗格中,选择搜索,然后搜索
AWS account。 -
在 API 调用总量部分中,选择显示范围时间的详细信息。
-
在此处,您可以开始查询原始日志。
在原始日志预览表中,您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息,您可以查看 Amazon Athena 中显示的数据。
在查询原始日志表中,您可以取消查询请求,在 Amazon Athena 中查看结果,并下载结果 [下载为逗号分隔值(.csv)文件]。
如果您在 Detective 中看到日志,但查询未返回任何结果,则可能是由于以下原因而引起的。
-
原始日志可能会先在 Detective 中可用,然后才显示在 Security Lake 日志表中。请稍后重试。
-
Security Lake 中可能缺少日志。如果您等待了很长时间,则表示 Security Lake 中缺少日志。要解决该问题,请联系您的 Security Lake 管理员。
查询 AWS 角色的原始日志
如果您想了解新地理位置中 AWS 角色的活动,可以在 Detective 控制台中进行操作。
查询 AWS 角色的原始日志
-
打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/
。 -
在 Detective Su mm ary 页面的 “新观察到的地理位置” 部分,记下该 AWS 角色。
-
在导航窗格中,选择搜索,然后搜索
AWS role。 -
对于该 AWS 角色,展开资源以显示该资源从该 IP 地址发出的特定 API 调用。
-
选择要调查的 API 调用旁边的放大镜图标,以打开原始日志预览表。
查询 Amazon EKS 集群的原始日志
-
打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/
。 -
从 Detective 摘要页面创建的 pod 最多的容器集群部分,导航到 Amazon EKS 集群。
-
在 Amazon EKS 集群详情页面中,选择 Kubernets API 活动选项卡。
-
在涉及此 Amazon EKS 集群的整体 Kubernets API 活动部分中,选择范围时间的显示详情。
-
在此处,您可以开始查询原始日志。
查询 Amazon EC2 实例的原始日志
-
打开 Detective 控制台,网址为 https://console.aws.amazon.com/detective/
。 -
在导航窗格中,选择搜索,然后搜索
Amazon EC2 instance。 -
在 VPC 的总流量部分,选择要调查的 API 调用旁边的放大镜图标,以打开原始日志预览表。
-
在此处,您可以开始查询原始日志。
在原始日志预览表中,您可以查看通过查询 Security Lake 数据检索到的日志和事件。有关原始事件日志的更多详细信息,您可以查看 Amazon Athena 中显示的数据。
在查询原始日志表中,您可以取消查询请求,在 Amazon Athena 中查看结果,并下载结果 [下载为逗号分隔值(.csv)文件]。
