Amazon Security Lake - AWS AppFabric
AppFabric 稽核記錄擷取考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Security Lake

Amazon Security Lake 會自動將 AWS 環境、軟體即服務 (SaaS) 供應商、內部部署和雲端來源的安全資料集中到儲存在您的專用資料湖中。 AWS 帳戶使用 Security Lake,您可以更全面地了解整個組織中的安全性資料。安全湖採用了開放式網路安全架構架構 (OCSF),這是一個開放原始碼安全事件結構描述。透過 OCSF 支援,此服務可將來自以及各種企業安全性資料來源的安全性資料標準化 AWS 並結合。

AppFabric 稽核記錄擷取考量

您可以將自訂來源新增至安全湖,將 SaaS 稽核日誌放入您 AWS 帳戶 的 Amazon 安全湖。下列各節說明要搭配 Security Lake 使用的輸出結構描述、輸出格式和輸出目的地。 AppFabric

結構描述和格式

安全湖支援下列 AppFabric 輸出結構描述和格式:

  • 十字-JSON

    • AppFabric 使用開放網路安全架構架構 (OCSF) 將資料標準化,並以 JSON 格式輸出資料。

輸出位置

安全湖使用 Amazon 資料 Firehose 交付串流 AppFabric 作為 AppFabric 擷取輸出位置來支援做為自訂來源。若要設定資料 AWS Glue 表和 Firehose 傳遞串流,以及在安全性湖泊中設定自訂來源,請使用下列程序。

創建一個 AWS Glue 表

  1. 瀏覽至亞馬遜簡單儲存服務 (Amazon S3),並使用您選擇的名稱建立儲存貯體。

  2. 導覽至主 AWS Glue 控台。

  3. 對於「資料目錄」,移至「表格」區段,然後選擇「新增表格」。

  4. 為此表格輸入您選擇的名稱。

  5. 選取您在步驟 1 中建立的 Amazon S3 儲存貯體。

  6. 對於資料格式,請選取 [JSON],然後選擇 [下一步]。

  7. [選擇或定義結構定義] 頁面上,選擇 [編輯結構定義為 JSON]。

  8. 輸入下列結構定義,並完成 AWS Glue 表格建立程序。

    [
    {
        "Name": "activity_id",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "activity_name",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "actor",
        "Type": "struct<session:struct<created_time:bigint,uid:string,issuer:string>,user:struct<uid:string,email_addr:string,credential_uid:string,name:string,type:string>>",
        "Comment": ""
    },
    {
        "Name": "user",
        "Type": "struct<uid:string,email_addr:string,credential_uid:string,name:string,type:string>",
        "Comment": ""
    },
    {
        "Name": "group",
        "Type": "struct<uid:string,desc:string,name:string,type:string,privileges:array<string>>",
        "Comment": ""
    },
    {
        "Name": "privileges",
        "Type": "array<string>",
        "Comment": ""
    },
    {
        "Name": "web_resources",
        "Type": "array<struct<type:string,uid:string,name:string,data:struct<current_value:string,previous_value:string>>>"
    },
    {
        "Name": "http_request",
        "Type": "struct<http_method:string,user_agent:string,url:string>",
        "Comment": ""
    },
    {
        "Name": "auth_protocol",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "auth_protocol_id",
        "Type": "int",
        "Comment": ""
    },
    {
        "Name": "category_name",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "category_uid",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "class_name",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "class_uid",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "is_mfa",
        "Type": "boolean",
        "Comment": ""
    },
    {
        "Name": "raw_data",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "severity",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "severity_id",
        "Type": "int",
        "Comment": ""
    },
    {
        "Name": "status",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "status_detail",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "status_id",
        "Type": "int",
        "Comment": ""
    },
    {
        "Name": "time",
        "Type": "bigint",
        "Comment": ""
    },
    {
        "Name": "type_name",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "type_uid",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "description",
        "Type": "string",
        "Comment": ""
    },
    {
        "Name": "metadata",
        "Type": "struct<product:struct<uid:string,vendor_name:string,name:string>,processed_time:string,version:string,uid:string,event_code:string>"
    },
    {
        "Name": "device",
        "Type": "struct<uid:string,hostname:string,ip:string,name:string,region:string,type:string,os:struct<name:string,type:string,version:string>,location:struct<coordinates:array<float>,city:string,state:string,country:string,postal_code:string,continent:string,desc:string>>"
    },
    {
        "Name": "unmapped",
        "Type": "map<string,string>"
    }
]

在安全湖中建立自訂來源

  1. 導覽至 Amazon 安全湖主控台。

  2. 在導覽窗格中選取 [自訂來源]。

  3. 選擇「建立自訂來源」。

  4. 輸入自訂來源的名稱,然後選取適用的 OCSF 事件類別。

    注意

    AppFabric 使用帳戶變更驗證、使用者存取管理群組管理Web 資源活動Web 資源存取活動事件類別。

  5. 對於 AWS 帳戶 ID外部 ID,請輸入您的 AWS 帳戶 ID。然後,選擇 Create (建立)。

  6. 儲存自訂來源的 Amazon S3 位置。您將使用它來設置 Amazon 數據 Firehose 交付流。

在 Firehose 中建立交付串流

  1. 導覽至 Amazon 資料 Firehose 主控台。

  2. 選擇 [建立交付串流]。

  3. 對於「來源」,選取「直接放入

  4. 對於目的地,選擇 S3

  5. 在「轉換和轉換記錄」部分中,選擇「啟用記錄格式轉換」,然後選擇Apache Parquet作為輸出格式。

  6. 對於AWS Glue 表格,請選擇您在上一個程序中建立的 AWS Glue 表格,然後選擇最新版本。

  7. 對於目的地設定,請選擇您使用安全湖自訂來源建立的 Amazon S3 儲存貯體。

  8. 對於動態磁碟分割,請選擇啟用

  9. 針對 JSON 的內嵌剖析,請選擇 [啟用]。

    • 對於「金鑰名稱」,輸入eventDayValue

    • 對於 JQ 表示式,請輸入(.time/1000)|strftime("%Y%m%d")

  10. 針對 S3 儲存貯體前置詞,輸入下列值。

    ext/AppFabric/region=<region>/accountId=<account_id>/eventDay=!{partitionKeyFromQuery:eventDayValue}/

    <region><account_id>用您的 AWS 區域 和 AWS 帳戶 ID 替換。

  11. 對於 S3 儲存貯體錯誤輸出前置詞,請輸入下列值。

    ext/AppFabric/error/

  12. 對於「重試」持續時間,選取 300

  13. 對於緩衝區大小,請選取 128 MiB

  14. 對於緩衝區間隔,選取 60s

  15. 完成 Firehose 交付串流的建立程序。

建立 AppFabric 擷取

若要將資料傳送至 Amazon Security Lake,您必須在 AppFabric主控台中建立一個擷取,該擷取使用您先前建立的 Firehose 交付串流做為輸出位置。如需有關設定 AppFabric 擷取以使用 Firehose 做為輸出位置的詳細資訊,請參閱建立輸出位置。