AWS 來源版本 1 的安全湖查詢 (OCSF 1.0.0-rc.2) - Amazon Security Lake
日誌來源資料表資料庫區域分割區日期

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 來源版本 1 的安全湖查詢 (OCSF 1.0.0-rc.2)

下一節提供從 Security Lake 查詢資料的指引,並包含 AWS 來源版本 1 原生支援 AWS 來源的一些查詢範例。這些查詢旨在擷取特定 中的資料 AWS 區域。這些範例使用 us-east-1 (美國東部 (維吉尼亞北部))。此外,範例查詢使用 LIMIT 25 參數,最多可傳回 25 筆記錄。您可以省略此參數,或根據您的偏好設定進行調整。如需更多範例,請參閱 Amazon Security Lake OCSF Queries GitHub 目錄

日誌來源資料表

當您查詢 Security Lake 資料時,您必須包含資料所在的 Lake Formation 資料表名稱。


SELECT *
   FROM amazon_security_lake_glue_db_DB_Region.amazon_security_lake_table_DB_Region_SECURITY_LAKE_TABLE
   WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
   LIMIT 25

日誌來源資料表的常見值包括下列項目:

  • cloud_trail_mgmt_1_0 – AWS CloudTrail 管理事件

  • lambda_execution_1_0 –Lambda CloudTrail 的資料事件

  • s3_data_1_0 –S3 CloudTrail 的資料事件

  • route53_1_0 – Amazon Route 53 解析程式查詢日誌

  • sh_findings_1_0 – AWS Security Hub 尋找

  • vpc_flow_1_0 – Amazon Virtual Private Cloud (Amazon VPC) 流程日誌

範例:sh_findings_1_0us-east-1 區域中資料表中的所有 Security Hub 調查結果


SELECT *
   FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_sh_findings_1_0
   WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
   LIMIT 25

資料庫區域

當您查詢 Security Lake 資料時,您必須包含要查詢資料的資料庫區域名稱。如需目前可使用 Security Lake 的資料庫區域完整清單,請參閱 Amazon Security Lake 端點

範例:列出來源 IP AWS CloudTrail 的活動

下列範例列出來源 IP 的所有 CloudTrail 活動 192.0.2.1 在 之後記錄的 20230301 (2023 年 3 月 1 日),在表格中 cloud_trail_mgmt_1_0us-east-1 DB_Region.


SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay > '20230301' AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT 25

分割區日期

透過分割資料,您可以限制每個查詢掃描的資料量,從而改善效能並降低成本。Security Lake 透過 eventDayregionaccountid 參數實作分割。eventDay分割區使用 格式 YYYYMMDD

這是使用 eventDay分割區的範例查詢:


SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay > '20230301'
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc

的常見值eventDay包括下列各項:

過去 1 年內發生的事件

> cast(date_format(current_timestamp - INTERVAL '1' year, '%Y%m%d%H') as varchar)

過去 1 個月內發生的事件

> cast(date_format(current_timestamp - INTERVAL '1' month, '%Y%m%d%H') as varchar)

過去 30 天內發生的事件

> cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar)

過去 12 小時內發生的事件

> cast(date_format(current_timestamp - INTERVAL '12' hour, '%Y%m%d%H') as varchar)

過去 5 分鐘內發生的事件

> cast(date_format(current_timestamp - INTERVAL '5' minute, '%Y%m%d%H') as varchar)

7–14 天前發生的事件

BETWEEN cast(date_format(current_timestamp - INTERVAL '14' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar)

在特定日期或之後發生的事件

>= '20230301'

範例:資料表中 192.0.2.1 2023 年 3 月 1 日或之後來源 IP 的所有 CloudTrail 活動清單 cloud_trail_mgmt_1_0


SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay >= '20230301'
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT 25

範例:資料表192.0.2.1中過去 30 天內來源 IP 的所有 CloudTrail 活動清單 cloud_trail_mgmt_1_0


SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar) 
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT 25