Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden einer OpenSearch Ingestion-Pipeline mit Amazon Security Lake
Sie können das [S3-Quell-Plugin](https://opensearch.org/docs/latest/data-prepper/pipelines/configuration/sources/s3/) verwenden, um Daten von [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) in Ihre OpenSearch Ingestion-Pipeline aufzunehmen. Security Lake zentralisiert automatisch Sicherheitsdaten aus AWS Umgebungen, lokalen Umgebungen und SaaS-Anbietern in einem speziell dafür entwickelten Data Lake. Sie können ein Abonnement erstellen, das Daten aus Security Lake in Ihre OpenSearch Ingestion-Pipeline repliziert, die sie dann in Ihre Service-Domain oder Serverless-Sammlung schreibt. OpenSearch OpenSearch
Verwenden Sie den vorkonfigurierten Security Lake-Blueprint, um Ihre Pipeline so zu konfigurieren, dass sie aus Security Lake liest. Der Blueprint enthält eine Standardkonfiguration für die Aufnahme von Open Cybersecurity Schema Framework (OCSF) -Parquet-Dateien aus Security Lake. Weitere Informationen finden Sie unter [Mit Blueprints arbeiten](pipeline-blueprint.md).
**Topics**
+ [Verwenden einer OpenSearch Ingestion-Pipeline mit Amazon Security Lake als Quelle](configure-client-source-security-lake.md)
+ [Verwendung einer OpenSearch Ingestion-Pipeline mit Amazon Security Lake als Senke](configure-client-sink-security-lake.md)
# Verwenden einer OpenSearch Ingestion-Pipeline mit Amazon Security Lake als Quelle
Sie können das Amazon S3 S3-Quell-Plug-In in Ihrer OpenSearch Ingestion-Pipeline verwenden, um Daten aus Amazon Security Lake aufzunehmen. Security Lake zentralisiert automatisch Sicherheitsdaten aus AWS Umgebungen, lokalen Systemen und SaaS-Anbietern in einem speziell dafür entwickelten Data Lake.
Amazon Security Lake hat die folgenden Metadatenattribute innerhalb einer Pipeline:
+ `bucket_name`: Der Name des Amazon S3 S3-Buckets, der von Security Lake zum Speichern von Sicherheitsdaten erstellt wurde.
+ `path_prefix`: Der benutzerdefinierte Quellname, der in der Security Lake IAM-Rollenrichtlinie definiert ist.
+ `region`: Der AWS-Region Ort, an dem sich der Security Lake S3-Bucket befindet.
+ `accountID`: Die AWS-Konto ID, in der Security Lake aktiviert ist.
+ `sts_role_arn`: Der ARN der IAM-Rolle, der für die Verwendung mit Security Lake vorgesehen ist.
## Voraussetzungen
Bevor Sie Ihre OpenSearch Ingestion-Pipeline erstellen, führen Sie die folgenden Schritte aus:
+ [Aktivieren Sie Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html#enable-service).
+ [Erstellen Sie einen Abonnenten](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-data-access.html#create-subscriber-data-access) in Security Lake.
+ Wählen Sie die Quellen aus, die Sie in Ihre Pipeline aufnehmen möchten.
+ Fügen Sie für **Abonnentenanmeldedaten** die ID des Ortes hinzu AWS-Konto , in dem Sie die Pipeline erstellen möchten. Geben Sie für die externe ID an`OpenSearchIngestion-{accountid}`.
+ Wählen Sie als **Datenzugriffsmethode** die Option **S3** aus.
+ Wählen Sie für **Benachrichtigungsdetails** die Option **SQS-Warteschlange** aus.
Wenn Sie einen Abonnenten erstellen, erstellt Security Lake automatisch zwei Inline-Berechtigungsrichtlinien — eine für S3 und eine für SQS. Die Richtlinien haben das folgende Format: und. `AmazonSecurityLake-amzn-s3-demo-bucket-S3` `AmazonSecurityLake-AWS Demo-SQS` Damit Ihre Pipeline auf die Abonnentenquellen zugreifen kann, müssen Sie Ihrer Pipeline-Rolle die erforderlichen Berechtigungen zuordnen.
## Konfigurieren Sie die Pipeline-Rolle
Erstellen Sie eine neue Berechtigungsrichtlinie in IAM, die nur die erforderlichen Berechtigungen aus den beiden Richtlinien kombiniert, die Security Lake automatisch erstellt hat. Die folgende Beispielrichtlinie zeigt die geringste Berechtigung, die für eine OpenSearch Ingestion-Pipeline zum Lesen von Daten aus mehreren Security Lake-Quellen erforderlich ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetObject"
],
"Resource":[
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/LAMBDA_EXECUTION/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/S3_DATA/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/VPC_FLOW/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/ROUTE53/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/SH_FINDINGS/1.0/*"
]
},
{
"Effect":"Allow",
"Action":[
"sqs:ReceiveMessage",
"sqs:DeleteMessage"
],
"Resource":[
"arn:aws:sqs:us-east-1:111122223333:AmazonSecurityLake-abcde-Main-Queue"
]
}
]
}
```
------
**Wichtig**
Security Lake verwaltet die Pipeline-Rollenrichtlinie nicht für Sie. Wenn Sie Quellen zu Ihrem Security Lake-Abonnement hinzufügen oder daraus entfernen, müssen Sie die Richtlinie manuell aktualisieren. Security Lake erstellt Partitionen für jede Protokollquelle, sodass Sie der Pipeline-Rolle manuell Berechtigungen hinzufügen oder entfernen müssen.
Sie müssen diese Berechtigungen der IAM-Rolle zuordnen, die Sie in der `sts_role_arn` Option in der Konfiguration des S3-Quell-Plug-ins unter `sqs` angeben.
```
version: "2"
source:
s3:
...
sqs:
queue_url: "https://sqs.us-east-1amazonaws.com/account-id/AmazonSecurityLake-amzn-s3-demo-bucket-Main-Queue"
aws:
...
processor:
...
sink:
- opensearch:
...
```
## Erstellen Sie die Pipeline
Nachdem Sie der Pipeline-Rolle die Berechtigungen hinzugefügt haben, verwenden Sie den vorkonfigurierten Security Lake-Blueprint, um die Pipeline zu erstellen. Weitere Informationen finden Sie unter [Mit Blueprints arbeiten](pipeline-blueprint.md).
Sie müssen die `queue_url` Option in der `s3` Quellkonfiguration angeben. Dabei handelt es sich um die Amazon SQS SQS-Warteschlangen-URL, aus der gelesen werden soll. Um die URL zu formatieren, suchen Sie den **Abonnement-Endpunkt** in der Abonnentenkonfiguration und wechseln Sie `arn:aws:` zu`https://`. Beispiel, `https://sqs.us-east-1amazonaws.com/account-id/AmazonSecurityLake-AWS Demo-Main-Queue`.
`sts_role_arn`Das, was Sie in der S3-Quellkonfiguration angeben, muss der ARN der Pipeline-Rolle sein.
# Verwendung einer OpenSearch Ingestion-Pipeline mit Amazon Security Lake als Senke
Verwenden Sie das Amazon S3 S3-Sink-Plugin in OpenSearch Ingestion, um Daten aus einer beliebigen unterstützten Quelle an Amazon Security Lake zu senden. Security Lake sammelt und speichert Sicherheitsdaten von AWS lokalen Umgebungen und SaaS-Anbietern in einem speziellen Data Lake.
Um Ihre Pipeline so zu konfigurieren, dass Protokolldaten in Security Lake geschrieben werden, verwenden Sie den vorkonfigurierten **Firewall-Datenverkehrsprotokoll-Blueprint**. Der Blueprint beinhaltet eine Standardkonfiguration für das Abrufen von unformatierten Sicherheitsprotokollen oder anderen in einem Amazon S3 S3-Bucket gespeicherten Daten, für die Verarbeitung der Datensätze und deren Normalisierung. Anschließend ordnet er die Daten dem Open Cybersecurity Schema Framework (OCSF) zu und sendet die transformierten OCSF-konformen Daten an Security Lake.
Die Pipeline hat die folgenden Metadatenattribute:
+ `bucket_name`: Der Name des Amazon S3 S3-Buckets, der von Security Lake zum Speichern von Sicherheitsdaten erstellt wurde.
+ `path_prefix`: Der benutzerdefinierte Quellname, der in der Security Lake IAM-Rollenrichtlinie definiert ist.
+ `region`: Der AWS-Region Ort, an dem sich der Security Lake S3-Bucket befindet.
+ `accountID`: Die AWS-Konto ID, in der Security Lake aktiviert ist.
+ `sts_role_arn`: Der ARN der IAM-Rolle, der für die Verwendung mit Security Lake vorgesehen ist.
## Voraussetzungen
Bevor Sie eine Pipeline zum Senden von Daten an Security Lake erstellen, führen Sie die folgenden Schritte aus:
+ **Amazon Security Lake aktivieren und konfigurieren**: Richten Sie Amazon Security Lake ein, um Sicherheitsdaten aus verschiedenen Quellen zu zentralisieren. Anweisungen finden Sie unter [Security Lake über die Konsole aktivieren](https://docs.aws.amazon.com/security-lake/latest/userguide/get-started-console.html).
Wenn Sie eine Quelle auswählen, wählen Sie **Bestimmte AWS Quellen aufnehmen** und wählen Sie eine oder mehrere Protokoll- und Ereignisquellen aus, die Sie aufnehmen möchten.
+ **Berechtigungen einrichten**: Konfigurieren Sie die Pipeline-Rolle mit den erforderlichen Berechtigungen, um Daten in Security Lake zu schreiben. Weitere Informationen finden Sie unter [Pipeline-Rolle](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-security-overview.html#pipeline-security-sink).
### Erstellen Sie die Pipeline
Verwenden Sie den vorkonfigurierten Security Lake-Blueprint, um die Pipeline zu erstellen. Weitere Informationen finden Sie unter [Verwenden von Blueprints zum Erstellen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-blueprint.html) einer Pipeline.