Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Quellenverwaltung in Security Lake
<a name="source-management"></a>

Quellen sind Protokolle und Ereignisse, die von einem einzigen System generiert wurden und einer bestimmten Ereignisklasse im [Öffnen Sie das Cybersecurity Schema Framework (OCSF) in Security Lake](open-cybersecurity-schema-framework.md) Schema entsprechen. Amazon Security Lake kann Protokolle und Ereignisse aus einer Vielzahl von Quellen sammeln, einschließlich nativ unterstützter Quellen AWS-Services und benutzerdefinierter Quellen von Drittanbietern.

Security Lake führt ETL-Jobs (Extrahieren, Transformieren und Laden) für Rohquelldaten aus und konvertiert die Daten in das Apache Parquet-Format und das OCSF-Schema. Nach der Verarbeitung speichert Security Lake die Quelldaten in einem Amazon Simple Storage Service (Amazon S3) -Bucket AWS-Konto in Ihrem Bucket AWS-Region , in dem die Daten generiert wurden. Security Lake erstellt für jede Region, in der Sie den Service aktivieren, einen anderen Amazon S3 S3-Bucket. Jede Quelle erhält ein separates Präfix in Ihrem S3-Bucket, und Security Lake organisiert Daten aus jeder Quelle in einem separaten Satz von AWS Lake Formation Tabellen.

**Topics**
+ [Sammeln von Daten AWS-Services aus Security Lake](internal-sources.md)
+ [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md)

# Sammeln von Daten AWS-Services aus Security Lake
<a name="internal-sources"></a>

Amazon Security Lake kann Protokolle und Ereignisse von den folgenden nativ AWS-Services unterstützten Geräten sammeln:
+ AWS CloudTrail Verwaltung und Datenereignisse (S3, Lambda)
+ Auditprotokolle für Amazon Elastic Kubernetes Service (Amazon EKS)
+ Amazon-Route-53-Resolver-Abfrageprotokolle
+ AWS Security Hub CSPM Ergebnisse
+ Amazon Virtual Private Cloud (Amazon VPC)-Datendurchflussprotokolle
+ AWS WAF v2-Protokolle

Security Lake wandelt diese Daten automatisch in das Apache [Öffnen Sie das Cybersecurity Schema Framework (OCSF) in Security Lake](open-cybersecurity-schema-framework.md) Parquet-Format um.

**Tipp**  
 Um einen oder mehrere der oben genannten Dienste als Protokollquelle in Security Lake hinzuzufügen, müssen Sie die Protokollierung für diese Dienste *nicht* separat konfigurieren, mit Ausnahme von CloudTrail Verwaltungsereignissen. Wenn Sie die Protokollierung in diesen Diensten konfiguriert haben, müssen Sie Ihre Protokollierungskonfiguration *nicht* ändern, um sie als Protokollquellen in Security Lake hinzuzufügen. Security Lake ruft Daten über einen unabhängigen und duplizierten Ereignisstrom direkt von diesen Diensten ab. 



## Voraussetzung: Überprüfen Sie die Berechtigungen
<a name="add-internal-sources-permissions"></a>

Um eine AWS-Service als Quelle in Security Lake hinzuzufügen, benötigen Sie die erforderlichen Berechtigungen. Stellen Sie sicher, dass die AWS Identity and Access Management (IAM-) Richtlinie, die der Rolle zugeordnet ist, die Sie zum Hinzufügen einer Quelle verwenden, berechtigt ist, die folgenden Aktionen auszuführen:
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:GetDatabase`
+ `glue:GetTable`
+ `glue:UpdateTable`
+ `iam:CreateServiceLinkedRole`
+ `s3:GetObject`
+ `s3:PutObject`

Es wird empfohlen, dass die Rolle die folgenden Bedingungen und den folgenden Ressourcenbereich für die `s3:PutObject` Berechtigungen `S3:getObject` und erfüllt.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}
```

------

Diese Aktionen ermöglichen es Ihnen, Protokolle und Ereignisse aus dem AN zu sammeln AWS-Service und sie an die richtige AWS Glue Datenbank und Tabelle zu senden.

Wenn Sie einen AWS KMS Schlüssel für die serverseitige Verschlüsselung Ihres Data Lakes verwenden, benötigen Sie auch eine Genehmigung dafür`kms:DescribeKey`.

## Eine AWS-Service als Quelle hinzufügen
<a name="add-internal-sources"></a>

Nachdem Sie eine AWS-Service als Quelle hinzugefügt haben, beginnt Security Lake automatisch mit der Erfassung von Sicherheitsprotokollen und Ereignissen aus dieser Quelle. In diesen Anweisungen erfahren Sie, wie Sie eine nativ unterstützte Quelle in AWS-Service Security Lake hinzufügen. Anweisungen zum Hinzufügen einer benutzerdefinierten Quelle finden Sie unter. [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md)

------
#### [ Console ]

**So fügen Sie eine AWS Protokollquelle hinzu (Konsole)**

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Wählen Sie im Navigationsbereich **Quellen** aus.

1. Wählen Sie AWS-Service die Datei aus, von der Sie Daten sammeln möchten, und klicken Sie auf **Konfigurieren**. 

1. Aktivieren Sie im Abschnitt **Quelleinstellungen** die Quelle und wählen Sie die **Version** der Datenquelle aus, die Sie für die Datenaufnahme verwenden möchten. Standardmäßig wird die neueste Version der Datenquelle von Security Lake aufgenommen.
**Wichtig**  
Wenn Sie nicht über die erforderlichen Rollenberechtigungen verfügen, um die neue Version der AWS Protokollquelle in der angegebenen Region zu aktivieren, wenden Sie sich an Ihren Security Lake-Administrator. Weitere Informationen finden Sie unter [Rollenberechtigungen aktualisieren](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions).

   Damit Ihre Abonnenten die ausgewählte Version der Datenquelle aufnehmen können, müssen Sie auch Ihre Abonnenteneinstellungen aktualisieren. Einzelheiten zur Bearbeitung eines Abonnenten finden Sie unter [Abonnentenverwaltung in Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/subscriber-management.html).

   Optional können Sie festlegen, dass nur die neueste Version aufgenommen und alle vorherigen Quellversionen, die für die Datenaufnahme verwendet wurden, deaktiviert werden. 

1. Wählen Sie im Abschnitt **Regionen** die Regionen aus, in denen Sie Daten für die Quelle sammeln möchten. Security Lake sammelt Daten aus der Quelle von *allen* Konten in den ausgewählten Regionen.

1. Wählen Sie **Enable (Aktivieren)** aus.

------
#### [ API ]

**Um eine AWS Protokollquelle (API) hinzuzufügen**

Verwenden Sie den [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)Betrieb der Security Lake-API, um eine programmgesteuert AWS-Service als Quelle hinzuzufügen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl aus. [create-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-aws-log-source.html) Die Parameter `sourceName` und `regions` müssen angegeben werden. Optional können Sie den Umfang der Quelle auf einen bestimmten `accounts` oder einen bestimmten Bereich beschränken`sourceVersion`.

**Wichtig**  
Wenn Sie in Ihrem Befehl keinen Parameter angeben, geht Security Lake davon aus, dass sich der fehlende Parameter auf den gesamten Satz bezieht. Wenn Sie den `accounts` Parameter beispielsweise nicht angeben, gilt der Befehl für die gesamte Gruppe von Konten in Ihrer Organisation.

Im folgenden Beispiel werden VPC Flow Logs als Quelle in den angegebenen Konten und Regionen hinzugefügt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

**Anmerkung**  
Wenn Sie diese Anfrage auf eine Region anwenden, in der Sie Security Lake nicht aktiviert haben, erhalten Sie eine Fehlermeldung. Sie können den Fehler beheben, indem Sie Security Lake in dieser Region aktivieren oder indem Sie den `regions` Parameter verwenden, um nur die Regionen anzugeben, in denen Sie Security Lake aktiviert haben.

```
$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"
```

------

## Den Status der Quellensammlung abrufen
<a name="get-status-internal-sources"></a>

Wählen Sie Ihre Zugriffsmethode und folgen Sie den Schritten, um einen Überblick über die Konten und Quellen zu erhalten, für die die Protokollerfassung in der aktuellen Region aktiviert ist.

------
#### [ Console ]

**Um den Status der Protokollerfassung in der aktuellen Region abzurufen**

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Wählen Sie im Navigationsbereich **Accounts** aus.

1. Zeigen Sie mit der Maus auf die Zahl in der Spalte **Quellen**, um zu sehen, welche Protokolle für das ausgewählte Konto aktiviert sind.

------
#### [ API ]

Um den Status der Protokollerfassung in der aktuellen Region abzurufen, verwenden Sie den [GetDataLakeSources](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html)Betrieb der Security Lake-API. Wenn Sie den verwenden AWS CLI, führen Sie den [get-data-lake-sources](https://docs.aws.amazon.com/cli/latest/reference/securitylake/get-data-lake-sources.html)Befehl aus. Für den `accounts` Parameter können Sie einen oder mehrere Parameter AWS-Konto IDs als Liste angeben. Wenn Ihre Anfrage erfolgreich ist, gibt Security Lake einen Snapshot für die Konten in der aktuellen Region zurück, einschließlich der AWS Quellen, aus denen Security Lake Daten sammelt, und des Status der einzelnen Quellen. Wenn Sie den `accounts` Parameter nicht angeben, enthält die Antwort den Status der Protokollerfassung für alle Konten, für die Security Lake in der aktuellen Region konfiguriert ist.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der Status der Protokollerfassung für die angegebenen Konten in der aktuellen Region abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
```

------

# Rollenberechtigungen in Security Lake werden aktualisiert
<a name="update-role-permissions"></a>

Wenn Sie nicht über die erforderlichen Rollenberechtigungen oder Ressourcen — neue AWS Lambda Funktion und Amazon Simple Queue Service (Amazon SQS) -Warteschlange — verfügen, um Daten aus einer neuen Version der Datenquelle aufzunehmen, müssen Sie Ihre `AmazonSecurityLakeMetaStoreManagerV2` Rollenberechtigungen aktualisieren und einen neuen Satz von Ressourcen erstellen, um Daten aus Ihren Quellen zu verarbeiten.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen, um Ihre Rollenberechtigungen zu aktualisieren und neue Ressourcen zu erstellen, um Daten aus einer neuen Version einer AWS Protokollquelle in einer bestimmten Region zu verarbeiten. Dies ist eine einmalige Aktion, da die Berechtigungen und Ressourcen automatisch auf future Datenquellenversionen angewendet werden.

------
#### [ Console ]

**Um die Rollenberechtigungen zu aktualisieren (Konsole)**

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Melden Sie sich mit den Anmeldeinformationen des delegierten Security Lake-Administrators an.

1. Klicken Sie im Navigationsbereich unter **Settings** auf **General**.

1. Wählen Sie „**Rollenberechtigungen aktualisieren**“.

1. Führen Sie im Abschnitt **Dienstzugriff** einen der folgenden Schritte aus: 
   + **Eine neue Servicerolle erstellen und verwenden** — Sie können die von Security Lake erstellte **AmazonSecurityLakeMetaStoreManagerV2-Rolle** verwenden.
   + **Eine bestehende Servicerolle verwenden** — Sie können eine vorhandene Servicerolle aus der Liste der **Servicerollennamen** auswählen. 

1. Wählen Sie **Anwenden** aus.

------
#### [ API ]

**So aktualisieren Sie die Rollenberechtigungen (API)**

Verwenden Sie den [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)Betrieb der Security Lake-API, um Berechtigungen programmgesteuert zu aktualisieren. Um Berechtigungen mit dem zu aktualisieren AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html)Befehl aus. 

Um Ihre Rollenberechtigungen zu aktualisieren, müssen Sie die [AmazonSecurityLakeMetastoreManager](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager)Richtlinie an die Rolle anhängen. 

------

## Die AmazonSecurityLakeMetaStoreManager Rolle wird gelöscht
<a name="remove-sl-metastoremanager-role"></a>

**Wichtig**  
Nachdem Sie Ihre Rollenberechtigungen auf aktualisiert haben`AmazonSecurityLakeMetaStoreManagerV2`, stellen Sie sicher, dass der Data Lake ordnungsgemäß funktioniert, bevor Sie die alte `AmazonSecurityLakeMetaStoreManager` Rolle entfernen. Es wird empfohlen, mindestens 4 Stunden zu warten, bevor Sie die Rolle entfernen.

 Wenn Sie sich entscheiden, die Rolle zu entfernen, müssen Sie zuerst die `AmazonSecurityLakeMetaStoreManager` Rolle von AWS Lake Formation löschen. 

Gehen Sie wie folgt vor, um die `AmazonSecurityLakeMetaStoreManager` Rolle aus der Lake Formation Formation-Konsole zu entfernen.

1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die Lake Formation Formation-Konsole unter [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Wählen Sie in der Lake Formation Formation-Konsole im Navigationsbereich die Option **Administrative Rollen und Aufgaben** aus.

1. `AmazonSecurityLakeMetaStoreManager`Aus jeder Region entfernen.

# AWS-Service Als Quelle aus Security Lake entfernen
<a name="remove-internal-sources"></a>

Wählen Sie Ihre Zugriffsmethode und gehen Sie wie folgt vor, um eine nativ AWS-Service als Security Lake unterstützte Quelle zu entfernen. Sie können eine Quelle für eine oder mehrere Regionen entfernen. Wenn Sie die Quelle entfernen, beendet Security Lake die Erfassung von Daten aus dieser Quelle in den angegebenen Regionen und Konten, und Abonnenten können keine neuen Daten mehr aus der Quelle nutzen. Abonnenten können jedoch weiterhin Daten nutzen, die Security Lake vor dem Entfernen aus der Quelle gesammelt hat. Sie können diese Anweisungen nur verwenden, um eine nativ unterstützte AS-Quelle AWS-Service zu entfernen. Informationen zum Entfernen einer benutzerdefinierten Quelle finden Sie unter. [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md)

------
#### [ Console ]

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Wählen Sie im Navigationsbereich **Quellen** aus.

1. Wählen Sie eine Quelle aus und klicken Sie auf **Deaktivieren**.

1. Wählen Sie eine oder mehrere Regionen aus, in denen Sie die Erfassung von Daten aus dieser Quelle beenden möchten. Security Lake beendet die Erfassung von Daten aus der Quelle für *alle* Konten in den ausgewählten Regionen.

------
#### [ API ]

Verwenden Sie den [DeleteAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteAwsLogSource.html)Betrieb der Security Lake-API, um eine AWS-Service als Quelle programmgesteuert zu entfernen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl aus. [delete-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-aws-log-source.html) Die Parameter `sourceName` und `regions` müssen angegeben werden. Optional können Sie den Umfang der Entfernung auf einen bestimmten `accounts` oder einen bestimmten Bereich beschränken`sourceVersion`.

**Wichtig**  
Wenn Sie in Ihrem Befehl keinen Parameter angeben, geht Security Lake davon aus, dass sich der fehlende Parameter auf den gesamten Satz bezieht. Wenn Sie den `accounts` Parameter beispielsweise nicht angeben, gilt der Befehl für die gesamte Gruppe von Konten in Ihrer Organisation.

Im folgenden Beispiel werden VPC Flow Logs als Quelle in den angegebenen Konten und Regionen entfernt.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

Im folgenden Beispiel wird Route 53 als Quelle im angegebenen Konto und in den angegebenen Regionen entfernt.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

Die obigen Beispiele sind für Linux, macOS oder Unix formatiert und verwenden zur besseren Lesbarkeit den umgekehrten Schrägstrich (\$1) als Zeilenfortsetzung.

------

# CloudTrail Ereignisprotokolle in Security Lake
<a name="cloudtrail-event-logs"></a>

AWS CloudTrail bietet Ihnen eine Historie der AWS API-Aufrufe für Ihr Konto, einschließlich API-Aufrufe, die AWS-Managementkonsole, die AWS SDKs, die Befehlszeilentools und bestimmte AWS Dienste verwendet haben. CloudTrail ermöglicht es Ihnen auch, zu ermitteln, welche Benutzer und Konten Dienste, die diese unterstützen CloudTrail, aufgerufen AWS APIs haben, von welcher Quell-IP-Adresse aus die Aufrufe getätigt wurden und wann die Aufrufe erfolgten. Weitere Informationen finden Sie im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

Security Lake kann Protokolle sammeln, die mit CloudTrail Verwaltungsereignissen und CloudTrail Datenereignissen für S3 und Lambda verknüpft sind. CloudTrail Verwaltungsereignisse, S3-Datenereignisse und Lambda-Datenereignisse sind drei separate Quellen in Security Lake. Aus diesem Grund haben sie unterschiedliche Werte, [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName)wenn Sie einen dieser Werte als aufgenommene Protokollquelle hinzufügen. Verwaltungsereignisse, auch bekannt als Ereignisse auf Kontrollebene, geben Aufschluss über Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS-Konto System ausgeführt werden. CloudTrail Datenereignisse, auch bekannt als Operationen auf Datenebene, zeigen die Ressourcenoperationen, die auf oder innerhalb von Ressourcen in Ihrem System ausgeführt wurden AWS-Konto. Bei diesen Vorgängen handelt es sich häufig um umfangreiche Aktivitäten.

Um CloudTrail Verwaltungsereignisse in Security Lake zu sammeln, benötigen Sie mindestens einen CloudTrail regionsübergreifenden Organisationspfad, der CloudTrail Verwaltungsereignisse mit Lese- und Schreibzugriff sammelt. Die Protokollierung muss für den Trail aktiviert sein. Wenn Sie die Protokollierung in den anderen Diensten konfiguriert haben, müssen Sie Ihre Protokollierungskonfiguration nicht ändern, um sie als Protokollquellen in Security Lake hinzuzufügen. Security Lake ruft Daten über einen unabhängigen und duplizierten Ereignisstrom direkt von diesen Diensten ab.

Ein Trail mit mehreren Regionen liefert Protokolldateien aus mehreren Regionen an einen einzigen Amazon Simple Storage Service (Amazon S3) -Bucket für einen einzigen AWS-Konto. Wenn Sie bereits einen Trail mit mehreren Regionen haben, der über die CloudTrail Konsole oder verwaltet wird AWS Control Tower, sind keine weiteren Maßnahmen erforderlich.
+ Informationen zum Erstellen und Verwalten eines Trails finden CloudTrail Sie im *AWS CloudTrail Benutzerhandbuch* unter [Erstellen eines Trails für eine Organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html). 
+ Informationen zum Erstellen und Verwalten eines AWS Control Tower Trail-Through finden Sie AWS CloudTrail im *AWS Control Tower Benutzerhandbuch* unter [AWS Control Tower Aktionen protokollieren mit](https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html).

Wenn Sie CloudTrail Ereignisse als Quelle hinzufügen, beginnt Security Lake sofort mit der Erfassung Ihrer CloudTrail Ereignisprotokolle. Es verarbeitet CloudTrail Verwaltungs- und Datenereignisse direkt aus CloudTrail einem unabhängigen und duplizierten Ereignisstrom.

Security Lake verwaltet Ihre CloudTrail Ereignisse nicht und hat auch keine Auswirkungen auf Ihre bestehenden CloudTrail Konfigurationen. Um den Zugriff und die Aufbewahrung Ihrer CloudTrail Ereignisse direkt zu verwalten, müssen Sie die CloudTrail Servicekonsole oder API verwenden. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake CloudTrail Ereignisse auf OCSF normalisiert.

****GitHub OCSF-Repository für Ereignisse CloudTrail****
+ Quellversion 1 [(v1.0.0-rc.2](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/CloudTrail))
+ [Quellversion 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/CloudTrail)

# Amazon EKS-Auditprotokolle in Security Lake
<a name="eks-audit-logs"></a>

Wenn Sie Amazon EKS Audit Logs als Quelle hinzufügen, beginnt Security Lake mit der Erfassung detaillierter Informationen über die Aktivitäten, die auf den Kubernetes-Ressourcen ausgeführt werden, die in Ihren Elastic Kubernetes Service (EKS) -Clustern ausgeführt werden. EKS-Auditprotokolle helfen Ihnen dabei, potenziell verdächtige Aktivitäten in Ihren EKS-Clustern innerhalb des Amazon Elastic Kubernetes Service zu erkennen. 

Security Lake verarbeitet EKS-Audit-Log-Ereignisse direkt aus der Protokollierungsfunktion der Amazon EKS-Kontrollebene über einen unabhängigen und duplizierten Stream von Audit-Protokollen. Dieser Prozess ist so konzipiert, dass keine zusätzliche Einrichtung erforderlich ist und sich auch nicht auf bestehende Protokollierungskonfigurationen der Amazon EKS-Steuerungsebene auswirkt, die Sie möglicherweise haben. Weitere Informationen finden Sie unter [Protokollierung der Amazon EKS-Kontrollebene](https://docs.aws.amazon.com//eks/latest/userguide/control-plane-logs.html) im **Amazon EKS-Benutzerhandbuch**.

Amazon EKS-Auditprotokolle werden nur in OCSF v1.1.0 unterstützt. Informationen darüber, wie Security Lake EKS Audit Logs-Ereignisse auf OCSF normalisiert, finden Sie in der Zuordnungsreferenz im [GitHub OCSF-Repository für Amazon EKS Audit Logs-Ereignisse (](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/EKS Audit Logs)v1.1.0).

# Route-53-Resolver-Abfrageprotokolle in Security Lake
<a name="route-53-logs"></a>

Route 53-Resolver-Abfrageprotokolle verfolgen DNS-Abfragen, die von Ressourcen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) gestellt wurden. Auf diese Weise können Sie besser verstehen, wie Ihre Anwendungen funktionieren, und Sicherheitsbedrohungen erkennen.

Wenn Sie Route 53-Resolver-Abfrageprotokolle als Quelle in Security Lake hinzufügen, beginnt Security Lake sofort, Ihre Resolver-Abfrageprotokolle direkt von Route 53 über einen unabhängigen und duplizierten Ereignisstrom zu sammeln.

Security Lake verwaltet Ihre Route 53-Protokolle nicht und hat auch keinen Einfluss auf Ihre bestehenden Resolver-Abfrageprotokollierungskonfigurationen. Um Resolver-Abfrageprotokolle zu verwalten, müssen Sie die Route 53-Servicekonsole verwenden. Weitere Informationen finden Sie unter [Managing Resolver Query Logging Configurations](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logging-configurations-managing.html) im *Amazon Route 53 Developer Guide*.

Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake Route 53-Protokolle auf OCSF normalisiert.

****GitHub OCSF-Repository für Route 53-Protokolle****
+ Quellversion 1 [(v1.0.0-rc.2](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/Route53))
+ [Quellversion 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/Route53)

# Ergebnisse des Security Hub CSPM in Security Lake
<a name="security-hub-findings"></a>

Die CSPM-Ergebnisse von Security Hub helfen Ihnen dabei, Ihren Sicherheitsstatus zu verstehen, AWS und ermöglichen es Ihnen, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen. Security Hub CSPM sammelt Ergebnisse aus verschiedenen Quellen, einschließlich Integrationen mit anderen Produktintegrationen von Drittanbietern AWS-Services, und überprüft sie anhand der Security Hub CSPM-Kontrollen. Security Hub CSPM verarbeitet Ergebnisse in einem Standardformat namens AWS Security Finding Format (ASFF).

Wenn Sie Security Hub CSPM-Ergebnisse als Quelle in Security Lake hinzufügen, beginnt Security Lake sofort, Ihre Ergebnisse über einen unabhängigen und duplizierten Ereignisstrom direkt von Security Hub CSPM zu sammeln. Security Lake wandelt auch die Ergebnisse von ASFF in (OCSF) um. [Öffnen Sie das Cybersecurity Schema Framework (OCSF) in Security Lake](open-cybersecurity-schema-framework.md)

Security Lake verwaltet Ihre Security Hub CSPM-Ergebnisse nicht und hat auch keinen Einfluss auf Ihre Security Hub CSPM-Einstellungen. Um die Ergebnisse des Security Hub CSPM zu verwalten, müssen Sie die Security Hub CSPM-Servicekonsole, API oder verwenden. AWS CLI*Weitere Informationen finden Sie unter [Ergebnisse AWS Security Hub CSPM im Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html).AWS Security Hub *

Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake die CSPM-Ergebnisse von Security Hub auf OCSF normalisiert.

****GitHub OCSF-Repository für Security Hub CSPM-Ergebnisse****
+ [Quellversion 1 (v1.0.0-rc.2)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/Security%20Hub)
+ [Quellversion 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/Security%20Hub)

# VPC-Flussprotokolle in Security Lake
<a name="vpc-flow-logs"></a>

Die VPC Flow Logs-Funktion von Amazon VPC erfasst Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrer Umgebung. 

Wenn Sie VPC Flow Logs als Quelle in Security Lake hinzufügen, beginnt Security Lake sofort mit der Erfassung Ihrer VPC Flow Logs. Es verwendet VPC Flow Logs direkt von Amazon VPC über einen unabhängigen und duplizierten Stream von Flow Logs.

Security Lake verwaltet Ihre VPC Flow Logs nicht und hat auch keinen Einfluss auf Ihre Amazon VPC-Konfigurationen. Um Ihre Flow Logs zu verwalten, müssen Sie die Amazon VPC-Servicekonsole verwenden. Weitere Informationen finden Sie unter [Arbeiten mit Flow-Protokollen](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html) im *Amazon VPC Developer Guide*.

Die folgende Liste enthält GitHub Repository-Links zur Mapping-Referenz, in der beschrieben wird, wie Security Lake VPC Flow Logs auf OCSF normalisiert.

****GitHub OCSF-Repository für VPC Flow Logs****
+ Quellversion 1 [(v1.0.0-rc.2)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/VPC%20Flowlogs)
+ [Quellversion 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/VPC%20Flowlogs)

# AWS WAF loggt sich in Security Lake ein
<a name="aws-waf"></a>

Wenn Sie Security Lake AWS WAF als Protokollquelle hinzufügen, beginnt Security Lake sofort mit der Erfassung der Protokolle. AWS WAF ist eine Firewall für Webanwendungen, mit der Sie Webanfragen überwachen können, die Ihre Endbenutzer an Ihre Anwendungen senden, und den Zugriff auf Ihre Inhalte kontrollieren können. Zu den protokollierten Informationen gehören die Uhrzeit, zu der eine Webanfrage von Ihrer AWS Ressource AWS WAF empfangen wurde, detaillierte Informationen zu der Anfrage und Details zu den Regeln, denen die Anfrage entsprach. 

Security Lake verarbeitet AWS WAF Protokolle direkt aus einem AWS WAF unabhängigen und duplizierten Protokollstrom. Dieser Prozess ist so konzipiert, dass er keine zusätzliche Einrichtung erfordert und keine Auswirkungen auf bestehende AWS WAF Konfigurationen hat. Security Lake-Protokolle rufen nur Daten ab, die gemäß der Konfiguration der AWS WAF [Web Access Control List (Web ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) zulässig sind. Wenn der [Datenschutz](https://docs.aws.amazon.com/waf/latest/developerguide/waf-data-protection-and-logging.html) für die Web-ACL in Security Lake-Konten aktiviert ist, werden die generierten Daten basierend auf Ihren Web-ACL-Einstellungen geschwärzt oder gehasht. Informationen zur Verwendung AWS WAF zum Schutz Ihrer Anwendungsressourcen finden Sie im [*AWS WAF Entwicklerhandbuch* unter So AWS WAF funktioniert](https://docs.aws.amazon.com/waf/latest/developerguide/how-aws-waf-works.html) es.

**Wichtig**  
Wenn Sie Amazon CloudFront Distribution als Ressourcentyp verwenden AWS WAF, müssen Sie USA Ost (Nord-Virginia) auswählen, um die globalen Protokolle in Security Lake aufzunehmen.

AWS WAF Logs wird nur in OCSF v1.1.0 unterstützt. Informationen darüber, wie Security Lake AWS WAF Log-Ereignisse auf OCSF normalisiert, finden Sie in der Mapping-Referenz im [GitHub OCSF-Repository für AWS WAF](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/WAF) Logs (v1.1.0).

## Als Quelle wird ein entfernt AWS-Service
<a name="remove-internal-sources"></a>

Wählen Sie Ihre Zugriffsmethode und gehen Sie wie folgt vor, um eine nativ AWS-Service als Security Lake unterstützte Quelle zu entfernen. Sie können eine Quelle für eine oder mehrere Regionen entfernen. Wenn Sie die Quelle entfernen, beendet Security Lake die Erfassung von Daten aus dieser Quelle in den angegebenen Regionen und Konten, und Abonnenten können keine neuen Daten mehr aus der Quelle nutzen. Abonnenten können jedoch weiterhin Daten nutzen, die Security Lake vor dem Entfernen aus der Quelle gesammelt hat. Sie können diese Anweisungen nur verwenden, um eine nativ unterstützte AS-Quelle AWS-Service zu entfernen. Informationen zum Entfernen einer benutzerdefinierten Quelle finden Sie unter. [Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake](custom-sources.md)

------
#### [ Console ]

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Wählen Sie im Navigationsbereich **Quellen** aus.

1. Wählen Sie eine Quelle aus und klicken Sie auf **Deaktivieren**.

1. Wählen Sie eine oder mehrere Regionen aus, in denen Sie die Erfassung von Daten aus dieser Quelle beenden möchten. Security Lake beendet die Erfassung von Daten aus der Quelle für *alle* Konten in den ausgewählten Regionen.

------
#### [ API ]

Verwenden Sie den [DeleteAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteAwsLogSource.html)Betrieb der Security Lake-API, um eine AWS-Service als Quelle programmgesteuert zu entfernen. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl aus. [delete-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-aws-log-source.html) Die Parameter `sourceName` und `regions` müssen angegeben werden. Optional können Sie den Umfang der Entfernung auf einen bestimmten `accounts` oder einen bestimmten Bereich beschränken`sourceVersion`.

**Wichtig**  
Wenn Sie in Ihrem Befehl keinen Parameter angeben, geht Security Lake davon aus, dass sich der fehlende Parameter auf den gesamten Satz bezieht. Wenn Sie den `accounts` Parameter beispielsweise nicht angeben, gilt der Befehl für die gesamte Gruppe von Konten in Ihrer Organisation.

Im folgenden Beispiel werden VPC Flow Logs als Quelle in den angegebenen Konten und Regionen entfernt.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

Im folgenden Beispiel wird Route 53 als Quelle im angegebenen Konto und in den angegebenen Regionen entfernt.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

Die obigen Beispiele sind für Linux, macOS oder Unix formatiert und verwenden zur besseren Lesbarkeit den umgekehrten Schrägstrich (\$1) als Zeilenfortsetzung.

------

# Sammeln von Daten aus benutzerdefinierten Quellen in Security Lake
<a name="custom-sources"></a>

Amazon Security Lake kann Protokolle und Ereignisse aus benutzerdefinierten Quellen von Drittanbietern sammeln. Eine benutzerdefinierte Security Lake-Quelle ist ein Drittanbieter-Service, der Sicherheitsprotokolle und Ereignisse an Amazon Security Lake sendet. Vor dem Senden der Daten muss die benutzerdefinierte Quelle die Protokolle und Ereignisse in das Open Cybersecurity Schema Framework (OCSF) konvertieren und die Quellanforderungen für Security Lake erfüllen, einschließlich Partitionierung, Parquet-Dateiformat sowie Anforderungen an Objektgröße und -rate.

Für jede benutzerdefinierte Quelle verarbeitet Security Lake Folgendes:
+ Stellt ein eindeutiges Präfix für die Quelle in Ihrem Amazon S3 S3-Bucket bereit.
+ Erstellt eine Rolle in AWS Identity and Access Management (IAM), die es einer benutzerdefinierten Quelle ermöglicht, Daten in den Data Lake zu schreiben. Die Berechtigungsgrenze für diese Rolle wird durch eine AWS verwaltete Richtlinie mit dem Namen [`AmazonSecurityLakePermissionsBoundary`](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary)festgelegt.
+ Erstellt eine AWS Lake Formation Tabelle zur Organisation von Objekten, die die Quelle in Security Lake schreibt.
+ Richtet einen AWS Glue Crawler ein, um Ihre Quelldaten zu partitionieren. Der Crawler füllt die AWS Glue Data Catalog mit der Tabelle. Außerdem erkennt er automatisch neue Quelldaten und extrahiert Schemadefinitionen.

**Anmerkung**  
Sie können einem Konto bis zu 50 benutzerdefinierte Protokollquellen hinzufügen.

Um Security Lake eine benutzerdefinierte Quelle hinzuzufügen, muss sie die folgenden Anforderungen erfüllen. Wenn diese Anforderungen nicht erfüllt werden, kann dies Auswirkungen auf die Leistung haben und sich auf Anwendungsfälle für Analysen wie Abfragen auswirken.
+ **Ziel** — Die benutzerdefinierte Quelle muss in der Lage sein, Daten als Gruppe von S3-Objekten unter dem der Quelle zugewiesenen Präfix in Security Lake zu schreiben. Bei Quellen, die mehrere Datenkategorien enthalten, sollten Sie jede eindeutige [Open Cybersecurity Schema Framework (OCSF) -Ereignisklasse](https://schema.ocsf.io/classes?extensions=) als separate Quelle bereitstellen. Security Lake erstellt eine IAM-Rolle, die es der benutzerdefinierten Quelle ermöglicht, an den angegebenen Speicherort in Ihrem S3-Bucket zu schreiben.
+ **Format** — Jedes S3-Objekt, das aus der benutzerdefinierten Quelle gesammelt wurde, sollte als Apache Parquet-Datei formatiert werden.
+ **Schema** — Dieselbe OCSF-Ereignisklasse sollte für jeden Datensatz innerhalb eines Parquet-formatierten Objekts gelten. Security Lake unterstützt die Versionen 1.x und 2.x von Parquet. Die Größe der Datenseite sollte auf 1 MB (unkomprimiert) begrenzt sein. Die Zeilengruppengröße sollte nicht größer als 256 MB (komprimiert) sein. Für die Komprimierung innerhalb des Parquet-Objekts wird Standard bevorzugt.
+ **Partitionierung** — Objekte müssen nach Region, AWS Konto und EventDay partitioniert werden. Objekten sollte ein Präfix vorangestellt werden. `source location/region=region/accountId=accountID/eventDay=yyyyMMdd/`
+ **Objektgröße und Geschwindigkeit** — An Security Lake gesendete Dateien sollten in Schritten zwischen 5 Minuten und einem Ereignistag gesendet werden. Kunden senden Dateien möglicherweise öfter als 5 Minuten, wenn Dateien größer als 256 MB sind. Die Objekt- und Größenanforderung besteht darin, Security Lake für die Abfrageleistung zu optimieren. Die Nichteinhaltung der benutzerdefinierten Quellanforderungen kann sich auf die Leistung von Security Lake auswirken.
+ **Sortierung** — In jedem Objekt im Parquet-Format sollten die Datensätze nach Zeit sortiert werden, um die Kosten für das Abfragen von Daten zu reduzieren.

**Anmerkung**  
Verwenden Sie das [OCSF-Validierungstool](https://github.com/aws-samples/amazon-security-lake-ocsf-validation), um zu überprüfen, ob die benutzerdefinierte Quelle mit dem kompatibel ist. `OCSF Schema` Für benutzerdefinierte Quellen unterstützt Security Lake OCSF Version 1.3 und früher.

## Partitionierungsanforderungen für die Aufnahme benutzerdefinierter Quellen in Security Lake
<a name="custom-sources-best-practices"></a>

Um eine effiziente Datenverarbeitung und Abfrage zu ermöglichen, müssen wir beim Hinzufügen einer benutzerdefinierten Quelle zu Security Lake die Anforderungen an Partitionierung sowie Objekt und Größe erfüllen:

**Partitionierung**  
Objekte sollten nach Quellort,, AWS-Region und Datum partitioniert werden. AWS-Konto  
+ Der Datenpfad der Partition ist wie folgt formatiert

   `/ext/custom-source-name/region=region/accountId=accountID/eventDay=YYYYMMDD`.

  Eine Beispielpartition mit einem Beispiel-Bucket-Namen ist`aws-security-data-lake-us-west-2-lake-uid/ext/custom-source-name/region=us-west-2/accountId=123456789012/eventDay=20230428/`.

In der folgenden Liste werden die in der S3-Pfadpartition verwendeten Parameter beschrieben:
+ Der Name des Amazon S3 S3-Buckets, in dem Security Lake Ihre benutzerdefinierten Quelldaten speichert.
+ `source-location`— Präfix für die benutzerdefinierte Quelle in Ihrem S3-Bucket. Security Lake speichert alle S3-Objekte für eine bestimmte Quelle unter diesem Präfix, und das Präfix ist für die angegebene Quelle eindeutig.
+ `region`— AWS-Region wohin die Daten hochgeladen werden. Sie müssen es beispielsweise verwenden, `US East (N. Virginia)` um Daten in Ihren Security Lake-Bucket in der Region USA Ost (Nord-Virginia) hochzuladen.
+ `accountId`— AWS-Konto ID, auf die sich die Datensätze in der Quellpartition beziehen. Für Datensätze, die sich auf Konten außerhalb von beziehen AWS, empfehlen wir die Verwendung einer Zeichenfolge wie `external` oder. `external_externalAccountId` Wenn Sie diese Benennungskonvektion anwenden, können Sie Unklarheiten bei der Benennung externer Konten vermeiden, IDs sodass sie nicht mit Konten IDs oder externen AWS Konten kollidieren, die von anderen IDs Identitätsmanagementsystemen verwaltet werden.
+ `eventDay`— UTC-Zeitstempel des Datensatzes, gekürzt auf eine Stunde, formatiert als achtstellige Zeichenfolge (). `YYYYMMDD` Wenn Datensätze im Event-Zeitstempel eine andere Zeitzone angeben, müssen Sie den Zeitstempel für diesen Partitionsschlüssel in UTC konvertieren.

## Voraussetzungen für das Hinzufügen einer benutzerdefinierten Quelle in Security Lake
<a name="iam-roles-custom-sources"></a>

Beim Hinzufügen einer benutzerdefinierten Quelle erstellt Security Lake eine IAM-Rolle, die es der Quelle ermöglicht, Daten an den richtigen Ort im Data Lake zu schreiben. Der Name der Rolle folgt dem Format`AmazonSecurityLake-Provider-{name of the custom source}-{region}`, AWS-Region in dem Sie die benutzerdefinierte Quelle hinzufügen. `region` Security Lake fügt der Rolle eine Richtlinie hinzu, die den Zugriff auf den Data Lake ermöglicht. Wenn Sie den Data Lake mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt haben, fügt Security Lake der Rolle auch eine Richtlinie `kms:Decrypt` und `kms:GenerateDataKey` Berechtigungen hinzu. Die Berechtigungsgrenze für diese Rolle wird durch eine AWS verwaltete Richtlinie mit dem Namen [`AmazonSecurityLakePermissionsBoundary`](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary)festgelegt.

**Topics**
+ [Überprüfen der Berechtigungen](#add-custom-sources-permissions)
+ [Erstellen Sie eine IAM-Rolle, um Schreibzugriff auf den Security Lake-Bucket-Speicherort zu gewähren (API und nur Schritt AWS CLI)](#iam-roles-glue-crawler)

### Überprüfen der Berechtigungen
<a name="add-custom-sources-permissions"></a>

Stellen Sie vor dem Hinzufügen einer benutzerdefinierten Quelle sicher, dass Sie über die erforderlichen Berechtigungen verfügen, um die folgenden Aktionen auszuführen.

Um Ihre Berechtigungen zu überprüfen, verwenden Sie IAM, um die IAM-Richtlinien zu überprüfen, die mit Ihrer IAM-Identität verknüpft sind. Vergleichen Sie dann die Informationen in diesen Richtlinien mit der folgenden Liste von Aktionen, die Sie ausführen dürfen müssen, um eine benutzerdefinierte Quelle hinzuzufügen. 
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StopCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`

Diese Aktionen ermöglichen es Ihnen, Protokolle und Ereignisse aus einer benutzerdefinierten Quelle zu sammeln, sie an die richtige AWS Glue Datenbank und Tabelle zu senden und sie in Amazon S3 zu speichern.

Wenn Sie einen AWS KMS Schlüssel für die serverseitige Verschlüsselung Ihres Data Lakes verwenden, benötigen Sie auch die Erlaubnis für `kms:CreateGrant``kms:DescribeKey`, und`kms:GenerateDataKey`.

**Wichtig**  
Wenn Sie die Security Lake-Konsole verwenden möchten, um eine benutzerdefinierte Quelle hinzuzufügen, können Sie den nächsten Schritt überspringen und mit fortfahren[Hinzufügen einer benutzerdefinierten Quelle in Security Lake](adding-custom-sources.md). Die Security Lake-Konsole bietet einen optimierten Prozess für den Einstieg und erstellt alle erforderlichen IAM-Rollen oder verwendet bestehende Rollen in Ihrem Namen.  
Wenn Sie die Security Lake-API verwenden oder eine benutzerdefinierte Quelle hinzufügen AWS CLI möchten, fahren Sie mit dem nächsten Schritt fort, um eine IAM-Rolle zu erstellen, die Schreibzugriff auf den Security Lake-Bucket-Speicherort ermöglicht.

### Erstellen Sie eine IAM-Rolle, um Schreibzugriff auf den Security Lake-Bucket-Speicherort zu gewähren (API und nur Schritt AWS CLI)
<a name="iam-roles-glue-crawler"></a>

Wenn Sie die Security Lake-API verwenden oder eine benutzerdefinierte Quelle hinzufügen AWS CLI möchten, fügen Sie diese IAM-Rolle hinzu, um die AWS Glue Erlaubnis zu erteilen, Ihre benutzerdefinierten Quelldaten zu crawlen und Partitionen in den Daten zu identifizieren. Diese Partitionen sind erforderlich, um Ihre Daten zu organisieren und Tabellen im Datenkatalog zu erstellen und zu aktualisieren.

Nachdem Sie diese IAM-Rolle erstellt haben, benötigen Sie den Amazon-Ressourcennamen (ARN) der Rolle, um eine benutzerdefinierte Quelle hinzuzufügen.

Sie müssen die `arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole` AWS verwaltete Richtlinie anhängen.

Um die erforderlichen Berechtigungen zu gewähren, müssen Sie außerdem die folgende Inline-Richtlinie erstellen und in Ihre Rolle einbetten, AWS-Glue-Crawler um das Lesen von Datendateien aus der benutzerdefinierten Quelle und create/update den Tabellen im AWS Glue Datenkatalog zu ermöglichen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3WriteRead",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Fügen Sie die folgende Vertrauensrichtlinie hinzu, um zuzulassen, dass eine AWS-Konto Person anhand der externen ID die Rolle übernehmen kann:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Wenn der S3-Bucket in der Region, in der Sie die benutzerdefinierte Quelle hinzufügen, mit einem vom Kunden verwalteten Bucket verschlüsselt ist AWS KMS key, müssen Sie der Rolle und Ihrer KMS-Schlüsselrichtlinie auch die folgende Richtlinie hinzufügen:

```
{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
        "kms:Decrypt"
    ],
    "Condition": {
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::{{name of S3 bucket created by Security Lake}"
            ]
        }
    },
    "Resource": [
        "{{ARN of customer managed key}}"
    ]
}
```

# Hinzufügen einer benutzerdefinierten Quelle in Security Lake
<a name="adding-custom-sources"></a>

Nachdem Sie die IAM-Rolle zum Aufrufen des AWS Glue Crawlers erstellt haben, gehen Sie wie folgt vor, um eine benutzerdefinierte Quelle in Security Lake hinzuzufügen.

------
#### [ Console ]

1. Öffnen Sie die Security Lake-Konsole unter. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie die benutzerdefinierte Quelle erstellen möchten.

1. Wählen Sie im Navigationsbereich **Benutzerdefinierte Quellen** und dann Benutzerdefinierte Quelle **erstellen** aus.

1. Geben Sie im Abschnitt **Benutzerdefinierte Quelldetails** einen weltweit eindeutigen Namen für Ihre benutzerdefinierte Quelle ein. Wählen Sie dann eine OCSF-Ereignisklasse aus, die den Datentyp beschreibt, den die benutzerdefinierte Quelle an Security Lake sendet.

1. Geben Sie für **AWS-Konto mit der Berechtigung zum Schreiben von Daten** die **AWS-Konto ID** und die **externe ID** der benutzerdefinierten Quelle ein, die Protokolle und Ereignisse in den Data Lake schreibt.

1. Erstellen und verwenden Sie für **Service Access** eine neue Servicerolle oder verwenden Sie eine vorhandene Servicerolle, die Security Lake die Berechtigung zum Aufrufen AWS Glue erteilt.

1. Wählen Sie **Erstellen** aus.

------
#### [ API ]

Verwenden Sie den [CreateCustomLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateCustomLogSource.html)Betrieb der Security Lake-API, um programmgesteuert eine benutzerdefinierte Quelle hinzuzufügen. Verwenden Sie den Vorgang AWS-Region dort, wo Sie die benutzerdefinierte Quelle erstellen möchten. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den [create-custom-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-custom-log-source.html)Befehl aus.

Verwenden Sie in Ihrer Anfrage die unterstützten Parameter, um die Konfigurationseinstellungen für die benutzerdefinierte Quelle anzugeben:
+ `sourceName`— Geben Sie einen Namen für die Quelle an. Der Name muss ein regional eindeutiger Wert sein.
+ `eventClasses`— Geben Sie eine oder mehrere OCSF-Ereignisklassen an, um den Datentyp zu beschreiben, den die Quelle an Security Lake sendet. Eine Liste der OCSF-Ereignisklassen, die in Security Lake als Quelle unterstützt werden, finden Sie unter [Open Cybersecurity Schema Framework (OCSF](https://schema.ocsf.io/classes?extensions)).
+ `sourceVersion`— Geben Sie optional einen Wert an, um die Protokollerfassung auf eine bestimmte Version von benutzerdefinierten Quelldaten zu beschränken.
+ `crawlerConfiguration`— Geben Sie den Amazon-Ressourcennamen (ARN) der IAM-Rolle an, die Sie zum Aufrufen des AWS Glue Crawlers erstellt haben. Die detaillierten Schritte zum Erstellen einer IAM-Rolle finden Sie unter [Voraussetzungen für das Hinzufügen einer benutzerdefinierten Quelle](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#iam-roles-glue-crawler)
+ `providerIdentity`— Geben Sie die AWS Identität und die externe ID an, die die Quelle zum Schreiben von Protokollen und Ereignissen in den Data Lake verwenden soll.

Im folgenden Beispiel wird dem angegebenen Protokollanbieter-Konto in bestimmten Regionen eine benutzerdefinierte Quelle als Protokollquelle hinzugefügt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake create-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE \
--event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
--configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"}  \
--region=[“ap-southeast-2”]
```

------

## Halten Sie die benutzerdefinierten Quelldaten auf dem neuesten Stand in AWS Glue
<a name="maintain-glue-schema"></a>

Nachdem Sie eine benutzerdefinierte Quelle in Security Lake hinzugefügt haben, erstellt Security Lake einen AWS Glue Crawler. Der Crawler stellt eine Verbindung zu Ihrer benutzerdefinierten Quelle her, bestimmt die Datenstrukturen und füllt den AWS Glue Datenkatalog mit Tabellen.

Wir empfehlen, den Crawler manuell auszuführen, um Ihr benutzerdefiniertes Quellschema auf dem neuesten Stand zu halten und die Abfragefunktionen in Athena und anderen Abfragediensten aufrechtzuerhalten. Insbesondere sollten Sie den Crawler ausführen, wenn eine der folgenden Änderungen in Ihrem Eingabedatensatz für eine benutzerdefinierte Quelle eintritt:
+ Der Datensatz hat eine oder mehrere neue Spalten auf oberster Ebene.
+ Der Datensatz enthält ein oder mehrere neue Felder in einer Spalte mit einem `struct` Datentyp.

*Anweisungen zum Ausführen eines Crawlers finden Sie unter [Planung eines AWS Glue Crawlers](https://docs.aws.amazon.com/glue/latest/dg/schedule-crawler.html) im Entwicklerhandbuch.AWS Glue *

Security Lake kann bestehende Crawler in Ihrem Konto nicht löschen oder aktualisieren. Wenn Sie eine benutzerdefinierte Quelle löschen, empfehlen wir, den zugehörigen Crawler zu löschen, wenn Sie in future eine benutzerdefinierte Quelle mit demselben Namen erstellen möchten.

## Unterstützte OCSF-Ereignisklassen
<a name="ocsf-eventclass"></a>

Die Open Cybersecurity Schema Framework (OCSF) -Ereignisklassen beschreiben den Datentyp, den die benutzerdefinierte Quelle an Security Lake sendet. Die Liste der unterstützten Ereignisklassen lautet:

```
public enum OcsfEventClass {
    ACCOUNT_CHANGE,
    API_ACTIVITY,
    APPLICATION_LIFECYCLE,
    AUTHENTICATION,
    AUTHORIZE_SESSION,
    COMPLIANCE_FINDING,
    DATASTORE_ACTIVITY,
    DEVICE_CONFIG_STATE,
    DEVICE_CONFIG_STATE_CHANGE,
    DEVICE_INVENTORY_INFO,
    DHCP_ACTIVITY,
    DNS_ACTIVITY,
    DETECTION_FINDING,
    EMAIL_ACTIVITY,
    EMAIL_FILE_ACTIVITY,
    EMAIL_URL_ACTIVITY,
    ENTITY_MANAGEMENT,
    FILE_HOSTING_ACTIVITY,
    FILE_SYSTEM_ACTIVITY,
    FTP_ACTIVITY,
    GROUP_MANAGEMENT,
    HTTP_ACTIVITY,
    INCIDENT_FINDING,
    KERNEL_ACTIVITY,
    KERNEL_EXTENSION,
    MEMORY_ACTIVITY,
    MODULE_ACTIVITY,
    NETWORK_ACTIVITY,
    NETWORK_FILE_ACTIVITY,
    NTP_ACTIVITY,
    PATCH_STATE,
    PROCESS_ACTIVITY,
    RDP_ACTIVITY,
    REGISTRY_KEY_ACTIVITY,
    REGISTRY_VALUE_ACTIVITY,
    SCHEDULED_JOB_ACTIVITY,
    SCAN_ACTIVITY,
    SECURITY_FINDING,
    SMB_ACTIVITY,
    SSH_ACTIVITY,
    USER_ACCESS,
    USER_INVENTORY,
    VULNERABILITY_FINDING,
    WEB_RESOURCE_ACCESS_ACTIVITY,
    WEB_RESOURCES_ACTIVITY,
    WINDOWS_RESOURCE_ACTIVITY,
    // 1.3 OCSF event classes
    ADMIN_GROUP_QUERY,
    DATA_SECURITY_FINDING,
    EVENT_LOG_ACTIVITY,
    FILE_QUERY,
    FILE_REMEDIATION_ACTIVITY,
    FOLDER_QUERY,
    JOB_QUERY,
    KERNEL_OBJECT_QUERY,
    MODULE_QUERY,
    NETWORK_CONNECTION_QUERY,
    NETWORK_REMEDIATION_ACTIVITY,
    NETWORKS_QUERY,
    PERIPHERAL_DEVICE_QUERY,
    PROCESS_QUERY,
    PROCESS_REMEDIATION_ACTIVITY,
    REMEDIATION_ACTIVITY,
    SERVICE_QUERY,
    SOFTWARE_INVENTORY_INFO,
    TUNNEL_ACTIVITY,
    USER_QUERY,
    USER_SESSION_QUERY,
    // 1.3 OCSF event classes (Win extension)
    PREFETCH_QUERY,
    REGISTRY_KEY_QUERY,
    REGISTRY_VALUE_QUERY,
    WINDOWS_SERVICE_ACTIVITY
}
```

# Löschen einer benutzerdefinierten Quelle aus Security Lake
<a name="delete-custom-source"></a>

Löschen Sie eine benutzerdefinierte Quelle, um das Senden von Daten von der Quelle an Security Lake zu beenden. Wenn Sie die Quelle entfernen, beendet Security Lake die Erfassung von Daten aus dieser Quelle in den angegebenen Regionen und Konten, und Abonnenten können keine neuen Daten mehr aus der Quelle nutzen. Abonnenten können jedoch weiterhin Daten nutzen, die Security Lake vor dem Entfernen aus der Quelle gesammelt hat. Sie können diese Anweisungen nur verwenden, um eine benutzerdefinierte Quelle zu entfernen. Informationen zum Entfernen einer nativ unterstützten Datei finden Sie unter AWS-Service. [Sammeln von Daten AWS-Services aus Security Lake](custom-sources.md)

Wenn Sie eine benutzerdefinierte Quelle in Security Lake löschen, müssen Sie jede Quelle außerhalb der Security Lake-Konsole mit der Quelle deaktivieren. Wenn eine Integration nicht deaktiviert wird, kann dies dazu führen, dass Quellintegrationen weiterhin Logs an Amazon S3 senden. 

------
#### [ Console ]

1. Öffnen Sie die Security Lake-Konsole unter [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Wählen Sie mithilfe der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, aus der Sie die benutzerdefinierte Quelle entfernen möchten.

1. **Wählen Sie im Navigationsbereich Benutzerdefinierte Quellen aus.**

1. Wählen Sie die benutzerdefinierte Quelle aus, die Sie entfernen möchten.

1. Wählen **Sie Benutzerdefinierte Quelle abmelden** und anschließend **Löschen**, um die Aktion zu bestätigen.

------
#### [ API ]

Um eine benutzerdefinierte Quelle programmgesteuert zu löschen, verwenden Sie den [DeleteCustomLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteCustomLogSource.html)Betrieb der Security Lake-API. Wenn Sie AWS Command Line Interface (AWS CLI) verwenden, führen Sie den Befehl aus. [delete-custom-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-custom-log-source.html) Verwenden Sie den Vorgang an der AWS-Region Stelle, an der Sie die benutzerdefinierte Quelle löschen möchten.

Verwenden Sie in Ihrer Anfrage den `sourceName` Parameter, um den Namen der benutzerdefinierten Quelle anzugeben, die gelöscht werden soll. Oder geben Sie den Namen der benutzerdefinierten Quelle an und verwenden Sie den `sourceVersion` Parameter, um den Umfang des Löschvorgangs auf eine bestimmte Version von Daten aus der benutzerdefinierten Quelle zu beschränken.

Im folgenden Beispiel wird eine benutzerdefinierte Protokollquelle aus Security Lake gelöscht.

Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securitylake delete-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE
```

------