Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione del codice sorgente in Security Lake
<a name="source-management"></a>

Le fonti sono log ed eventi generati da un singolo sistema che corrispondono a una classe di eventi specifica nello [Open Cybersecurity Schema Framework (OCSF) in Security Lake](open-cybersecurity-schema-framework.md) schema. Amazon Security Lake può raccogliere log ed eventi da diverse fonti, incluse fonti supportate nativamente Servizi AWS e fonti personalizzate di terze parti.

Security Lake esegue processi di estrazione, trasformazione e caricamento (ETL) su dati di origine non elaborati e converte i dati nel formato Apache Parquet e nello schema OCSF. Dopo l'elaborazione, Security Lake archivia i dati di origine in un bucket Amazon Simple Storage Service (Amazon S3) nel Account AWS tuo contenitore in cui Regione AWS i dati sono stati generati. Security Lake crea un bucket Amazon S3 diverso per ogni regione in cui abiliti il servizio. Ogni fonte riceve un prefisso separato nel bucket S3 e Security Lake organizza i dati di ciascuna fonte in un set separato di tabelle. AWS Lake Formation 

**Topics**
+ [

# Raccolta di dati da Servizi AWS Security Lake
](internal-sources.md)
+ [

# Raccolta di dati da fonti personalizzate in Security Lake
](custom-sources.md)

# Raccolta di dati da Servizi AWS Security Lake
<a name="internal-sources"></a>

Amazon Security Lake può raccogliere log ed eventi dai seguenti elementi supportati Servizi AWS nativamente:
+ AWS CloudTrail gestione ed eventi relativi ai dati (S3, Lambda)
+ Registri di controllo di Amazon Elastic Kubernetes Service (Amazon EKS)
+ Log di query di Amazon Route 53 Resolver
+ AWS Security Hub CSPM risultati
+ Log di flusso Amazon Virtual Private Cloud (Amazon VPC)
+ AWS WAF registri v2

Security Lake trasforma automaticamente questi dati nel formato Apache [Open Cybersecurity Schema Framework (OCSF) in Security Lake](open-cybersecurity-schema-framework.md) Parquet.

**Suggerimento**  
 Per aggiungere uno o più dei servizi precedenti come origine di registro in Security Lake, *non* è necessario configurare separatamente la registrazione in questi servizi, ad eccezione degli eventi di gestione. CloudTrail Se la registrazione è configurata in questi servizi, *non* è necessario modificare la configurazione di registrazione per aggiungerli come sorgenti di registro in Security Lake. Security Lake estrae i dati direttamente da questi servizi attraverso un flusso di eventi indipendente e duplicato. 



## Prerequisito: verificare le autorizzazioni
<a name="add-internal-sources-permissions"></a>

Per aggiungere un file Servizio AWS come fonte in Security Lake, è necessario disporre delle autorizzazioni necessarie. Verifica che la policy AWS Identity and Access Management (IAM) allegata al ruolo che utilizzi per aggiungere una fonte sia autorizzata a eseguire le seguenti azioni:
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:GetDatabase`
+ `glue:GetTable`
+ `glue:UpdateTable`
+ `iam:CreateServiceLinkedRole`
+ `s3:GetObject`
+ `s3:PutObject`

È consigliabile che il ruolo soddisfi le condizioni e l'ambito di risorse seguenti per le `s3:PutObject` autorizzazioni `S3:getObject` e.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowUpdatingSecurityLakeS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::aws-security-data-lake*",
              "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
    }
    ]
}
```

------

Queste azioni consentono di raccogliere registri ed eventi da un utente e inviarli al AWS Glue database Servizio AWS e alla tabella corretti.

Se utilizzi una AWS KMS chiave per la crittografia lato server del tuo data lake, ti serve anche l'autorizzazione per. `kms:DescribeKey`

## Aggiungere un file Servizio AWS come fonte
<a name="add-internal-sources"></a>

Dopo aver aggiunto un file Servizio AWS come fonte, Security Lake inizia automaticamente a raccogliere i registri di sicurezza e gli eventi da esso. Queste istruzioni spiegano come aggiungere una sorgente supportata nativamente in Security Servizio AWS Lake. Per istruzioni sull'aggiunta di una fonte personalizzata, consulta. [Raccolta di dati da fonti personalizzate in Security Lake](custom-sources.md)

------
#### [ Console ]

**Per aggiungere una fonte di AWS registro (console)**

1. Aprire la console Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Scegli **Sorgenti** dal pannello di navigazione.

1. Seleziona Servizio AWS quello da cui desideri raccogliere i dati e scegli **Configura**. 

1. Nella sezione **Impostazioni della fonte**, abilita la fonte e seleziona la **versione** dell'origine dati che desideri utilizzare per l'ingestione dei dati. Per impostazione predefinita, la versione più recente dell'origine dati viene acquisita da Security Lake.
**Importante**  
Se non disponi delle autorizzazioni di ruolo necessarie per abilitare la nuova versione dell'origine del AWS registro nella regione specificata, contatta l'amministratore di Security Lake. Per ulteriori informazioni, consulta [Aggiornare le autorizzazioni dei ruoli](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html#update-role-permissions).

   Affinché i tuoi abbonati possano importare la versione selezionata dell'origine dati, devi anche aggiornare le impostazioni degli abbonati. Per i dettagli su come modificare un abbonato, consulta [Gestione degli abbonati in Amazon Security Lake](https://docs.aws.amazon.com//security-lake/latest/userguide/subscriber-management.html).

   Facoltativamente, puoi scegliere di importare solo la versione più recente e disabilitare tutte le versioni di origine precedenti utilizzate per l'inserimento dei dati. 

1. Nella sezione **Regioni**, seleziona le regioni in cui desideri raccogliere i dati per l'origine. Security Lake raccoglierà i dati dalla fonte da *tutti* gli account nelle regioni selezionate.

1. Scegli **Abilita **.

------
#### [ API ]

**Per aggiungere una fonte di AWS registro (API)**

Per aggiungere un file Servizio AWS come sorgente a livello di codice, utilizza il [CreateAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateAwsLogSource.html)funzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il [create-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-aws-log-source.html)comando. I parametri `sourceName` e `regions` sono obbligatori. Facoltativamente, puoi limitare l'ambito della fonte a uno specifico `accounts` o a uno specifico`sourceVersion`.

**Importante**  
Quando non si fornisce un parametro nel comando, Security Lake presuppone che il parametro mancante si riferisca all'intero set. Ad esempio, se non si fornisce il `accounts` parametro, il comando si applica all'intero set di account dell'organizzazione.

L'esempio seguente aggiunge i log di flusso VPC come origine negli account e nelle regioni designati. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

**Nota**  
Se applichi questa richiesta a una regione in cui non hai abilitato Security Lake, riceverai un errore. Puoi risolvere l'errore abilitando Security Lake in quella regione o utilizzando il `regions` parametro per specificare solo le regioni in cui hai abilitato Security Lake.

```
$ aws securitylake create-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions=["us-east-2"],sourceVersion="2.0"
```

------

## Ottenere lo stato della raccolta dei sorgenti
<a name="get-status-internal-sources"></a>

Scegli il tuo metodo di accesso e segui i passaggi per ottenere un'istantanea degli account e delle fonti per i quali è abilitata la raccolta dei log nella regione corrente.

------
#### [ Console ]

**Per conoscere lo stato della raccolta dei log nella regione corrente**

1. Aprire la console di Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Nel riquadro di navigazione, scegli **Account**.

1. Posiziona il cursore sul numero nella colonna **Sorgenti** per vedere quali registri sono abilitati per l'account selezionato.

------
#### [ API ]

Per conoscere lo stato della raccolta dei log nella regione corrente, utilizza il [GetDataLakeSources](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_GetDataLakeSources.html)funzionamento dell'API Security Lake. Se stai usando AWS CLI, esegui il [get-data-lake-sources](https://docs.aws.amazon.com/cli/latest/reference/securitylake/get-data-lake-sources.html)comando. Per il `accounts` parametro, puoi specificarne uno o più Account AWS IDs come elenco. Se la richiesta ha esito positivo, Security Lake restituisce un'istantanea per gli account nella regione corrente, incluse AWS le fonti da cui Security Lake raccoglie i dati e lo stato di ciascuna fonte. Se non si include il `accounts` parametro, la risposta include lo stato della raccolta dei log per tutti gli account in cui Security Lake è configurato nella regione corrente.

Ad esempio, il AWS CLI comando seguente recupera lo stato della raccolta dei registri per gli account specificati nella regione corrente. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securitylake get-data-lake-sources \
--accounts "123456789012" "111122223333"
```

------

# Aggiornamento delle autorizzazioni dei ruoli in Security Lake
<a name="update-role-permissions"></a>

Se non disponi delle autorizzazioni o delle risorse necessarie (nuova AWS Lambda funzione e coda Amazon Simple Queue Service (Amazon SQS) per importare dati da una nuova versione dell'origine dati, devi aggiornare le autorizzazioni del ruolo e creare un nuovo set di risorse per elaborare i dati dalle `AmazonSecurityLakeMetaStoreManagerV2` tue fonti.

Scegli il tuo metodo preferito e segui le istruzioni per aggiornare le autorizzazioni del ruolo e creare nuove risorse per elaborare i dati da una nuova versione di un'origine di AWS registro in una regione specificata. Si tratta di un'azione unica, poiché le autorizzazioni e le risorse vengono applicate automaticamente alle future versioni delle fonti di dati.

------
#### [ Console ]

**Per aggiornare le autorizzazioni dei ruoli (console)**

1. Aprire la console Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

   Accedi con le credenziali dell'amministratore delegato di Security Lake.

1. Nel riquadro di navigazione, in **Settings (Impostazioni)**, scegliere **General (Generali)**.

1. Scegli **Aggiorna le autorizzazioni del ruolo**.

1. Nella sezione **Accesso al servizio**, esegui una delle seguenti operazioni: 
   + **Creare e utilizzare un nuovo ruolo di servizio**: è possibile utilizzare il ruolo **AmazonSecurityLakeMetaStoreManagerV2** creato da Security Lake.
   + **Usa un ruolo di servizio esistente**: puoi scegliere un ruolo di servizio esistente dall'elenco dei **nomi del ruolo di servizio**. 

1. Scegli **Applica**.

------
#### [ API ]

**Per aggiornare le autorizzazioni dei ruoli (API)**

Per aggiornare le autorizzazioni a livello di codice, utilizza il [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_UpdateDataLake.html)funzionamento dell'API Security Lake. Per aggiornare le autorizzazioni utilizzando AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html](https://docs.aws.amazon.com/cli/latest/reference/securitylake/update-data-lake.html) 

Per aggiornare le autorizzazioni del ruolo, è necessario allegare la [AmazonSecurityLakeMetastoreManager](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakeMetastoreManager)policy al ruolo. 

------

## Eliminazione del ruolo AmazonSecurityLakeMetaStoreManager
<a name="remove-sl-metastoremanager-role"></a>

**Importante**  
Dopo aver aggiornato le autorizzazioni del ruolo a`AmazonSecurityLakeMetaStoreManagerV2`, verifica che il data lake funzioni correttamente prima di rimuovere il vecchio `AmazonSecurityLakeMetaStoreManager` ruolo. Si consiglia di attendere almeno 4 ore prima di rimuovere il ruolo.

 Se decidi di rimuovere il ruolo, devi prima eliminare il `AmazonSecurityLakeMetaStoreManager` ruolo da AWS Lake Formation. 

Segui questi passaggi per rimuovere il `AmazonSecurityLakeMetaStoreManager` ruolo dalla console di Lake Formation.

1. Accedi a Console di gestione AWS, e apri la console Lake Formation all'indirizzo [https://console.aws.amazon.com/lakeformation/](https://console.aws.amazon.com/lakeformation/).

1. Nella console di Lake Formation, dal riquadro di navigazione, scegli **Ruoli e attività amministrative**.

1. Rimuovi `AmazonSecurityLakeMetaStoreManager` da ogni regione.

# Rimozione di un file Servizio AWS come sorgente da Security Lake
<a name="remove-internal-sources"></a>

Scegli il tuo metodo di accesso e segui questi passaggi per rimuovere una fonte Security Lake supportata Servizio AWS nativamente. Puoi rimuovere una fonte per una o più regioni. Quando rimuovi la fonte, Security Lake interrompe la raccolta di dati da tale fonte nelle regioni e negli account specificati e gli abbonati non possono più consumare nuovi dati dalla fonte. Tuttavia, gli abbonati possono comunque utilizzare i dati raccolti da Security Lake dalla fonte prima della rimozione. È possibile utilizzare queste istruzioni solo per rimuovere una fonte supportata in modo nativo Servizio AWS . Per informazioni sulla rimozione di una fonte personalizzata, consulta. [Raccolta di dati da fonti personalizzate in Security Lake](custom-sources.md)

------
#### [ Console ]

1. Aprire la console di Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Scegli **Sorgenti** dal pannello di navigazione.

1. Seleziona una fonte e scegli **Disattiva**.

1. Seleziona una o più regioni in cui desideri interrompere la raccolta di dati da questa fonte. Security Lake smetterà di raccogliere dati dalla fonte da *tutti* gli account nelle regioni selezionate.

------
#### [ API ]

Per rimuovere un file Servizio AWS come fonte a livello di codice, utilizza il [DeleteAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteAwsLogSource.html)funzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il [delete-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-aws-log-source.html)comando. I parametri `sourceName` e `regions` sono obbligatori. Facoltativamente, puoi limitare l'ambito della rimozione a uno specifico `accounts` o a uno specifico`sourceVersion`.

**Importante**  
Quando non si fornisce un parametro nel comando, Security Lake presuppone che il parametro mancante si riferisca all'intero set. Ad esempio, se non si fornisce il `accounts` parametro, il comando si applica all'intero set di account dell'organizzazione.

L'esempio seguente rimuove i log di flusso VPC come origine negli account e nelle regioni designati.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

L'esempio seguente rimuove Route 53 come origine nell'account e nelle regioni designati.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

Gli esempi precedenti sono formattati per Linux, macOS o Unix e utilizzano il carattere di continuazione di riga rovesciata (\$1) per migliorare la leggibilità.

------

# CloudTrail registri degli eventi in Security Lake
<a name="cloudtrail-event-logs"></a>

AWS CloudTrail fornisce una cronologia delle chiamate AWS API per l'account, incluse le chiamate API effettuate utilizzando gli Console di gestione AWS strumenti a riga di comando e determinati AWS servizi. AWS SDKs CloudTrail consente inoltre di identificare gli utenti e gli account che hanno richiesto AWS APIs i servizi supportati CloudTrail, l'indirizzo IP di origine da cui sono state effettuate le chiamate e quando sono state effettuate le chiamate. Per ulteriori informazioni, consulta la [Guida per l'utente AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

Security Lake può raccogliere i log associati agli eventi di CloudTrail gestione e agli eventi relativi ai CloudTrail dati per S3 e Lambda. CloudTrail gli eventi di gestione, gli eventi sui dati S3 e gli eventi sui dati Lambda sono tre fonti separate in Security Lake. Di conseguenza, hanno valori diversi [https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_AwsLogSourceConfiguration.html#securitylake-Type-AwsLogSourceConfiguration-sourceName)se ne aggiungi uno come fonte di log importata. Gli eventi di gestione, noti anche come eventi del piano di controllo, forniscono informazioni dettagliate sulle operazioni di gestione eseguite sulle risorse dell'azienda. Account AWS CloudTrail gli eventi relativi ai dati, noti anche come operazioni sul piano dati, mostrano le operazioni sulle risorse eseguite sulle risorse o all'interno di esse Account AWS. Queste operazioni sono spesso attività ad alto volume.

Per raccogliere eventi di CloudTrail gestione in Security Lake, è necessario disporre di almeno un percorso organizzativo CloudTrail multiregionale che raccolga gli eventi di gestione di lettura e scrittura CloudTrail . La registrazione deve essere abilitata per il percorso. Se la registrazione è configurata negli altri servizi, non è necessario modificare la configurazione di registrazione per aggiungerli come fonti di registro in Security Lake. Security Lake estrae i dati direttamente da questi servizi attraverso un flusso di eventi indipendente e duplicato.

Un percorso multiregionale fornisce file di log da più regioni a un singolo bucket Amazon Simple Storage Service (Amazon S3) per un singolo bucket. Account AWS Se disponi già di un percorso multiregionale gestito tramite CloudTrail console oppure non sono AWS Control Tower necessarie ulteriori azioni.
+ Per informazioni sulla creazione e la gestione di un itinerario CloudTrail, consulta [Creazione di un itinerario per un'organizzazione](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) nella *Guida per l'AWS CloudTrail utente*. 
+ Per informazioni sulla creazione e la gestione di un percorso AWS Control Tower, consulta [Logging AWS Control Tower actions with AWS CloudTrail](https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html) nella *Guida per l'AWS Control Tower utente*.

Quando aggiungi CloudTrail eventi come fonte, Security Lake inizia immediatamente a raccogliere i registri CloudTrail degli eventi. Utilizza gli eventi di CloudTrail gestione e dati direttamente da CloudTrail un flusso di eventi indipendente e duplicato.

Security Lake non gestisce gli CloudTrail eventi né influisce sulle configurazioni esistenti CloudTrail . Per gestire direttamente l'accesso e la conservazione degli CloudTrail eventi, è necessario utilizzare la console di CloudTrail servizio o l'API. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.

L'elenco seguente fornisce i collegamenti del GitHub repository ai riferimenti di mappatura relativi al modo in cui Security Lake normalizza CloudTrail gli eventi in OCSF.

****GitHub CloudTrail Archivio OCSF per eventi****
+ [Versione sorgente 1 (v1.0.0-rc.2)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/CloudTrail)
+ [Versione sorgente 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/CloudTrail)

# Registri di controllo di Amazon EKS in Security Lake
<a name="eks-audit-logs"></a>

Quando aggiungi Amazon EKS Audit Logs come fonte, Security Lake inizia a raccogliere informazioni approfondite sulle attività eseguite sulle risorse Kubernetes in esecuzione nei cluster Elastic Kubernetes Service (EKS). I registri di controllo EKS ti aiutano a rilevare attività potenzialmente sospette nei tuoi cluster EKS all'interno di Amazon Elastic Kubernetes Service. 

Security Lake utilizza gli eventi EKS Audit Log direttamente dalla funzionalità di registrazione del piano di controllo di Amazon EKS attraverso un flusso indipendente e duplicato di log di audit. Questo processo è progettato per non richiedere configurazioni aggiuntive né influire sulle configurazioni di registrazione del piano di controllo di Amazon EKS esistenti che potresti avere. Per ulteriori informazioni, consulta la [registrazione del piano di controllo di Amazon EKS](https://docs.aws.amazon.com//eks/latest/userguide/control-plane-logs.html) nella **Guida per l'utente di Amazon EKS**.

I log di controllo di Amazon EKS sono supportati solo in OCSF v1.1.0. Per informazioni su come Security Lake normalizza gli eventi EKS Audit Logs in OCSF, consulta il riferimento alla mappatura nel [GitHub repository OCSF per gli eventi di Amazon](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/EKS Audit Logs) EKS Audit Logs (v1.1.0).

# Registri delle query del resolver Route 53 in Security Lake
<a name="route-53-logs"></a>

I log delle query del resolver Route 53 tengono traccia delle query DNS effettuate dalle risorse all'interno del tuo Amazon Virtual Private Cloud (Amazon VPC). Questo ti aiuta a capire come funzionano le tue applicazioni e a individuare le minacce alla sicurezza.

Quando aggiungete i log delle query del resolver Route 53 come origine in Security Lake, Security Lake inizia immediatamente a raccogliere i log delle query del resolver direttamente da Route 53 attraverso un flusso di eventi indipendente e duplicato.

Security Lake non gestisce i log di Route 53 né influisce sulle configurazioni di registrazione delle query del resolver esistenti. Per gestire i log delle interrogazioni del resolver, è necessario utilizzare la console di servizio Route 53. Per ulteriori informazioni, consulta [Managing Resolver Query Logging configurations nella](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logging-configurations-managing.html) *Amazon Route* 53 Developer Guide.

L'elenco seguente fornisce collegamenti ai GitHub repository ai riferimenti di mappatura su come Security Lake normalizza i log di Route 53 in OCSF.

****GitHub Archivio OCSF per i log di Route 53****
+ [Versione sorgente 1 (v1.0.0-rc.2)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/Route53)
+ [Versione sorgente 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/Route53)

# Risultati CSPM di Security Hub in Security Lake
<a name="security-hub-findings"></a>

I risultati del Security Hub CSPM ti aiutano a comprendere la tua posizione in materia di sicurezza AWS e ti consentono di verificare il tuo ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub CSPM raccoglie i risultati da varie fonti, comprese le integrazioni con altre Servizi AWS integrazioni di prodotti di terze parti e i controlli CSPM di Security Hub. Security Hub CSPM elabora i risultati in un formato standard chiamato AWS Security Finding Format (ASFF).

Quando aggiungi i risultati CSPM di Security Hub come fonte in Security Lake, Security Lake inizia immediatamente a raccogliere i risultati direttamente da Security Hub CSPM attraverso un flusso di eventi indipendente e duplicato. Security Lake trasforma anche i risultati da ASFF a (OCSF). [Open Cybersecurity Schema Framework (OCSF) in Security Lake](open-cybersecurity-schema-framework.md)

Security Lake non gestisce i risultati del CSPM di Security Hub né influisce sulle impostazioni CSPM di Security Hub. Per gestire i risultati CSPM di Security Hub, è necessario utilizzare la console del servizio Security Hub CSPM, l'API o. AWS CLI*Per ulteriori informazioni, vedere [Findings AWS Security Hub CSPM nella Guida](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) per l'utente.AWS Security Hub *

L'elenco seguente fornisce collegamenti al GitHub repository al riferimento di mappatura su come Security Lake normalizza i risultati CSPM di Security Hub in OCSF.

****GitHub Archivio OCSF per i risultati CSPM di Security Hub****
+ [Versione sorgente 1 (v1.0.0-rc.2)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/Security%20Hub)
+ [Versione sorgente 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/Security%20Hub)

# Registri di flusso VPC in Security Lake
<a name="vpc-flow-logs"></a>

La funzionalità VPC Flow Logs di Amazon VPC acquisisce informazioni sul traffico IP da e verso le interfacce di rete all'interno del tuo ambiente. 

Quando aggiungi i log di flusso VPC come origine in Security Lake, Security Lake inizia immediatamente a raccogliere i log di flusso VPC. Utilizza i log di flusso VPC direttamente da Amazon VPC attraverso un flusso indipendente e duplicato di Flow Logs.

Security Lake non gestisce i log di flusso VPC né influisce sulle configurazioni di Amazon VPC. Per gestire i tuoi Flow Logs, devi utilizzare la console di servizio Amazon VPC. Per ulteriori informazioni, consulta [Work with Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-flow-logs.html) nella *Amazon VPC Developer Guide*.

L'elenco seguente fornisce i collegamenti del GitHub repository al riferimento di mappatura su come Security Lake normalizza i log di flusso VPC in OCSF.

****GitHub Archivio OCSF per i log di flusso VPC****
+ [Versione sorgente 1 (v1.0.0-rc.2)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.0.0-rc.2/VPC%20Flowlogs)
+ [Versione sorgente 2 (v1.1.0)](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/VPC%20Flowlogs)

# AWS WAF accede a Security Lake
<a name="aws-waf"></a>

Quando si aggiunge AWS WAF come fonte di log in Security Lake, Security Lake inizia immediatamente a raccogliere i log. AWS WAF è un firewall per applicazioni Web che puoi utilizzare per monitorare le richieste Web inviate dagli utenti finali alle tue applicazioni e per controllare l'accesso ai tuoi contenuti. Le informazioni registrate includono l'ora in cui è AWS WAF stata ricevuta una richiesta Web dalla AWS risorsa, informazioni dettagliate sulla richiesta e dettagli sulle regole a cui la richiesta corrisponde. 

Security Lake utilizza i AWS WAF log direttamente da un AWS WAF flusso di log indipendente e duplicato. Questo processo è progettato per non richiedere configurazioni aggiuntive o influire sulle configurazioni esistenti. AWS WAF I log di Security Lake recuperano solo i dati consentiti dalla configurazione della [lista di controllo degli accessi AWS WAF Web (Web ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html). Se la [protezione dei dati](https://docs.aws.amazon.com/waf/latest/developerguide/waf-data-protection-and-logging.html) è abilitata per l'ACL Web negli account Security Lake, i dati generati verranno oscurati o sottoposti a hash in base alle impostazioni ACL Web. *Per informazioni sull'utilizzo per AWS WAF proteggere le risorse dell'applicazione, consulta [How AWS WAF works](https://docs.aws.amazon.com/waf/latest/developerguide/how-aws-waf-works.html) nella Developer Guide.AWS WAF *

**Importante**  
Se utilizzi la CloudFront distribuzione Amazon come tipo di risorsa AWS WAF, devi selezionare Stati Uniti orientali (Virginia settentrionale) per importare i log globali in Security Lake.

AWS WAF i log sono supportati solo in OCSF v1.1.0. [Per informazioni su come Security Lake normalizza gli eventi di AWS WAF registro in OCSF, consultate il riferimento alla mappatura nel repository OCSF per i log (v1.1.0). GitHub AWS WAF](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/WAF)

## Rimuovere un file come fonte Servizio AWS
<a name="remove-internal-sources"></a>

Scegli il tuo metodo di accesso e segui questi passaggi per rimuovere una fonte Security Lake supportata Servizio AWS nativamente. Puoi rimuovere una fonte per una o più regioni. Quando rimuovi la fonte, Security Lake interrompe la raccolta di dati da tale fonte nelle regioni e negli account specificati e gli abbonati non possono più consumare nuovi dati dalla fonte. Tuttavia, gli abbonati possono comunque utilizzare i dati raccolti da Security Lake dalla fonte prima della rimozione. È possibile utilizzare queste istruzioni solo per rimuovere una fonte supportata in modo nativo Servizio AWS . Per informazioni sulla rimozione di una fonte personalizzata, consulta. [Raccolta di dati da fonti personalizzate in Security Lake](custom-sources.md)

------
#### [ Console ]

1. Aprire la console di Security Lake all'indirizzo [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/).

1. Scegli **Sorgenti** dal pannello di navigazione.

1. Seleziona una fonte e scegli **Disattiva**.

1. Seleziona una o più regioni in cui desideri interrompere la raccolta di dati da questa fonte. Security Lake smetterà di raccogliere dati dalla fonte da *tutti* gli account nelle regioni selezionate.

------
#### [ API ]

Per rimuovere un file Servizio AWS come fonte a livello di codice, utilizza il [DeleteAwsLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteAwsLogSource.html)funzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il [delete-aws-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-aws-log-source.html)comando. I parametri `sourceName` e `regions` sono obbligatori. Facoltativamente, puoi limitare l'ambito della rimozione a uno specifico `accounts` o a uno specifico`sourceVersion`.

**Importante**  
Quando non si fornisce un parametro nel comando, Security Lake presuppone che il parametro mancante si riferisca all'intero set. Ad esempio, se non si fornisce il `accounts` parametro, il comando si applica all'intero set di account dell'organizzazione.

L'esempio seguente rimuove i log di flusso VPC come origine negli account e nelle regioni designati.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=VPC_FLOW,accounts='["123456789012", "111122223333"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

L'esempio seguente rimuove Route 53 come origine nell'account e nelle regioni designati.

```
$ aws securitylake delete-aws-log-source \
--sources sourceName=ROUTE53,accounts='["123456789012"]',regions='["us-east-1", "us-east-2"]',sourceVersion="2.0"
```

Gli esempi precedenti sono formattati per Linux, macOS o Unix e utilizzano il carattere di continuazione di riga rovesciata (\$1) per migliorare la leggibilità.

------

# Raccolta di dati da fonti personalizzate in Security Lake
<a name="custom-sources"></a>

Amazon Security Lake può raccogliere log ed eventi da fonti personalizzate di terze parti. Una fonte personalizzata di Security Lake è un servizio di terze parti che invia log di sicurezza ed eventi ad Amazon Security Lake. Prima di inviare i dati, l'origine personalizzata deve convertire i log e gli eventi in Open Cybersecurity Schema Framework (OCSF) e soddisfare i requisiti di origine per Security Lake, inclusi il partizionamento, il formato dei file parquet e i requisiti di dimensione e frequenza degli oggetti.

Per ogni fonte personalizzata, Security Lake gestisce quanto segue:
+ Fornisce un prefisso univoco per l'origine nel bucket Amazon S3.
+ Crea un ruolo in AWS Identity and Access Management (IAM) che consente a una fonte personalizzata di scrivere dati nel data lake. Il limite delle autorizzazioni per questo ruolo è impostato da una politica AWS gestita denominata. [`AmazonSecurityLakePermissionsBoundary`](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary)
+ Crea una AWS Lake Formation tabella per organizzare gli oggetti che l'origine scrive su Security Lake.
+ Imposta un AWS Glue crawler per partizionare i dati di origine. Il crawler compila il file con la tabella. AWS Glue Data Catalog Inoltre, rileva automaticamente i nuovi dati di origine ed estrae le definizioni degli schemi.

**Nota**  
È possibile aggiungere fino a un massimo di 50 fonti di registro personalizzate in un account.

Per aggiungere una fonte personalizzata a Security Lake, deve soddisfare i seguenti requisiti. Il mancato rispetto di questi requisiti potrebbe avere ripercussioni sulle prestazioni e potrebbe influire su casi d'uso di analisi come le interrogazioni.
+ **Destinazione**: l'origine personalizzata deve essere in grado di scrivere dati su Security Lake come set di oggetti S3 sotto il prefisso assegnato all'origine. Per le fonti che contengono più categorie di dati, è necessario fornire ogni classe di eventi [Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/classes?extensions=) unica come fonte separata. Security Lake crea un ruolo IAM che consente all'origine personalizzata di scrivere nella posizione specificata nel bucket S3.
+ **Formato**: ogni oggetto S3 raccolto dall'origine personalizzata deve essere formattato come file Apache Parquet.
+ **Schema**: la stessa classe di eventi OCSF deve essere applicata a ogni record all'interno di un oggetto in formato Parquet. Security Lake supporta le versioni 1.x e 2.x di Parquet. La dimensione della pagina dati deve essere limitata a 1 MB (non compressa). La dimensione del gruppo di righe non deve superare i 256 MB (compressi). Per la compressione all'interno dell'oggetto Parquet, è preferibile zstandard.
+ **Partizionamento**: gli oggetti devono essere partizionati per regione, account, EventDay. AWS Gli oggetti devono avere il prefisso. `source location/region=region/accountId=accountID/eventDay=yyyyMMdd/`
+ **Dimensione e frequenza degli oggetti**: i file inviati a Security Lake devono essere inviati con incrementi compresi tra 5 minuti e 1 giorno dell'evento. I clienti possono inviare file più spesso di 5 minuti se le dimensioni dei file superano i 256 MB. Il requisito di oggetto e dimensione è quello di ottimizzare Security Lake for Query Performance. Il mancato rispetto dei requisiti di origine personalizzati può avere un impatto sulle prestazioni di Security Lake.
+ **Ordinamento**: all'interno di ogni oggetto in formato Parquet, i record devono essere ordinati per tempo per ridurre il costo dell'interrogazione dei dati.

**Nota**  
Utilizza lo [strumento di convalida OCSF](https://github.com/aws-samples/amazon-security-lake-ocsf-validation) per verificare se l'origine personalizzata è compatibile con. `OCSF Schema` Per le fonti personalizzate, Security Lake supporta la versione OCSF 1.3 e precedenti.

## Requisiti di partizionamento per l'acquisizione di sorgenti personalizzate in Security Lake
<a name="custom-sources-best-practices"></a>

Per facilitare l'elaborazione e l'interrogazione efficienti dei dati, è necessario soddisfare i requisiti di partizionamento e di oggetti e dimensioni quando si aggiunge una fonte personalizzata a Security Lake:

**Partizionamento**  
Gli oggetti devono essere partizionati per posizione di origine, Regione AWS, Account AWS e data.  
+ Il percorso dei dati della partizione è formattato come

   `/ext/custom-source-name/region=region/accountId=accountID/eventDay=YYYYMMDD`.

  Una partizione di esempio con il nome del bucket di esempio è. `aws-security-data-lake-us-west-2-lake-uid/ext/custom-source-name/region=us-west-2/accountId=123456789012/eventDay=20230428/`

L'elenco seguente descrive i parametri utilizzati nella partizione del percorso S3:
+ Il nome del bucket Amazon S3 in cui Security Lake archivia i dati di origine personalizzati.
+ `source-location`— Prefisso per l'origine personalizzata nel tuo bucket S3. Security Lake archivia tutti gli oggetti S3 per una determinata fonte con questo prefisso e il prefisso è unico per quella determinata fonte.
+ `region`— Regione AWS su cui vengono caricati i dati. Ad esempio, è necessario utilizzarli `US East (N. Virginia)` per caricare dati nel bucket Security Lake nella regione Stati Uniti orientali (Virginia settentrionale).
+ `accountId`— Account AWS ID a cui appartengono i record nella partizione di origine. Per i record relativi ad account esterni a AWS, si consiglia di utilizzare una stringa come o. `external` `external_externalAccountId` Adottando questa convezione di denominazione, è possibile evitare ambiguità nella denominazione degli account esterni in IDs modo che non entrino in conflitto con l'account IDs o l' AWS account esterno IDs gestito da altri sistemi di gestione delle identità.
+ `eventDay`— Timestamp UTC del record, troncato in ora formattato come stringa di otto caratteri (). `YYYYMMDD` Se i record specificano un fuso orario diverso nel timestamp dell'evento, è necessario convertire il timestamp in UTC per questa chiave di partizione.

## Prerequisiti per aggiungere una fonte personalizzata in Security Lake
<a name="iam-roles-custom-sources"></a>

Quando si aggiunge un'origine personalizzata, Security Lake crea un ruolo IAM che consente alla fonte di scrivere i dati nella posizione corretta nel data lake. Il nome del ruolo segue il formato`AmazonSecurityLake-Provider-{name of the custom source}-{region}`, `region` dov'è il formato Regione AWS in cui stai aggiungendo l'origine personalizzata. Security Lake attribuisce una policy al ruolo che consente l'accesso al data lake. Se hai crittografato il data lake con una AWS KMS chiave gestita dal cliente, Security Lake allega anche una policy `kms:Decrypt` e `kms:GenerateDataKey` autorizzazioni al ruolo. Il limite delle autorizzazioni per questo ruolo è impostato da una AWS politica gestita chiamata. [`AmazonSecurityLakePermissionsBoundary`](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSecurityLakePermissionsBoundary)

**Topics**
+ [

### Verificare le autorizzazioni
](#add-custom-sources-permissions)
+ [

### Crea un ruolo IAM per consentire l'accesso in scrittura alla posizione del bucket di Security Lake (API e passaggio solo AWS CLI)
](#iam-roles-glue-crawler)

### Verificare le autorizzazioni
<a name="add-custom-sources-permissions"></a>

Prima di aggiungere una fonte personalizzata, verifica di disporre delle autorizzazioni necessarie per eseguire le seguenti azioni.

Per verificare le tue autorizzazioni, usa IAM per esaminare le policy IAM allegate alla tua identità IAM. Quindi, confronta le informazioni contenute in tali policy con il seguente elenco di azioni che devi essere autorizzato a eseguire per aggiungere una fonte personalizzata. 
+ `glue:CreateCrawler`
+ `glue:CreateDatabase`
+ `glue:CreateTable`
+ `glue:StopCrawlerSchedule`
+ `iam:GetRole`
+ `iam:PutRolePolicy`
+ `iam:DeleteRolePolicy`
+ `iam:PassRole`
+ `lakeformation:RegisterResource`
+ `lakeformation:GrantPermissions`
+ `s3:ListBucket`
+ `s3:PutObject`

Queste azioni consentono di raccogliere log ed eventi da un'origine personalizzata, inviarli al AWS Glue database e alla tabella corretti e archiviarli in Amazon S3.

Se utilizzi una AWS KMS chiave per la crittografia lato server del tuo data lake, hai bisogno anche dell'autorizzazione per`kms:CreateGrant`, e. `kms:DescribeKey` `kms:GenerateDataKey`

**Importante**  
Se prevedi di utilizzare la console Security Lake per aggiungere un'origine personalizzata, puoi saltare il passaggio successivo e procedere con. [Aggiungere una fonte personalizzata in Security Lake](adding-custom-sources.md) La console Security Lake offre un processo semplificato per iniziare e crea tutti i ruoli IAM necessari o utilizza i ruoli esistenti per tuo conto.  
Se prevedi di utilizzare l'API Security Lake o di AWS CLI aggiungere una fonte personalizzata, continua con il passaggio successivo per creare un ruolo IAM per consentire l'accesso in scrittura alla posizione del bucket di Security Lake.

### Crea un ruolo IAM per consentire l'accesso in scrittura alla posizione del bucket di Security Lake (API e passaggio solo AWS CLI)
<a name="iam-roles-glue-crawler"></a>

Se utilizzi l'API Security Lake o vuoi AWS CLI aggiungere una fonte personalizzata, aggiungi questo ruolo IAM per concedere l' AWS Glue autorizzazione alla scansione dei dati di origine personalizzati e identificare le partizioni nei dati. Queste partizioni sono necessarie per organizzare i dati e creare e aggiornare tabelle nel Data Catalog.

Dopo aver creato questo ruolo IAM, avrai bisogno dell'Amazon Resource Name (ARN) del ruolo per aggiungere una fonte personalizzata.

È necessario allegare la policy `arn:aws:iam::aws:policy/service-role/AWSGlueServiceRole` AWS gestita.

Per concedere le autorizzazioni necessarie, devi anche creare e incorporare la seguente politica in linea nel tuo ruolo Crawler di AWS Glue per consentire la lettura dei file di dati dall'origine personalizzata e dalle tabelle in AWS Glue Data create/update Catalog.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "S3WriteRead",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}
```

------

Allega la seguente politica di fiducia per consentire e Account AWS utilizzando la quale può assumere il ruolo in base all'ID esterno:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "glue.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Se il bucket S3 nella regione in cui stai aggiungendo la fonte personalizzata è crittografato con un file gestito dal cliente AWS KMS key, devi inoltre allegare la seguente politica al ruolo e alla tua politica chiave KMS:

```
{
    "Effect": "Allow",
    "Action": [
        "kms:GenerateDataKey"
        "kms:Decrypt"
    ],
    "Condition": {
        "StringLike": {
            "kms:EncryptionContext:aws:s3:arn": [
                "arn:aws:s3:::{{name of S3 bucket created by Security Lake}"
            ]
        }
    },
    "Resource": [
        "{{ARN of customer managed key}}"
    ]
}
```

# Aggiungere una fonte personalizzata in Security Lake
<a name="adding-custom-sources"></a>

Dopo aver creato il ruolo IAM per richiamare il AWS Glue crawler, segui questi passaggi per aggiungere una fonte personalizzata in Security Lake.

------
#### [ Console ]

1. Apri la console di Security Lake all'indirizzo. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, selezionate la regione in cui desiderate creare l'origine personalizzata.

1. **Scegli **Origini personalizzate** nel riquadro di navigazione, quindi scegli Crea fonte personalizzata.**

1. Nella sezione **Dettagli della fonte personalizzata**, inserisci un nome univoco a livello globale per la tua fonte personalizzata. Quindi, selezionate una classe di eventi OCSF che descriva il tipo di dati che l'origine personalizzata invierà a Security Lake.

1. Se **Account AWS sei autorizzato a scrivere dati**, inserisci l'**Account AWS ID** e l'**ID esterno** dell'origine personalizzata che scriverà i log e gli eventi nel data lake.

1. Per **Service Access**, create e utilizzate un nuovo ruolo di servizio o utilizzate un ruolo di servizio esistente che autorizzi Security Lake a richiamare AWS Glue.

1. Scegli **Create** (Crea).

------
#### [ API ]

Per aggiungere una fonte personalizzata a livello di codice, utilizza il [CreateCustomLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_CreateCustomLogSource.html)funzionamento dell'API Security Lake. Usa l'operazione nel Regione AWS punto in cui desideri creare l'origine personalizzata. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il [create-custom-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/create-custom-log-source.html)comando.

Nella tua richiesta, usa i parametri supportati per specificare le impostazioni di configurazione per l'origine personalizzata:
+ `sourceName`— Specificate un nome per la fonte. Il nome deve essere un valore unico a livello regionale.
+ `eventClasses`— Specificare una o più classi di eventi OCSF per descrivere il tipo di dati che la fonte invierà a Security Lake. Per un elenco delle classi di eventi OCSF supportate come origine in Security Lake, vedere [Open Cybersecurity Schema](https://schema.ocsf.io/classes?extensions) Framework (OCSF).
+ `sourceVersion`— Facoltativamente, specificare un valore per limitare la raccolta dei log a una versione specifica dei dati di origine personalizzati.
+ `crawlerConfiguration`— Specificate l'Amazon Resource Name (ARN) del ruolo IAM che avete creato per richiamare il crawler. AWS Glue Per i passaggi dettagliati per creare un ruolo IAM, consulta [Prerequisiti](https://docs.aws.amazon.com//security-lake/latest/userguide/custom-sources.html#iam-roles-glue-crawler) per aggiungere una fonte personalizzata
+ `providerIdentity`— Specificare l' AWS identità e l'ID esterno che l'origine utilizzerà per scrivere log ed eventi nel data lake.

L'esempio seguente aggiunge un'origine personalizzata come origine di registro nell'account del provider di log designato nelle regioni designate. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securitylake create-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE \
--event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
--configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"}  \
--region=[“ap-southeast-2”]
```

------

## Mantenere aggiornati i dati di origine personalizzati in AWS Glue
<a name="maintain-glue-schema"></a>

Dopo aver aggiunto una fonte personalizzata in Security Lake, Security Lake crea un AWS Glue crawler. Il crawler si connette all'origine personalizzata, determina le strutture dei dati e popola il AWS Glue Data Catalog con tabelle.

Ti consigliamo di eseguire manualmente il crawler per mantenere aggiornato lo schema sorgente personalizzato e mantenere la funzionalità di interrogazione in Athena e in altri servizi di interrogazione. In particolare, è consigliabile eseguire il crawler se si verifica una delle seguenti modifiche nel set di dati di input per un'origine personalizzata:
+ Il set di dati ha una o più nuove colonne di primo livello.
+ Il set di dati contiene uno o più nuovi campi in una colonna con un tipo di `struct` dati.

*Per istruzioni sull'esecuzione di un crawler, consulta [Scheduling an AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/schedule-crawler.html) crawler nella Developer Guide.AWS Glue *

Security Lake non può eliminare o aggiornare i crawler esistenti nel tuo account. Se elimini un'origine personalizzata, ti consigliamo di eliminare il crawler associato se prevedi di creare un'origine personalizzata con lo stesso nome in futuro.

## Classi di eventi OCSF supportate
<a name="ocsf-eventclass"></a>

Le classi di eventi Open Cybersecurity Schema Framework (OCSF) descrivono il tipo di dati che l'origine personalizzata invierà a Security Lake. L'elenco delle classi di eventi supportate è:

```
public enum OcsfEventClass {
    ACCOUNT_CHANGE,
    API_ACTIVITY,
    APPLICATION_LIFECYCLE,
    AUTHENTICATION,
    AUTHORIZE_SESSION,
    COMPLIANCE_FINDING,
    DATASTORE_ACTIVITY,
    DEVICE_CONFIG_STATE,
    DEVICE_CONFIG_STATE_CHANGE,
    DEVICE_INVENTORY_INFO,
    DHCP_ACTIVITY,
    DNS_ACTIVITY,
    DETECTION_FINDING,
    EMAIL_ACTIVITY,
    EMAIL_FILE_ACTIVITY,
    EMAIL_URL_ACTIVITY,
    ENTITY_MANAGEMENT,
    FILE_HOSTING_ACTIVITY,
    FILE_SYSTEM_ACTIVITY,
    FTP_ACTIVITY,
    GROUP_MANAGEMENT,
    HTTP_ACTIVITY,
    INCIDENT_FINDING,
    KERNEL_ACTIVITY,
    KERNEL_EXTENSION,
    MEMORY_ACTIVITY,
    MODULE_ACTIVITY,
    NETWORK_ACTIVITY,
    NETWORK_FILE_ACTIVITY,
    NTP_ACTIVITY,
    PATCH_STATE,
    PROCESS_ACTIVITY,
    RDP_ACTIVITY,
    REGISTRY_KEY_ACTIVITY,
    REGISTRY_VALUE_ACTIVITY,
    SCHEDULED_JOB_ACTIVITY,
    SCAN_ACTIVITY,
    SECURITY_FINDING,
    SMB_ACTIVITY,
    SSH_ACTIVITY,
    USER_ACCESS,
    USER_INVENTORY,
    VULNERABILITY_FINDING,
    WEB_RESOURCE_ACCESS_ACTIVITY,
    WEB_RESOURCES_ACTIVITY,
    WINDOWS_RESOURCE_ACTIVITY,
    // 1.3 OCSF event classes
    ADMIN_GROUP_QUERY,
    DATA_SECURITY_FINDING,
    EVENT_LOG_ACTIVITY,
    FILE_QUERY,
    FILE_REMEDIATION_ACTIVITY,
    FOLDER_QUERY,
    JOB_QUERY,
    KERNEL_OBJECT_QUERY,
    MODULE_QUERY,
    NETWORK_CONNECTION_QUERY,
    NETWORK_REMEDIATION_ACTIVITY,
    NETWORKS_QUERY,
    PERIPHERAL_DEVICE_QUERY,
    PROCESS_QUERY,
    PROCESS_REMEDIATION_ACTIVITY,
    REMEDIATION_ACTIVITY,
    SERVICE_QUERY,
    SOFTWARE_INVENTORY_INFO,
    TUNNEL_ACTIVITY,
    USER_QUERY,
    USER_SESSION_QUERY,
    // 1.3 OCSF event classes (Win extension)
    PREFETCH_QUERY,
    REGISTRY_KEY_QUERY,
    REGISTRY_VALUE_QUERY,
    WINDOWS_SERVICE_ACTIVITY
}
```

# Eliminazione di una fonte personalizzata da Security Lake
<a name="delete-custom-source"></a>

Eliminare una fonte personalizzata per interrompere l'invio di dati dalla sorgente a Security Lake. Quando si rimuove la fonte, Security Lake interrompe la raccolta di dati da tale fonte nelle regioni e negli account specificati e gli abbonati non possono più consumare nuovi dati dalla fonte. Tuttavia, gli abbonati possono comunque utilizzare i dati raccolti da Security Lake dalla fonte prima della rimozione. È possibile utilizzare queste istruzioni solo per rimuovere una fonte personalizzata. Per informazioni sulla rimozione di un file con supporto nativo, consulta. Servizio AWS[Raccolta di dati da Servizi AWS Security Lake](custom-sources.md)

Quando si elimina una fonte personalizzata in Security Lake, è necessario disabilitare ogni fonte esterna alla console di Security Lake con la fonte. La mancata disabilitazione di un'integrazione può far sì che le integrazioni di origine continuino a inviare i log in Amazon S3. 

------
#### [ Console ]

1. Apri la console Security Lake all'indirizzo. [https://console.aws.amazon.com/securitylake/](https://console.aws.amazon.com/securitylake/)

1. Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione da cui desideri rimuovere la fonte personalizzata.

1. **Nel riquadro di navigazione, scegli Fonti personalizzate.**

1. Seleziona la fonte personalizzata che desideri rimuovere.

1. Scegli **Annulla registrazione della fonte personalizzata**, quindi scegli **Elimina** per confermare l'azione.

------
#### [ API ]

Per eliminare una fonte personalizzata a livello di codice, utilizza il [DeleteCustomLogSource](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_DeleteCustomLogSource.html)funzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il [delete-custom-log-source](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/securitylake/delete-custom-log-source.html)comando. Utilizzate l'operazione nel Regione AWS punto in cui desiderate eliminare la fonte personalizzata.

Nella richiesta, utilizzate il `sourceName` parametro per specificare il nome dell'origine personalizzata da eliminare. Oppure specifica il nome dell'origine personalizzata e utilizza il `sourceVersion` parametro per limitare l'ambito dell'eliminazione solo a una versione specifica dei dati dell'origine personalizzata.

L'esempio seguente elimina un'origine di registro personalizzata da Security Lake.

Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securitylake delete-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE
```

------