Criar a integração de uma fontes de dados do Amazon Security Lake com o OpenSearch Service - Amazon OpenSearch Service
Pré-requisitosProcedimentoPróximas etapasRecursos adicionais

Criar a integração de uma fontes de dados do Amazon Security Lake com o OpenSearch Service

Você pode usar o Amazon OpenSearch sem Servidor para consultar dados de segurança diretamente no Amazon Security Lake. Para isso, você cria uma fonte de dados que permita usar os recursos de ETL zero do OpenSearch nos dados do Security Lake. Ao criar uma fonte de dados, você pode pesquisar diretamente, obter insights e analisar os dados armazenados no Security Lake. Você pode acelerar a performance das consultas e usar a analytics avançada do OpenSearch em conjuntos de dados selecionados do Security Lake usando indexação sob demanda.

Pré-requisitos

Antes de começar, certifique-se de ter revisto a seguinte documentação:

Antes de criar uma fonte de dados, realize as seguintes ações no Security Lake:

  • Habilitar o Security Lake. Configure o Security Lake para coletar logs da mesma Região da AWS em que se encontra o recurso OpenSearch. Para obter mais informações, consulte Introdução ao Amazon Security Lake no Guia do usuário do Amazon Security Lake.

  • Configure as permissões do Security Lake. Certifique-se de ter aceitado as permissões do perfil vinculado ao serviço para gerenciamento de recursos e que o console não mostre nenhum problema na página Problemas. Para obter mais informações, consulte Perfil baseado no serviço para o Security Lake no Guia do usuário do Amazon Security Lake.

  • Compartilhe as fontes de dados do Security Lake. Ao acessar o OpenSearch na mesma conta do Security Lake, certifique-se de que não haja nenhuma mensagem para registrar seus buckets do Security Lake no Lake Formation no console do Security Lake. Para acesso entre contas ao OpenSearch, configure um assinante de consulta do Lake Formation no console do Security Lake. Use a conta associada ao recurso OpenSearch como assinante. Para obter mais informações, consulte Gerenciamento de usuários no Security Lake no Guia do usuário do Amazon Security Lake.

Além disso, você também deve ter os seguintes recursos em sua Conta da AWS:

  • (Opcional) um perfil do IAM criado manualmente. Você pode usar esse perfil para gerenciar o acesso à sua fonte de dados. Como alternativa, o OpenSearch Service pode criar automaticamente um perfil para você com as permissões necessárias. Se você escolher usar um perfil do IAM criado manualmente, siga as orientações em Permissões necessárias para perfis do IAM criados manualmente.

Procedimento

Você pode configurar uma fonte de dados para se conectar a um banco de dados do Security Lake no Console de gerenciamento da AWS.

Para configurar uma fonte de dados usando o Console de gerenciamento da AWS

  1. Navegue para o console do Amazon OpenSearch Service em https://console.aws.amazon.com/aos/.

  2. No painel de navegação à esquerda, vá para Gerenciamento central e escolha Fontes de dados conectadas.

  3. Selecione Conectar.

  4. Escolha Security Lake como o tipo de fonte de dados.

  5. Escolha Próximo.

  6. Em Detalhes da conexão de dados, insira um nome e uma descrição opcional.

  7. Em Configurações de permissão de acesso do IAM, escolha como gerenciar o acesso à sua fonte de dados.

    1. Se quiser criar automaticamente um perfil para essa fonte de dados, siga estas etapas:

      1. Selecione Criar uma novo perfil.

      2. Insira um nome para a função do IAM.

      3. Selecione uma ou mais tabelas do AWS Glue para definir os dados que podem ser consultados.

    2. Se quiser usar um perfil existente que você mesmo gerencie, siga estas etapas:

      1. Selecione Usar perfil existente.

      2. Selecione um perfil existente no menu suspenso.

    nota

    Ao usar seu próprio perfil, você deve garantir que ele tenha todas as permissões necessárias anexando as políticas necessárias com o console do IAM. Para obter mais informações, consulte Permissões necessárias para perfis do IAM criados manualmente.

  8. (Opcional) Em Tags, adicione tags à fonte de dados.

  9. Escolha Próximo.

  10. Em Configurar o OpenSearch, escolha como configurar o OpenSearch.

    1. Revise os nomes de recurso padrão e as configurações de retenção de dados.

      Quando você usa as configurações padrão, uma nova aplicação do OpenSearch e um espaço de trabalho do Essentials são criados sem custo adicional. O OpenSearch permite analisar várias fontes de dados. Ele inclui espaços de trabalho, que fornecem experiências personalizadas para casos de uso mais conhecidos. Os espaços de trabalho são compatíveis com controle de acesso, permitindo que você crie espaços privados para seus casos de uso e os compartilhe apenas com seus colaboradores.

  11. Use configurações personalizadas:

    1. Escolha Customize (Personalizar).

    2. Edite o nome da coleção e as configurações de retenção de dados conforme necessário.

    3. Selecione a aplicação e o espaço de trabalho do OpenSearch que você desejar usar.

  12. Escolha Próximo.

  13. Revise suas opções e escolha Editar se precisar fazer alguma alteração.

  14. Escolha Conectar para configurar a fonte de dados. Fique nesta página enquanto sua fonte de dados é criada. Quando ela ficar pronta, você será direcionado para a página de detalhes da fonte de dados.

Próximas etapas

Visitar o OpenSearch Dashboards e criar um painel

Depois que você criar uma fonte de dados, o OpenSearch Service fornecerá um URL do OpenSearch Dashboards. Você usa a URL para consultar os dados usando SQL ou PPL. A integração do Security Lake vem com modelos de consulta pré-empacotados para SQL e PPL a fim de ajudar você a começar a analisar os logs.

Para obter mais informações, consulte Configurar e consultar uma fonte de dados do Security Lake no OpenSearch Dashboards.

Recursos adicionais

Permissões necessárias para perfis do IAM criados manualmente

Ao criar uma fonte de dados, você escolhe um perfil do IAM para gerenciar o acesso aos dados. Você tem duas opções:

  1. Criar um novo perfil do IAM automaticamente

  2. Use um perfil do IAM existente que você criou manualmente

Se usar um perfil criado manualmente, você precisará anexar as permissões corretas a ele. As permissões devem liberar o acesso à fonte de dados específica e deixar que o OpenSearch Service assuma o perfil para que o OpenSearch Service possa acessar e interagir com seus dados em segurança. Além disso, conceda permissões do LakeFormation ao perfil para qualquer banco de dados e tabelas que você queira consultar. Conceda permissões de DESCRIBE ao perfil nos bancos de dados do SecurityLake que você deseja consultar a partir da conexão de consulta direta. Conceda permissões de SELECT and DESCRIBE, pelo menos, ao perfil da fonte de dados para as tabelas do banco de dados.

O exemplo de política a seguir demonstra as permissões de privilégio mínimo necessárias para criar e gerenciar uma fonte de dados. Se você tiver permissões mais abrangentes, como a política AdminstratorAccess, elas incluirão as permissões de privilégio mínimo do exemplo de política.

No exemplo de política a seguir, substitua o texto do espaço reservado por suas próprias informações.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
            "Effect": "Allow",
            "Action": [
                "aoss:APIAccessAll",
                "aoss:DashboardsAccessAll"
            ],
            "Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryGlueAccess",
            "Effect": "Allow",
            "Action": [
                "glue:GetDatabase",
                "glue:GetDatabases",
                "glue:GetPartition",
                "glue:GetPartitions",
                "glue:GetTable",
                "glue:GetTableVersions",
                "glue:GetTables",
                "glue:SearchTables",
                "glue:BatchGetPartition"
            ],
            "Resource": [
                "arn:aws:glue:us-east-1:111122223333:table/databasename/*",
                "arn:aws:glue:us-east-1:111122223333:database/databasename",
                "arn:aws:glue:us-east-1:111122223333:catalog",
                "arn:aws:glue:us-east-1:111122223333:database/default"
            ]
        },
        {
            "Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
            "Effect": "Allow",
            "Action": [
                "lakeformation:GetDataAccess"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

O perfil também deve ter a seguinte política de confiança, que especifica o ID de destino.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Para obter instruções sobre como criar o perfil, consulte Criar um perfil usando políticas de confiança personalizadas.

Por padrão, a função tem acesso somente aos índices da fonte de dados de consulta direta. Embora você possa configurar a função para limitar ou conceder acesso à sua fonte de dados, é recomendável não ajustar o acesso dessa função. Se você excluir a fonte de dados, essa função será excluída. Isso removerá o acesso de outros usuários se eles estiverem mapeados para a função.

Consultar dados do Security Lake criptografados com uma chave gerenciada pelo cliente

Se o bucket do Security Lake associado à conexão de dados for criptografado usando criptografia do lado do servidor com uma AWS KMS key gerenciada pelo cliente, você deverá adicionar o perfil de serviço do LakeFormation à política de chave. Isso permite que o serviço acesse e leia os dados para suas consultas.

No exemplo de política a seguir, substitua o texto do espaço reservado por suas próprias informações.

{
    "Sid": "Allow LakeFormation to access the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
    },
    "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
    ],
    "Resource": "*"
}