本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用以 Amaz OpenSearch on Security Lake 为接收器的摄取管道
使用 OpenSearch Ingestion 中的 Amazon S3 接收器插件将数据从任何支持的来源发送到亚马逊安全湖。Security Lake 在专用数据湖中收集和存储来自AWS本地环境和 SaaS 提供商的安全数据。
要配置管道以将日志数据写入 Security Lake,请使用预先配置的防火墙流量日志蓝图。该蓝图包含默认配置,用于检索存储在 Amazon S3 存储桶中的原始安全日志或其他数据、处理这些记录以及将其标准化。随后,该蓝图将数据映射到开放式网络安全模式框架(OCSF),并将转换后的符合 OCSF 标准的数据发送至 Security Lake。
该管道具有以下元数据属性:
-
bucket_name:Security Lake 创建的 Amazon S3 存储桶的名称,用于存储安全数据。 -
path_prefix:在 Security Lake IAM 角色策略中定义的自定义源名称。 -
region:Secur AWS 区域 ity Lake S3 存储桶所在的位置。 -
accountID:启用安全湖的 AWS 账户 ID。 -
sts_role_arn:用于与 Security Lake 结合使用的 IAM 角色的 ARN。
先决条件
创建管道以将数据发送至 Security Lake 之前,请执行以下步骤:
-
启用和配置 Amazon Security Lake:设置 Amazon Security Lake,以集中来自不同源的安全数据。有关说明,请参阅 Enabling Security Lake using the console。
选择源时,选择摄取特定 AWS 源,然后选择一个或多个要摄取的日志和事件来源。
-
设置权限:配置管道角色所需的权限,以便将数据写入 Security Lake。有关更多信息,请参阅管道角色。
创建管道
使用预先配置的 Security Lake 蓝图,以创建管道。有关更多信息,请参阅 Using blueprints to create a pipeline。
