本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 OpenSearch 擷取管道搭配 Amazon Security Lake 做為接收器
使用 OpenSearch Ingestion 中的 Amazon S3 接收器外掛程式,將資料從任何支援的來源傳送至 Amazon Security Lake。Security Lake 會從專用資料湖 AWS、內部部署環境和 SaaS 供應商收集並儲存安全資料。
若要設定管道將日誌資料寫入 Security Lake,請使用預先設定的防火牆流量日誌藍圖。藍圖包含預設組態,用於擷取存放在 Amazon S3 儲存貯體中的原始安全日誌或其他資料、處理記錄並標準化記錄。然後,它會將資料映射至 Open Cybersecurity Schema Framework (OCSF),並將轉換後的 OCSF 相容資料傳送至 Security Lake。
管道具有下列中繼資料屬性:
-
bucket_name
:Security Lake 為存放安全資料而建立的 Amazon S3 儲存貯體名稱。 -
path_prefix
:Security Lake IAM 角色政策中定義的自訂來源名稱。 -
region
: AWS 區域 Security Lake S3 儲存貯體所在的 。 -
accountID
:啟用 Security Lake 的 AWS 帳戶 ID。 -
sts_role_arn
:旨在與 Security Lake 搭配使用之 IAM 角色的 ARN。
先決條件
建立管道以將資料傳送至 Security Lake 之前,請執行下列步驟:
-
啟用和設定 Amazon Security Lake:設定 Amazon Security Lake 以集中來自各種來源的安全資料。如需說明,請參閱使用主控台啟用 Security Lake。
選取來源時,請選擇擷取特定 AWS 來源,然後選取您要擷取的一或多個日誌和事件來源。
-
設定許可:使用將資料寫入 Security Lake 所需的許可來設定管道角色。如需詳細資訊,請參閱管道角色。
建立管道
使用預先設定的 Security Lake 藍圖來建立管道。如需詳細資訊,請參閱使用藍圖建立管道。