在 Security Lake 中新增自訂來源 - Amazon Security Lake

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Lake 中新增自訂來源

建立 IAM 角色以叫用 AWS Glue 爬蟲程式之後,請依照下列步驟在 Security Lake 中新增自訂來源。

Console
  1. 開啟位於 https://https://console.aws.amazon.com/securitylake/ 的 Security Lake 主控台。

  2. 使用頁面右上角的 AWS 區域 選取器,選取您要建立自訂來源的區域。

  3. 在導覽窗格中選擇自訂來源,然後選擇建立自訂來源

  4. 自訂來源詳細資訊區段中,輸入自訂來源的全域唯一名稱。然後,選取描述自訂來源將傳送至 Security Lake 的資料類型的 OCSF 事件類別。

  5. 對於AWS 帳戶 具有寫入資料許可的 ,請輸入將日誌和事件寫入資料湖之自訂來源的 AWS 帳戶 ID外部 ID

  6. 對於服務存取,請建立並使用新的服務角色,或使用提供 Security Lake 調用許可的現有服務角色 AWS Glue。

  7. 選擇建立

API

若要以程式設計方式新增自訂來源,請使用 Security Lake API 的 CreateCustomLogSource 操作。在 AWS 區域 您要建立自訂來源的 中使用 操作。如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 create-custom-log-source 命令。

在您的請求中,使用支援的參數來指定自訂來源的組態設定:

  • sourceName – 指定來源的名稱。名稱必須是區域唯一值。

  • eventClasses – 指定一或多個 OCSF 事件類別,描述來源將傳送至 Security Lake 的資料類型。如需 Security Lake 中支援做為來源的 OCSF 事件類別清單,請參閱開放網路安全結構描述架構 (OCSF)

  • sourceVersion – 選擇性地指定值,將日誌收集限制為特定版本的自訂來源資料。

  • crawlerConfiguration – 指定您建立用來叫用爬蟲程式之 IAM 角色的 AWS Glue Amazon Resource Name (ARN)。如需建立 IAM 角色的詳細步驟,請參閱新增自訂來源的先決條件

  • providerIdentity – 指定來源將用來將日誌和事件寫入資料湖的 AWS 身分和外部 ID。

下列範例會將自訂來源新增為指定區域中指定日誌提供者帳戶中的日誌來源。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake create-custom-log-source \ --source-name EXAMPLE_CUSTOM_SOURCE \ --event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \ --configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"} \ --region=[“ap-southeast-2”]

在 中保持更新自訂來源資料 AWS Glue

在 Security Lake 中新增自訂來源後,Security Lake 會建立 AWS Glue 爬蟲程式。爬蟲程式會連線至您的自訂來源、決定資料結構,並使用資料表填入 AWS Glue 資料目錄。

我們建議手動執行爬蟲程式,讓您的自訂來源結構描述保持在最新狀態,並維護 Athena 和其他查詢服務的查詢功能。具體而言,如果自訂來源的輸入資料集發生下列任一變更,您應該執行爬蟲程式:

  • 資料集有一或多個新的最上層資料欄。

  • 資料集在具有struct資料類型的欄中有一或多個新欄位。

如需執行爬蟲程式的說明,請參閱《 AWS Glue 開發人員指南》中的排程 AWS Glue 爬蟲程式

Security Lake 無法刪除或更新您帳戶中現有的爬蟲程式。如果您刪除自訂來源,如果您計劃在未來建立具有相同名稱的自訂來源,建議您刪除相關聯的爬蟲程式。

支援的 OCSF 事件類別

Open Cybersecurity Schema Framework (OCSF) 事件類別說明自訂來源將傳送至 Security Lake 的資料類型。支援的事件類別清單如下:

public enum OcsfEventClass { ACCOUNT_CHANGE, API_ACTIVITY, APPLICATION_LIFECYCLE, AUTHENTICATION, AUTHORIZE_SESSION, COMPLIANCE_FINDING, DATASTORE_ACTIVITY, DEVICE_CONFIG_STATE, DEVICE_CONFIG_STATE_CHANGE, DEVICE_INVENTORY_INFO, DHCP_ACTIVITY, DNS_ACTIVITY, DETECTION_FINDING, EMAIL_ACTIVITY, EMAIL_FILE_ACTIVITY, EMAIL_URL_ACTIVITY, ENTITY_MANAGEMENT, FILE_HOSTING_ACTIVITY, FILE_SYSTEM_ACTIVITY, FTP_ACTIVITY, GROUP_MANAGEMENT, HTTP_ACTIVITY, INCIDENT_FINDING, KERNEL_ACTIVITY, KERNEL_EXTENSION, MEMORY_ACTIVITY, MODULE_ACTIVITY, NETWORK_ACTIVITY, NETWORK_FILE_ACTIVITY, NTP_ACTIVITY, PATCH_STATE, PROCESS_ACTIVITY, RDP_ACTIVITY, REGISTRY_KEY_ACTIVITY, REGISTRY_VALUE_ACTIVITY, SCHEDULED_JOB_ACTIVITY, SCAN_ACTIVITY, SECURITY_FINDING, SMB_ACTIVITY, SSH_ACTIVITY, USER_ACCESS, USER_INVENTORY, VULNERABILITY_FINDING, WEB_RESOURCE_ACCESS_ACTIVITY, WEB_RESOURCES_ACTIVITY, WINDOWS_RESOURCE_ACTIVITY, // 1.3 OCSF event classes ADMIN_GROUP_QUERY, DATA_SECURITY_FINDING, EVENT_LOG_ACTIVITY, FILE_QUERY, FILE_REMEDIATION_ACTIVITY, FOLDER_QUERY, JOB_QUERY, KERNEL_OBJECT_QUERY, MODULE_QUERY, NETWORK_CONNECTION_QUERY, NETWORK_REMEDIATION_ACTIVITY, NETWORKS_QUERY, PERIPHERAL_DEVICE_QUERY, PROCESS_QUERY, PROCESS_REMEDIATION_ACTIVITY, REMEDIATION_ACTIVITY, SERVICE_QUERY, SOFTWARE_INVENTORY_INFO, TUNNEL_ACTIVITY, USER_QUERY, USER_SESSION_QUERY, // 1.3 OCSF event classes (Win extension) PREFETCH_QUERY, REGISTRY_KEY_QUERY, REGISTRY_VALUE_QUERY, WINDOWS_SERVICE_ACTIVITY }