Menambahkan sumber khusus di Security Lake - Amazon Security Lake
Menjaga data sumber kustom diperbarui AWS GlueKelas acara OCSF yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menambahkan sumber khusus di Security Lake

Setelah membuat peran IAM untuk memanggil AWS Glue crawler, ikuti langkah-langkah berikut untuk menambahkan sumber kustom di Security Lake.

Console

  1. Buka konsol Security Lake di https://console.aws.amazon.com/securitylake/.

  2. Dengan menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin membuat sumber kustom.

  3. Pilih Sumber kustom di panel navigasi, lalu pilih Buat sumber kustom.

  4. Di bagian Detail sumber kustom, masukkan nama unik global untuk sumber kustom Anda. Kemudian, pilih kelas acara OCSF yang menjelaskan jenis data yang akan dikirim sumber kustom ke Security Lake.

  5. Untuk Akun AWS dengan izin untuk menulis data, masukkan Akun AWS ID dan ID Eksternal dari sumber kustom yang akan menulis log dan peristiwa ke data lake.

  6. Untuk Akses Layanan, buat dan gunakan peran layanan baru atau gunakan peran layanan yang ada yang memberikan izin Security Lake untuk memanggil AWS Glue.

  7. Pilih Buat.

API

Untuk menambahkan sumber kustom secara terprogram, gunakan CreateCustomLogSourcepengoperasian Security Lake API. Gunakan operasi di Wilayah AWS tempat Anda ingin membuat sumber kustom. Jika Anda menggunakan AWS Command Line Interface (AWS CLI), jalankan create-custom-log-sourceperintah.

Dalam permintaan Anda, gunakan parameter yang didukung untuk menentukan pengaturan konfigurasi untuk sumber kustom:

  • sourceName— Tentukan nama untuk sumbernya. Nama harus menjadi nilai Regional yang unik.

  • eventClasses— Tentukan satu atau lebih kelas acara OCSF untuk menggambarkan jenis data yang akan dikirim sumber ke Security Lake. Untuk daftar kelas acara OCSF yang didukung sebagai sumber di Security Lake, lihat Open Cybersecurity Schema Framework (OCSF).

  • sourceVersion— Secara opsional, tentukan nilai untuk membatasi pengumpulan log ke versi tertentu dari data sumber kustom.

  • crawlerConfiguration— Tentukan Nama Sumber Daya Amazon (ARN) dari peran IAM yang Anda buat untuk memanggil crawler. AWS Glue Untuk langkah-langkah mendetail untuk membuat peran IAM, lihat Prasyarat untuk menambahkan sumber kustom

  • providerIdentity— Tentukan AWS identitas dan ID eksternal yang akan digunakan sumber untuk menulis log dan peristiwa ke danau data.

Contoh berikut menambahkan sumber kustom sebagai sumber log di akun penyedia log yang ditunjuk di Wilayah yang ditunjuk. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securitylake create-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE \
--event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
--configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"}  \
--region=[“ap-southeast-2”]

Menjaga data sumber kustom diperbarui AWS Glue

Setelah Anda menambahkan sumber kustom di Security Lake, Security Lake membuat AWS Glue crawler. Crawler terhubung ke sumber kustom Anda, menentukan struktur data, dan mengisi Katalog AWS Glue Data dengan tabel.

Sebaiknya jalankan crawler secara manual agar skema sumber kustom Anda tetap mutakhir dan mempertahankan fungsionalitas kueri di Athena dan layanan kueri lainnya. Secara khusus, Anda harus menjalankan crawler jika salah satu dari perubahan berikut terjadi dalam kumpulan data input Anda untuk sumber kustom:

  • Kumpulan data memiliki satu atau lebih kolom tingkat atas baru.

  • Kumpulan data memiliki satu atau lebih bidang baru dalam kolom dengan struct tipe data.

Untuk petunjuk tentang menjalankan crawler, lihat Menjadwalkan AWS Glue crawler di Panduan Pengembang.AWS Glue

Security Lake tidak dapat menghapus atau memperbarui crawler yang ada di akun Anda. Jika Anda menghapus sumber kustom, sebaiknya hapus crawler terkait jika Anda berencana membuat sumber kustom dengan nama yang sama di masa mendatang.

Kelas acara OCSF yang didukung

Kelas acara Open Cybersecurity Schema Framework (OCSF) menjelaskan jenis data yang akan dikirim sumber kustom ke Security Lake. Daftar kelas acara yang didukung adalah:

public enum OcsfEventClass {
    ACCOUNT_CHANGE,
    API_ACTIVITY,
    APPLICATION_LIFECYCLE,
    AUTHENTICATION,
    AUTHORIZE_SESSION,
    COMPLIANCE_FINDING,
    DATASTORE_ACTIVITY,
    DEVICE_CONFIG_STATE,
    DEVICE_CONFIG_STATE_CHANGE,
    DEVICE_INVENTORY_INFO,
    DHCP_ACTIVITY,
    DNS_ACTIVITY,
    DETECTION_FINDING,
    EMAIL_ACTIVITY,
    EMAIL_FILE_ACTIVITY,
    EMAIL_URL_ACTIVITY,
    ENTITY_MANAGEMENT,
    FILE_HOSTING_ACTIVITY,
    FILE_SYSTEM_ACTIVITY,
    FTP_ACTIVITY,
    GROUP_MANAGEMENT,
    HTTP_ACTIVITY,
    INCIDENT_FINDING,
    KERNEL_ACTIVITY,
    KERNEL_EXTENSION,
    MEMORY_ACTIVITY,
    MODULE_ACTIVITY,
    NETWORK_ACTIVITY,
    NETWORK_FILE_ACTIVITY,
    NTP_ACTIVITY,
    PATCH_STATE,
    PROCESS_ACTIVITY,
    RDP_ACTIVITY,
    REGISTRY_KEY_ACTIVITY,
    REGISTRY_VALUE_ACTIVITY,
    SCHEDULED_JOB_ACTIVITY,
    SCAN_ACTIVITY,
    SECURITY_FINDING,
    SMB_ACTIVITY,
    SSH_ACTIVITY,
    USER_ACCESS,
    USER_INVENTORY,
    VULNERABILITY_FINDING,
    WEB_RESOURCE_ACCESS_ACTIVITY,
    WEB_RESOURCES_ACTIVITY,
    WINDOWS_RESOURCE_ACTIVITY,
    // 1.3 OCSF event classes
    ADMIN_GROUP_QUERY,
    DATA_SECURITY_FINDING,
    EVENT_LOG_ACTIVITY,
    FILE_QUERY,
    FILE_REMEDIATION_ACTIVITY,
    FOLDER_QUERY,
    JOB_QUERY,
    KERNEL_OBJECT_QUERY,
    MODULE_QUERY,
    NETWORK_CONNECTION_QUERY,
    NETWORK_REMEDIATION_ACTIVITY,
    NETWORKS_QUERY,
    PERIPHERAL_DEVICE_QUERY,
    PROCESS_QUERY,
    PROCESS_REMEDIATION_ACTIVITY,
    REMEDIATION_ACTIVITY,
    SERVICE_QUERY,
    SOFTWARE_INVENTORY_INFO,
    TUNNEL_ACTIVITY,
    USER_QUERY,
    USER_SESSION_QUERY,
    // 1.3 OCSF event classes (Win extension)
    PREFETCH_QUERY,
    REGISTRY_KEY_QUERY,
    REGISTRY_VALUE_QUERY,
    WINDOWS_SERVICE_ACTIVITY
}