在 Security Lake 中新增自訂來源 - Amazon Security Lake
在 中保持自訂來源資料更新 AWS Glue支援的 OCSF 事件類別

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Lake 中新增自訂來源

建立 IAM 角色以叫用 AWS Glue 爬蟲程式之後,請依照下列步驟在 Security Lake 中新增自訂來源。

Console

  1. 在 https://https://console.aws.amazon.com/securitylake/ 開啟 Security Lake 主控台。

  2. 使用頁面右上角的 AWS 區域 選取器,選取您要建立自訂來源的區域。

  3. 在導覽窗格中選擇自訂來源,然後選擇建立自訂來源

  4. 自訂來源詳細資訊區段中,輸入自訂來源的全域唯一名稱。然後,選取描述自訂來源將傳送至 Security Lake 的資料類型的 OCSF 事件類別。

  5. 對於AWS 帳戶 具有寫入資料許可的 ,輸入將寫入日誌和事件到資料湖的自訂來源AWS 帳戶 的 ID外部 ID

  6. 對於服務存取,請建立並使用新的服務角色,或使用現有的服務角色,以授予 Security Lake 調用許可 AWS Glue。

  7. 選擇 Create (建立)。

API

若要以程式設計方式新增自訂來源,請使用 Security Lake API 的 CreateCustomLogSource 操作。在 AWS 區域 您要建立自訂來源的 中使用 操作。如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 create-custom-log-source 命令。

在您的請求中,使用支援的參數來指定自訂來源的組態設定:

  • sourceName – 指定來源的名稱。名稱必須是區域唯一值。

  • eventClasses – 指定一或多個 OCSF 事件類別,描述來源將傳送至 Security Lake 的資料類型。如需 Security Lake 中支援做為來源的 OCSF 事件類別清單,請參閱開放式網路安全結構描述架構 (OCSF)

  • sourceVersion – 或者,指定一個值,將日誌收集限制為自訂來源資料的特定版本。

  • crawlerConfiguration – 指定您建立用來叫用爬蟲程式之 IAM 角色的 AWS Glue Amazon Resource Name (ARN)。如需建立 IAM 角色的詳細步驟,請參閱新增自訂來源的先決條件

  • providerIdentity – 指定來源將用來將日誌和事件寫入資料湖的 AWS 身分和外部 ID。

下列範例會在指定區域的指定日誌提供者帳戶中,將自訂來源新增為日誌來源。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake create-custom-log-source \
--source-name EXAMPLE_CUSTOM_SOURCE \
--event-classes '["DNS_ACTIVITY", "NETWORK_ACTIVITY"]' \
--configuration crawlerConfiguration={"roleArn=arn:aws:iam::XXX:role/service-role/RoleName"},providerIdentity={"externalId=ExternalId,principal=principal"}  \
--region=[“ap-southeast-2”]

在 中保持自訂來源資料更新 AWS Glue

在 Security Lake 中新增自訂來源後,Security Lake 會建立 AWS Glue 爬蟲程式。爬蟲程式會連接至您的自訂來源、決定資料結構,並使用資料表填入 AWS Glue Data Catalog。

我們建議手動執行爬蟲程式,讓您的自訂來源結構描述保持在最新狀態,並維護 Athena 和其他查詢服務的查詢功能。具體而言,如果自訂來源的輸入資料集發生下列任一變更,您應該執行爬蟲程式:

  • 資料集有一或多個新的最上層資料欄。

  • 資料集在具有struct資料類型的欄中有一或多個新欄位。

如需執行爬蟲程式的說明,請參閱《 AWS Glue 開發人員指南》中的排程 AWS Glue 爬蟲程式

Security Lake 無法刪除或更新您帳戶中現有的爬蟲程式。如果您刪除自訂來源,如果您計劃在未來建立具有相同名稱的自訂來源,建議您刪除相關聯的爬蟲程式。

支援的 OCSF 事件類別

Open Cybersecurity Schema Framework (OCSF) 事件類別說明自訂來源將傳送至 Security Lake 的資料類型。支援的事件類別清單如下:

public enum OcsfEventClass {
    ACCOUNT_CHANGE,
    API_ACTIVITY,
    APPLICATION_LIFECYCLE,
    AUTHENTICATION,
    AUTHORIZE_SESSION,
    COMPLIANCE_FINDING,
    DATASTORE_ACTIVITY,
    DEVICE_CONFIG_STATE,
    DEVICE_CONFIG_STATE_CHANGE,
    DEVICE_INVENTORY_INFO,
    DHCP_ACTIVITY,
    DNS_ACTIVITY,
    DETECTION_FINDING,
    EMAIL_ACTIVITY,
    EMAIL_FILE_ACTIVITY,
    EMAIL_URL_ACTIVITY,
    ENTITY_MANAGEMENT,
    FILE_HOSTING_ACTIVITY,
    FILE_SYSTEM_ACTIVITY,
    FTP_ACTIVITY,
    GROUP_MANAGEMENT,
    HTTP_ACTIVITY,
    INCIDENT_FINDING,
    KERNEL_ACTIVITY,
    KERNEL_EXTENSION,
    MEMORY_ACTIVITY,
    MODULE_ACTIVITY,
    NETWORK_ACTIVITY,
    NETWORK_FILE_ACTIVITY,
    NTP_ACTIVITY,
    PATCH_STATE,
    PROCESS_ACTIVITY,
    RDP_ACTIVITY,
    REGISTRY_KEY_ACTIVITY,
    REGISTRY_VALUE_ACTIVITY,
    SCHEDULED_JOB_ACTIVITY,
    SCAN_ACTIVITY,
    SECURITY_FINDING,
    SMB_ACTIVITY,
    SSH_ACTIVITY,
    USER_ACCESS,
    USER_INVENTORY,
    VULNERABILITY_FINDING,
    WEB_RESOURCE_ACCESS_ACTIVITY,
    WEB_RESOURCES_ACTIVITY,
    WINDOWS_RESOURCE_ACTIVITY,
    // 1.3 OCSF event classes
    ADMIN_GROUP_QUERY,
    DATA_SECURITY_FINDING,
    EVENT_LOG_ACTIVITY,
    FILE_QUERY,
    FILE_REMEDIATION_ACTIVITY,
    FOLDER_QUERY,
    JOB_QUERY,
    KERNEL_OBJECT_QUERY,
    MODULE_QUERY,
    NETWORK_CONNECTION_QUERY,
    NETWORK_REMEDIATION_ACTIVITY,
    NETWORKS_QUERY,
    PERIPHERAL_DEVICE_QUERY,
    PROCESS_QUERY,
    PROCESS_REMEDIATION_ACTIVITY,
    REMEDIATION_ACTIVITY,
    SERVICE_QUERY,
    SOFTWARE_INVENTORY_INFO,
    TUNNEL_ACTIVITY,
    USER_QUERY,
    USER_SESSION_QUERY,
    // 1.3 OCSF event classes (Win extension)
    PREFETCH_QUERY,
    REGISTRY_KEY_QUERY,
    REGISTRY_VALUE_QUERY,
    WINDOWS_SERVICE_ACTIVITY
}