Verbindung zu einer Amazon CloudWatch -Datenquelle herstellen

Verbinden Sie die Amazon CloudWatch -Datenquelle mit der Plattform, damit Ihre Anwendungen und Dashboards Amazon CloudWatch -Sicherheitsdaten erfassen und analysieren können. Universal Data Insights -Connectors ermöglichen die föderierte Suche in Ihren Sicherheitsprodukten.

1. Rufen Sie Menü > Verbindungen > Datenquellenauf.
2. Klicken Sie auf der Registerkarte Datenquellen auf Datenquelle verbinden.
3. Wählen Sie den Datenquellentyp aus.
4. Konfigurieren Sie die Verbindung zur Datenquelle.
   1. Weisen Sie im Feld Datenquellenname einen Namen zu, der die Datenquellenverbindung eindeutig identifiziert.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher empfiehlt es sich, diesen Instanzen zur besseren Unterscheidung eindeutige Namen zu geben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
   2. Geben Sie im Feld Datenquellenbeschreibung eine Beschreibung für den Zweck der Datenquellenverbindung ein.
      Sie können mehrere Verbindungsinstanzen zu einer Datenquelle erstellen. Daher ist es nützlich, den Zweck jeder Verbindung mit einer eindeutigen Beschreibung anzugeben. Es sind nur alphanumerische Zeichen und die folgenden Sonderzeichen zulässig: - . _
   3. Wenn Sie über eine Firewall zwischen Ihrem Cluster und dem Datenquellenziel verfügen, verwenden Sie Edge Gateway als Host für die Container. Geben Sie im Feld Edge-Gateway (optional) an, welche Edge Gateway verwendet werden soll.
      Wählen Sie ein Edge Gateway als Host für den Connector aus. Es kann bis zu fünf Minuten dauern, bis der Status neu implementierter Datenquellenverbindungen auf dem Edge Gateway als verbunden angezeigt wird.
   4. Geben Sie im Feld Region die CloudWatch -Region für die Datenquelle an. Wählen Sie Ihren Regionscode in der Spalte "Region" der Tabelle "Serviceendpunkte" in AWS Allgemeines Referenzhandbuch (https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) aus.
   5. Geben Sie im Feld Protokollgruppennamen die Protokollgruppennamen der CloudWatch -Protokolle an, zu denen Sie eine Verbindung herstellen möchten. Wenn die Namen der Protokollgruppen nicht angegeben werden, werden alle verfügbaren Protokollgruppen verbunden.
      Dieses Feld ist optional. Der Wert der Protokollgruppennamen muss ein bestimmtes JSON-Format verwenden:

      {"<service_type>": "<service_log_group_name>"}

      Beispiel:

      {"vpcflow": "vpcflow_log_group_name"}

      Um Protokolle von mehreren Service-Typen abzurufen, können die Service-Typen und ihre zugehörigen Protokollgruppennamen im JSON durch ein Komma getrennt angegeben werden. Beispiel:

      {"vpcflow": "vpcflow_log_group_name", "guardduty": "guardduty_log_group_name"}

5. Legen Sie die Abfrageparameter fest, um das Verhalten der Suchabfrage für die Datenquelle zu steuern.
   1. Legen Sie im Feld Grenzwert für gleichzeitige Suche fest, wie viele gleichzeitige Verbindungen zur Datenquelle hergestellt werden können. Der Standardgrenzwert für die Anzahl der Verbindungen ist 4. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
   2. Legen Sie im Feld Zeitlimit für Abfragesuche das Zeitlimit in Minuten für die Ausführung der Abfrage in der Datenquelle fest. Standardzeitlimit ist 30. Wenn der Wert auf 0 gesetzt wird ist, gibst es kein Zeitlimit. Der Wert darf nicht kleiner als 1 und nicht größer als 120 sein.
   3. Legen Sie im Feld Grenzwert für Ergebnisgröße die maximale Anzahl der Einträge oder Objekte fest, die von der Suchabfrage zurückgegeben werden. Die Standardgröße der Ergebnisse ist auf 10.000 begrenzt. Der Wert darf nicht kleiner als 1 und nicht größer als 500.000 sein.
   4. Legen Sie im Feld Abfragezeitbereich den Zeitbereich in Minuten für die Suche fest, der als die letzten X Minuten dargestellt wird. Standard ist 5 Minuten. Der Wert darf weder kleiner als 1 noch größer als 10.000 sein.
   Wichtig: Wenn Sie den Grenzwert für die gleichzeitige Suche und den Grenzwert für die Ergebnisgröße erhöhen, kann eine größere Datenmenge an die Datenquelle gesendet werden, was die Belastung der Datenquelle erhöht. Eine Erhöhung des Abfragezeitbereichs erhöht auch das Datenvolumen.
6. Optional: Wenn Sie die STIX-Attributzuordnung anpassen müssen, klicken Sie auf Attributzuordnung anpassen und bearbeiten Sie das JSON-BLOB, um den zugehörigen Zieldatenquellenfeldern neue oder vorhandene Eigenschaften zuzuordnen.
7. Konfigurieren Sie Identität und Zugriff.
   1. Klicken Sie auf Konfiguration hinzufügen.
   2. Geben Sie im Feld Konfigurationsname einen eindeutigen Namen ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
   3. Geben Sie im Feld Konfigurationsbeschreibung eine eindeutige Beschreibung ein, um die Zugriffskonfiguration zu beschreiben und von den anderen Zugriffskonfigurationen für diese Datenquellenverbindung zu unterscheiden, die Sie möglicherweise einrichten. Nur alphanumerische Zeichen und die folgenden Sonderzeichen sind zulässig: - . _
   4. Klicken Sie auf Zugriff bearbeiten und wählen Sie die Benutzer aus, die eine Verbindung zur Datenquelle herstellen können, sowie den Zugriffstyp.
   5. Einrichten der AWS -Authentifizierung, um den Zugriff auf die AWS -Such-API zu ermöglichen.
      • Wenn Sie eine schlüsselbasierte AWS -Authentifizierung einrichten möchten, geben Sie Werte für die Parameter AWS Access key id und AWS secret access key ein.
      • Geben Sie zum Einrichten einer rollenbasierten AWS -Authentifizierung Werte für die Parameter AWS -Zugriffsschlüssel-ID, AWS -Zugriffsschlüsselund AWS IAM-Rolle ein.

      Weitere Informationen zur AWS -Authentifizierung finden Sie unter AWS konfigurieren.
   6. Wenn CloudWatch mit einem selbst signierten SSL-Zertifikat (Security Sockets Layer) konfiguriert ist, fügen Sie ein Verbindungszertifikat hinzu.

      Um zu überprüfen, ob Sie ein selbstsigniertes Zertifikat haben, können Sie im Web nach "ssl decode" suchen und dann Ihr Zertifikat kopieren und in einen Certificate Decoder einfügen. Wenn der Wert im Feld Allgemeiner Name lokal ist, z. B. yourlocalhost.yourlocaldomain, gibt er ein selbst signiertes Zertifikat an.

      Kopieren Sie die Zertifikatsdetails und fügen Sie sie in das dafür vorgesehene Feld ein.

   7. Klicken Sie auf Hinzufügen.
   8. Klicken Sie auf Fertig, um Ihre Konfiguration zu speichern und die Verbindung herzustellen.
   Sie können die Datenquellenverbindungskonfiguration anzeigen, die Sie unter "Verbindungen" auf der Seite mit den Einstellungen für die Datenquelle hinzugefügt haben. Eine Nachricht auf der Karte gibt die Verbindung zu der Datenquelle an.

   Wenn Sie eine Datenquelle hinzufügen, kann es einige Minuten dauern, bis die Datenquelle als verbunden angezeigt wird.

   Tipp: Nachdem Sie eine Datenquelle verbunden haben, kann es bis zu 30 Sekunden dauern, bis die Daten abgerufen werden. Bevor das vollständige Dataset zurückgegeben wird, wird die Datenquelle möglicherweise als nicht verfügbar angezeigt. Nachdem die Daten zurückgegeben wurden, wird die Datenquelle als verbunden angezeigt und ein Abfragemechanismus wird ausgeführt, um den Verbindungsstatus zu validieren. Der Verbindungsstatus ist nach jeder Abfrage 60 Sekunden lang gültig.

   Sie können für diese Datenquelle weitere Verbindungskonfigurationen mit anderen Benutzern und anderen Datenzugriffsberechtigungen hinzufügen.

8. Gehen Sie wie folgt vor, um Ihre Konfigurationen zu bearbeiten:
   1. Wählen Sie auf der Registerkarte Datenquellen die Datenquellenverbindung aus, die Sie bearbeiten möchten.
   2. Klicken Sie im Abschnitt Konfigurationen auf Konfiguration bearbeiten ().
   3. Bearbeiten Sie die Identitäts-und Zugriffsparameter und klicken Sie auf Speichern.