Amazon Athena 데이터 소스에 연결

온라인 편집

Amazon Athena 데이터 소스를 플랫폼에 연결하여 애플리케이션 및 대시보드에서 Amazon Athena 보안 데이터를 수집하고 분석할 수 있도록 하십시오. Universal Data Insights 커넥터를 사용하면 보안 제품 전체에서 연합 검색을 사용할 수 있습니다.

시작하기 전에

AWS 관리자와 협업하여 CloudWatch 데이터 소스를 조회할 수 있는 액세스 권한이 있는 사용자 계정을 확보하십시오.

Amazon Athena 에서 VPC 플로우 로그 구성
  1. Amazon 콘솔에서 VPC 플로우 로그를 사용으로 설정하십시오.
  2. Amazon S3 버킷에 로그를 저장하도록 VPC 플로우 로그 서비스를 구성하십시오. 자세한 정보는 Amazon S3 (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html) 를 참조하십시오.
  3. Amazon Athena 서비스에서 VPC 플로우 로그에 대한 Amazon VPC 테이블을 작성하십시오. 자세한 정보는 Amazon VPC 플로우 로그 조회 (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) 를 참조하십시오.

Amazon Athena 에서 Amazon GuardDuty 구성

  1. Amazon Console에서 GuardDuty 기능을 사용으로 설정하십시오.
  2. Amazon S3 버킷에서 찾은 결과를 내보내도록 GuardDuty 기능을 구성하십시오. 자세한 정보는 찾은 결과 내보내기 (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html) 를 참조하십시오.
  3. Amazon Athena에서 GuardDuty 찾은 결과에 대한 표를 작성하십시오. 자세한 정보는 Amazon GuardDuty 찾은 결과 조회 (https://docs.aws.amazon.com/athena/latest/ug/querying-guardduty.html) 를 참조하십시오.
Amazon Athena 에서 Amazon Security Lake 를 구성하십시오.
  1. Amazon Console에서 Amazon Security Lake 를 사용으로 설정하고 시작하십시오. 자세한 정보는 Amazon Security Lake 시작하기 (https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) 를 참조하십시오.
  2. Amazon Security Lake 가 OCSF (Open Cybersecurity Schema Framework) 형식으로 로그를 저장하는지 확인하십시오. 자세한 정보는 Open Cybersecurity Schema Framework (OCSF) 형식 (https://schema.ocsf.io/) 을 참조하십시오.
  3. 클라이언트 프로그램에는 구독자로서 AWS Lake Formation 테이블에 대한 조회 액세스 권한이 있어야 합니다. 다음 목록에는 Amazon Athena 커넥터에 대한 최소 IAM 권한이 포함되어 있습니다.
    • "athena:GetQuery실행"
    • "athena:GetQuery결과"
    • "athena:ListWork그룹"
    • "athena:StartQuery실행"
    • "athena:StopQuery실행"
    • "글루:GetDatabases"
    • "글루:GetTable"
    • "s3:AbortMultipartUpload"
    • "s3:DeleteObject"
    • "s3:GetBucketLocation"
    • "s3:GetObject"
    • "s3:ListBucket",
    • "s3:ListBucketMultipartUploads"
    • "s3:ListMultipartUploadParts"
    • "s3:PutObject"
    • "sts:AssumeRole"
    자세한 정보는 Amazon Security Lake에서 구독자 관리 (https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) 를 참조하십시오.

클러스터와 데이터 소스 대상 사이에 방화벽이 있는 경우 IBM® Security Edge Gateway 를 사용하여 컨테이너를 호스팅하십시오. Edge Gateway 는 V1.6 이상이어야 합니다. 자세한 정보는 Edge Gateway 설정을 참조하십시오.

이 태스크에 대한 정보

Amazon Athena 는 표준 SQL을 사용하여 Amazon S3의 데이터를 분석합니다. Amazon GuardDuty 로그 및 VPC 플로우 로그에 대한 데이터 소스 연결이 지원됩니다.

STIX (Structured Threat Information eXpression ) 는 조직이 사이버 위협 인텔리전스를 교환하는 데 사용하는 언어 및 직렬화 형식입니다. Amazon Athena 커넥터는 STIX 패턴화를 사용하여 Amazon Athena 데이터를 조회하고 결과를 STIX 오브젝트로 리턴합니다. Amazon Athena 데이터 스키마를 STIX에 맵핑하는 방법에 대한 자세한 정보는 Amazon Athena STIX 맵핑 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_athena_supported_stix.md) 을 참조하십시오.

프로시저

  1. 메뉴 > 연결 > 데이터 소스로 이동하십시오.
  2. 데이터 소스 탭에서 데이터 소스 연결을 클릭하십시오.
  3. Amazon Athena를 클릭한 후 다음을 클릭하십시오.
  4. 데이터 소스에 대한 연결을 구성하십시오.
    1. 데이터 소스 이름 필드에서 데이터 소스 연결을 고유하게 식별하는 이름을 지정하십시오.
      데이터 소스에 복수의 연결 인스턴스를 작성하여 이름별로 명확하게 구분하는 것이 좋습니다. 영숫자 문자 및 다음 특수 문자가 허용됩니다. - . _
    2. 데이터 소스 설명 필드에 데이터 소스 연결의 목적을 표시하는 설명을 작성하십시오.
      데이터 소스에 복수의 연결 인스턴스를 작성하여 설명을 통해 각 연결의 용도를 명확하게 나타낼 수 있습니다. 영숫자 문자 및 다음 특수 문자가 허용됩니다. - . _
    3. 클러스터와 데이터 소스 대상 사이에 방화벽이 있는 경우 Edge Gateway 를 사용하여 컨테이너를 호스팅하십시오. 에지 게이트웨이 (선택사항) 필드에서 사용할 Edge Gateway 를 지정하십시오.
      커넥터를 호스트할 Edge Gateway 를 선택하십시오. Edge Gateway 에서 새로 배치된 데이터 소스 연결의 상태가 연결됨으로 표시되는 데 최대 5분이 걸릴 수 있습니다.
    4. 지역 필드에서 데이터 소스의 Amazon Athena 지역을 설정하십시오. Amazon Athena 엔드포인트 및 할당량 (https://docs.aws.amazon.com/general/latest/gr/athena.html) 에 있는 서비스 엔드포인트 테이블의 지역 컬럼에서 지역 코드를 선택하십시오.
    5. Amazon S3 버킷 위치 필드에서 조회 결과가 저장될 S3 버킷의 위치를 설정하십시오.
    6. VPC 플로우 로그와 함께 Amazon Athena 를 사용하는 경우 VPC 플로우 로그 데이터베이스 이름 (선택사항) 필드에 VPC 플로우 로그를 포함하는 데이터베이스의 이름을 지정하십시오.
    7. VPC 플로우 로그와 함께 Amazon Athena 를 사용하는 경우 VPC 플로우 로그 테이블 이름 (선택사항) 필드에 VPC 플로우 로그를 포함하는 테이블의 이름을 지정하십시오.
    8. Amazon GuardDuty와 함께 Amazon Athena 를 사용하는 경우 Amazon GuardDuty 데이터베이스 이름 (선택사항) 필드에 Amazon GuardDuty 로그를 포함하는 데이터베이스의 이름을 지정하십시오.
    9. Amazon GuardDuty와 함께 Amazon Athena 를 사용하는 경우 Amazon GuardDuty 테이블 이름 (선택사항) 필드에 Amazon GuardDuty 로그를 포함하는 테이블의 이름을 지정하십시오.
    10. Amazon Athena 를 사용하여 Amazon Security Lake 로그를 조회하는 경우, OCSF 로그 데이터베이스 이름 (선택사항) 필드에 보안 로그를 포함하는 AWS Lake 정보 데이터베이스의 이름을 지정하십시오.
    11. Amazon Athena 를 사용하여 Amazon Security Lake 로그를 조회하는 경우, OCSF 로그 테이블 이름 (선택사항) 필드에 보안 로그를 포함하는 AWS Lake 형성 테이블의 이름을 지정하십시오.
  5. 데이터 소스에서 검색 조회의 동작을 제어하는 조회 매개변수를 설정하십시오.
    1. 동시 검색 한계 필드에서 데이터 소스에 대해 작성할 수 있는 동시 연결 수를 설정하십시오. 연결 수의 기본 한계는 4입니다. 이 값은 1보다 작거나 120보다 커서는 안됩니다.
    2. 조회 검색 제한시간 한계 필드에서 데이터 소스에 대해 조회가 실행되는 기간에 대한 시간 한계 (분) 를 설정하십시오. 기본 시간 제한은 30입니다. 값이 0으로 설정되면 시간 초과가 없습니다. 이 값은 1보다 작거나 120보다 커서는 안됩니다.
    3. 결과 크기 한계 필드에서 검색 조회에서 리턴되는 최대 항목 또는 오브젝트 수를 설정하십시오. 기본 결과 크기 제한은 10,000입니다. 값은 1보다 작거나 500 ,000보다 크지 않아야 합니다.
    4. 조회 시간 범위 필드에서 마지막 상태된 X 분으로 표시되는 검색 시간 범위를 분 단위로 설정하십시오. 기본값은 5분입니다. 이 값은 1보다 작거나 10,000보다 커서는 안됩니다.
    중요: 동시 검색 한계 및 결과 크기 한계를 늘리면 데이터 소스에 더 많은 양의 데이터를 전송할 수 있으며, 이는 데이터 소스에 대한 부담을 증가시킵니다. 쿼리 시간 범위를 늘리면 데이터의 양도 늘어납니다.
  6. 선택사항: STIX 속성 맵핑을 사용자 정의해야 하는 경우 속성 맵핑 사용자 정의 를 클릭하고 JSON BLOB를 편집하여 새 특성 또는 기존 특성을 연관된 대상 데이터 소스 필드에 맵핑하십시오.
  7. ID 및 액세스를 구성하십시오.
    1. 구성 추가를 클릭하십시오.
    2. 구성 이름 필드에 액세스 구성을 설명하고 설정할 수 있는 이 데이터 소스 연결에 대한 다른 액세스 구성과 구별할 수 있는 고유 이름을 입력하십시오. 영숫자 문자 및 다음 특수 문자만 허용됩니다. - . _
    3. 구성 설명 필드에 액세스 구성을 설명하고 설정할 수 있는 이 데이터 소스 연결에 대한 다른 액세스 구성과 구별할 수 있는 고유한 설명을 입력하십시오. 영숫자 문자 및 다음 특수 문자만 허용됩니다. - . _
    4. 액세스 편집 을 클릭하고 데이터 소스에 연결할 수 있는 사용자 및 액세스 유형을 선택하십시오.
    5. AWS 검색 API에 액세스할 수 있도록 AWS 인증을 설정하십시오.
      • AWS 키 기반 인증을 설정하려면 AWS 액세스 키 IDAWS 시크릿 액세스 키 매개변수의 값을 입력하십시오.
      • AWS 역할 기반 인증을 설정하려면 AWS 액세스 키 ID, AWS 시크릿 액세스 키AWS IAM 역할 매개변수의 값을 입력하십시오.
      • AWS 리소스에 대한 액세스 권한을 부여하고 역할 가정 인증을 설정하려면 AWS 역할 가정 매개변수의 외부 ID값을 입력하십시오. 자세한 정보는 써드파티 액세스에 외부 ID 사용 (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) 을 참조하십시오.
      AWS 인증에 대한 자세한 정보는 AWS 인증 구성을 참조하십시오.
    6. 추가를 클릭하십시오.
    7. 구성을 저장하고 연결을 설정하려면 완료를 클릭하십시오.
    데이터 소스 설정 페이지의 연결에서 추가된 데이터 소스 연결 구성을 확인할 수 있습니다. 카드의 메시지는 데이터 소스와의 연결을 나타냅니다.
    데이터 소스를 추가할 때 데이터 소스가 연결된 것으로 표시되기 전에 몇 분이 걸릴 수 있습니다.
    팁: 데이터 소스를 연결한 후 데이터를 검색하는 데 최대 30초가 걸릴 수 있습니다. 전체 데이터 세트가 리턴되기 전에 데이터 소스가 사용 불가능으로 표시될 수 있습니다. 데이터가 리턴된 후 데이터 소스는 연결된 것으로 표시되고 연결 상태를 유효성 검증하기 위한 폴링 메커니즘이 발생합니다. 연결 상태는 폴링 후 60초동안 유효합니다.

    다른 사용자 및 다른 데이터 액세스 권한이 있는 이 데이터 소스에 대한 다른 연결 구성을 추가할 수 있습니다.

  8. 구성을 편집하려면 다음 단계를 완료하십시오.
    1. 데이터 소스 탭에서 편집할 데이터 소스 연결을 선택하십시오.
    2. 구성 섹션에서 구성 편집 (구성 편집 아이콘) 을 클릭하십시오.
    3. ID및 액세스 매개변수를 편집하고 저장을 클릭하십시오.

다음에 수행할 작업

IBM Security Data Explorer에 대해 쿼리를 실행하여 연결을 테스트하십시오. Data Explorer를 사용하려면 애플리케이션이 통합된 데이터 소스 세트에서 조회를 실행하고 결과를 검색할 수 있도록 연결된 데이터 소스가 있어야 합니다. 검색 결과는 구성된 데이터 소스에 포함된 데이터에 따라 달라집니다. Data Explorer에서 조회를 빌드하는 방법에 대한 자세한 정보는 조회 빌드를 참조하십시오.