Nawiązywanie połączenia ze źródłem danych Amazon Athena

Edytuj w trybie z połączeniem

Połącz źródło danych Amazon Athena z platformą, aby umożliwić aplikacjom i panelom kontrolnym gromadzenie i analizowanie danych bezpieczeństwa Amazon Athena . Konektory Universal Data Insights umożliwiają wyszukiwanie stowarzyszone między produktami zabezpieczeń.

Zanim rozpoczniesz

Współpracuj z administratorem AWS , aby uzyskać konto użytkownika z dostępem do źródła danych CloudWatch .

Konfigurowanie dzienników przepływu VPC w programie Amazon Athena
  1. Włącz dzienniki przepływu VPC w konsoli Amazon Console.
  2. Skonfiguruj usługę dziennika przepływu VPC, aby zapisywać dzienniki w zasobniku Amazon S3 . Więcej informacji na ten temat zawiera sekcja Publikowanie dzienników przepływu w usłudze Amazon S3 (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html).
  3. Utwórz tabelę VPC Amazon dla dzienników przepływu VPC w usłudze Amazon Athena . Więcej informacji na ten temat zawiera sekcja Tworzenie zapytań do dzienników przepływów VPC Amazon (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html).

Konfigurowanie produktu Amazon GuardDuty w produkcie Amazon Athena

  1. Włącz funkcje GuardDuty w konsoli Amazon Console.
  2. Skonfiguruj funkcję GuardDuty , aby wyeksportować spostrzeżenia z zasobnika Amazon S3 . Więcej informacji na ten temat zawiera sekcja Eksportowanie Spostrzeżeń (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html).
  3. Utwórz tabelę dla spostrzeżeń GuardDuty w Amazon Athena. Więcej informacji na ten temat zawiera sekcja Wyszukiwanie Amazon GuardDuty Spostrzeżenia (https://docs.aws.amazon.com/athena/latest/ug/querying-guardduty.html).
Skonfiguruj Amazon Security Lake w Amazon Athena
  1. Włącz i uruchom Amazon Security Lake w konsoli Amazon Console. Więcej informacji na ten temat zawiera sekcja Pierwsze kroki z Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html).
  2. Upewnij się, że Amazon Security Lake przechowuje dzienniki w formacie Open Cybersecurity Schema Framework (OCSF). Więcej informacji na ten temat zawiera dokument Open Cybersecurity Schema Framework (OCSF) format (https://schema.ocsf.io/).
  3. Program kliencki musi mieć dostęp do tabel AWS Lake Formation jako subskrybent. Następująca lista zawiera minimalne uprawnienia IAM dla konektora Amazon Athena :
    • "athena: wykonanieGetQuery"
    • "athena:GetQueryWyniki"
    • "athena: grupyListWork"
    • "athena: wykonanieStartQuery"
    • "athena:StopQueryWykonanie"
    • "klej:GetDatabases"
    • "klej:GetTable"
    • "s3:AbortMultipartUpload"
    • "s3:DeleteObject"
    • "s3:GetBucketLocation"
    • "s3:GetObject"
    • "s3:ListBucket",
    • "s3:ListBucketMultipartUploads"
    • "s3:ListMultipartUploadParts"
    • "s3:PutObject"
    • "sts:AssumeRole"
    Więcej informacji na ten temat zawiera sekcja Zarządzanie subskrybentami w Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html).

Jeśli między klastrem a miejscem docelowym źródła danych znajduje się firewall, do udostępniania kontenerów należy użyć programu IBM® Security Edge Gateway . Edge Gateway musi być w wersji V1.6 lub nowszej. Więcej informacji na ten temat zawiera sekcja Konfigurowanie bramy Edge Gateway.

Informacje o tym zadaniu

Amazon Athena używa standardowego SQL do analizowania danych w Amazon S3. Obsługiwane są połączenia źródła danych dla dzienników Amazon GuardDuty i dzienników przepływu VPC.

Informacje o ustrukturyzowanych zagrożeniach eXpression (STIX) to język i format serializacji używany przez organizacje do wymiany informacji o zagrożeniach cybernetycznych. Konektor Amazon Athena używa wzorców STIX do tworzenia zapytań o dane Amazon Athena i zwraca wyniki jako obiekty STIX . Więcej informacji na temat sposobu odwzorowania schematu danych Amazon Athena na schemat STIXzawiera sekcja Amazon Athena STIX Odwzorowanie (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_athena_supported_stix.md).

Procedura

  1. Idź do Menu > Połączenia > Źródła danych.
  2. Na karcie Źródła danych kliknij opcję Połącz źródło danych.
  3. Kliknij opcję Amazon Athena, a następnie kliknij przycisk Dalej.
  4. Skonfiguruj połączenie ze źródłem danych.
    1. W polu Nazwa źródła danych przypisz nazwę jednoznacznie identyfikującą połączenie ze źródłem danych.
      Istnieje możliwość utworzenia wielu instancji połączenia ze źródłem danych, aby można było je wyraźnie oddzielić za pomocą nazwy. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    2. W polu Opis źródła danych wpisz opis wskazujący przeznaczenie połączenia ze źródłem danych.
      Istnieje możliwość utworzenia wielu instancji połączenia ze źródłem danych, dlatego warto wyraźnie wskazać przeznaczenie każdego połączenia za pomocą opisu. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    3. Jeśli między klastrem a miejscem docelowym źródła danych znajduje się firewall, do udostępniania kontenerów należy użyć Edge Gateway . W polu Brama brzegowa (opcjonalnie) określ, który Edge Gateway ma być używany.
      Wybierz Edge Gateway , aby udostępnić konektor. Wyświetlenie statusu nowo wdrożonych połączeń źródła danych w Edge Gateway może potrwać do pięciu minut.
    4. W polu Region ustaw region Amazon Athena dla źródła danych. Wybierz kod regionu w kolumnie Region tabeli Punkty końcowe usługi w sekcji Amazon Athena Punkty końcowe i limity (https://docs.aws.amazon.com/general/latest/gr/athena.html).
    5. W polu Położenie zasobnikaAmazon S3 Bucket ustaw położenie zasobnika S3 , w którym będą przechowywane wyniki zapytania.
    6. Jeśli używana jest baza danych Amazon Athena z dziennikami przepływu VPC, podaj nazwę bazy danych zawierającej dzienniki przepływu VPC w polu Nazwa bazy danych dzienników przepływu VPC (opcjonalnie) .
    7. Jeśli używana jest baza danych Amazon Athena z dziennikami przepływu VPC, podaj nazwę tabeli zawierającej dzienniki przepływu VPC w polu Nazwa tabeli dzienników przepływu VPC (opcjonalnie) .
    8. Jeśli baza danych Amazon Athena jest używana z produktem Amazon GuardDuty, podaj nazwę bazy danych, która zawiera dzienniki Amazon GuardDuty , w polu Nazwa bazy danych Amazon GuardDuty (opcjonalnie) .
    9. Jeśli używana jest baza danych Amazon Athena z produktem Amazon GuardDuty, podaj nazwę tabeli zawierającej dzienniki Amazon GuardDuty w polu Nazwa tabeli Amazon GuardDuty (opcjonalnie) .
    10. Jeśli do odpytywania dzienników Amazon Security Lake używany jest produkt Amazon Athena , podaj nazwę bazy danych formacji AWS Lake , która zawiera dzienniki zabezpieczeń w polu Nazwa bazy danych dzienników OCSF (opcjonalnie) .
    11. Jeśli do odpytywania dzienników Amazon Security Lake używany jest system Amazon Athena , podaj nazwę tabeli tworzenia AWS Lake , która zawiera dzienniki zabezpieczeń w polu OCSF logs table name (optional) (Nazwa tabeli dzienników OCSF-opcjonalnie).
  5. Ustaw parametry zapytania, aby kontrolować zachowanie zapytania wyszukiwania w źródle danych.
    1. W polu Limit współbieżnego wyszukiwania ustaw liczbę jednoczesnych połączeń, które można nawiązać ze źródłem danych. Domyślnym limitem liczby połączeń jest 4. Wartość nie może być mniejsza niż 1 i nie może być większa niż 100.
    2. W polu Limit czasu wyszukiwania zapytania ustaw limit czasu (w minutach), przez jaki zapytanie jest uruchamiane w źródle danych. Domyślnym limitem czasu jest 30. Jeśli wartość jest ustawiona na zero, nie ma limitu czasu. Wartość nie może być mniejsza niż 1 i nie może być większa niż 120.
    3. W polu Limit wielkości wyników ustaw maksymalną liczbę pozycji lub obiektów zwracanych przez zapytanie do wyszukania. Domyślnym limitem wielkości wyniku jest 10 000. Wartość nie może być mniejsza niż 1 i nie może być większa niż 500 000.
    4. W polu Zakres czasu zapytania ustaw zakres czasu w minutach dla wyszukiwania, reprezentowany przez ostatnie X minut. Wartością domyślną jest 5 minut. Wartość nie może być mniejsza niż 1 i nie może być większa niż 10 000.
    Ważne: Jeśli zostanie zwiększony limit współbieżnego wyszukiwania i limit wielkości wyników, do źródła danych może zostać wysłana większa ilość danych, co zwiększy obciążenie źródła danych. Zwiększenie zakresu czasu zapytania zwiększa również ilość danych.
  6. Opcjonalnie: Jeśli konieczne jest dostosowanie odwzorowania atrybutów STIX, kliknij opcję Dostosuj odwzorowanie atrybutów i zmodyfikuj obiekt JSON, aby odwzorować nowe lub istniejące właściwości na powiązane z nimi docelowe pola źródła danych.
  7. Skonfiguruj tożsamość i dostęp.
    1. Kliknij opcję Dodaj konfigurację.
    2. W polu Nazwa konfiguracji wprowadź unikalną nazwę opisującą konfigurację dostępu i odróżniającą ją od innych konfiguracji dostępu dla tego połączenia źródła danych, które można skonfigurować. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    3. W polu Opis konfiguracji wprowadź unikalny opis opisujący konfigurację dostępu i odróżniający ją od innych konfiguracji dostępu dla tego połączenia źródła danych, które można skonfigurować. Dozwolone są tylko znaki alfanumeryczne i następujące znaki specjalne: - . _
    4. Kliknij opcję Edytuj dostęp i wybierz użytkowników, którzy mogą łączyć się ze źródłem danych i typ dostępu.
    5. Ustanów AWS uwierzytelnianie, aby umożliwić dostęp do interfejsu API wyszukiwania AWS .
      • Aby ustanowić uwierzytelnianie oparte na kluczu AWS , należy wprowadzić wartości dla parametrów AWS ID klucza dostępu i AWS tajny klucz dostępu .
      • Aby ustanowić uwierzytelnianie oparte na rolach w systemie AWS , wprowadź wartości dla parametrów AWS Access key id, AWS secret access keyi AWS IAM Role .
      • Aby nadać dostęp do zasobów AWS i ustanowić uwierzytelnianie przy założeniu roli, należy wprowadzić wartość parametru Identyfikator zewnętrzny dla roli AWS Przyjmij rolę . Więcej informacji na ten temat zawiera sekcja Korzystanie z zewnętrznego identyfikatora na potrzeby uzyskiwania dostępu przez inne firmy (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html).
      Więcej informacji na temat uwierzytelniania AWS zawiera sekcja Konfigurowanie uwierzytelniania AWS.
    6. Kliknij przycisk Dodaj.
    7. Aby zapisać konfigurację i nawiązać połączenie, kliknij przycisk Gotowe.
    Na stronie ustawień źródła danych można wyświetlić konfigurację połączenia źródła danych, która została dodana w sekcji Połączenia. Komunikat na karcie wskazuje połączenie ze źródłem danych.
    Po dodaniu źródła danych może upłynąć kilka minut, zanim zostanie ono wyświetlone jako połączone.
    Wskazówka: Po podłączeniu źródła danych pobranie danych może potrwać do 30 sekund. Przed zwróceniem pełnego zestawu danych źródło danych może być wyświetlane jako niedostępne. Po zwróceniu danych źródło danych jest wyświetlane jako połączone i występuje mechanizm odpytywania sprawdzający status połączenia. Status połączenia jest poprawny przez 60 sekund po każdym odpytywaniu.

    Dla tego źródła danych można dodać inne konfiguracje połączeń, które mają różnych użytkowników i różne uprawnienia dostępu do danych.

  8. Aby edytować konfiguracje, wykonaj następujące kroki:
    1. Na karcie Źródła danych wybierz połączenie ze źródłem danych, które ma być edytowane.
    2. W sekcji Konfiguracje kliknij opcję Edytuj konfigurację (Ikona edycji konfiguracji).
    3. Zmodyfikuj parametry tożsamości i dostępu, a następnie kliknij przycisk Zapisz.

Co dalej

Przetestuj połączenie, uruchamiając zapytanie z IBM Security Data Explorer. Aby używać produktu Data Explorer, należy mieć połączone źródła danych, aby aplikacja mogła uruchamiać zapytania i pobierać wyniki z ujednoliconego zestawu źródeł danych. Wyniki wyszukiwania różnią się w zależności od danych zawartych w skonfigurowanych źródłach danych. Więcej informacji na temat budowania zapytania w produkcie Data Explorerzawiera sekcja Budowanie zapytania.