Amazon AWS S3 REST API iletişim kuralı yapılandırma seçenekleri

Amazon AWS S3 REST API iletişim kuralı, Amazon S3 saklama kaplarından AWS CloudTrail günlüklerini toplayan etkin bir giden protokoldür.

Not: Özel bir DSM ile ya da desteklenmeyen başka tümleştirmelerle kullanmak için Amazon S3 ' dan günlükleri toplarken hiçbir verinin eksik olmadığından emin olmak önemlidir. S3 API ' larının verileri döndürmesi nedeniyle, tam yol listelendiğinde tüm dosyaların alfabetik olarak artan bir düzende olması gerekir. Tam yol adının tam tarih ve saati ISO9660 biçiminde (tüm alanlarda baştaki sıfırlar ve YYYY-AA-GG tarih biçimi) içerdiğinden emin olun.

Aşağıdaki dosya yolunu göz önünde bulundurun:

<Name>test-bucket</Name><Prefix>MyLogs/</Prefix><Marker>MyLogs/2018-8-9/2018-08-09T23-5925.955097.log.g</Marker><MaxKeys>1000</MaxKeys><IsTruncated>false</IsTruncated></ListBucketResult>

İşaretleyicide dosyanın tam adı MyLogs/2018-8-9/2018-08-09T23-59-25.955097.log.gz olur ve klasör adı, 2018-08-09yerine 2018-8-9 olarak yazılır. Bu tarih biçimi, 10 Eylül 2018 'e ilişkin veriler sunulduğunda bir soruna neden olur. Sıralandığında, tarih 2018-8-10 olarak görüntülenir ve dosyalar kronolojik olarak sıralanmaz:

2018-10-1

2018-11-1

2018-12-31

2018-8-10

2018-8-9

2018-9-1

9 Ağustos 2018 için veriler QRadar®' e gönderildikten sonra, 1 Eylül 2018 tarihine kadar veri görmezsiniz, çünkü baştaki sıfırlar tarih biçiminde kullanılmayacaktır. Eylül 'den sonra, 2019 'a kadar veriyi bir daha göremeyeceksin. Baştaki sıfırlar tarihte (ISO 9660) kullanılır, bu nedenle bu sorun ortaya çıkmaz.

Baştaki sıfırları kullanarak, dosyalar ve klasörler kronolojik olarak sıralanır:

2018-08-09

2018-08-10

2018-09-01

2018-10-01

2018-11-01

2018-12-01

2018-12-31
Kısıtlama:

Bir günlük kaynağı yalnızca bir bölgeden veri alabilir, bu nedenle her bölge için farklı bir günlük kaynağı kullanın. Include the region folder name in the file path for the Directory Prefix value when you use the Directory Prefix event collection method to configure the log source.

Aşağıdaki tabloda, Dizin Öneki toplama yöntemi ya da SQS olay toplama yöntemini kullanarak denetleme olaylarını toplamak için kullanılan ortak parametre değerleri açıklanmaktadır. Bu toplama yöntemleri Amazon AWS S3 REST API iletişim kuralını kullanır.
Tablo 1. Amazon AWS S3 REST API 'si iletişim kuralı ortak günlük kaynağı parametreleri Dizin Öneki yöntemi ya da SQS yöntemi
Parametre Açıklama
İletişim Kuralı Yapılandırması Amazon AWS S3 REST API 'si
Günlük Kaynağı Tanıtıcısı

Günlük kaynağı için benzersiz bir ad yazın.

Log Source Identifier (Günlük Kaynağı Tanıtıcısı) geçerli bir değer olabilir ve belirli bir sunucuya başvuruda bulunmaya gerek yoktur. Log Source Identifier (Günlük Kaynağı Tanıtıcısı), Log Source Name(Günlük Kaynağı Adı) ile aynı olabilir. Yapılandırılmış birden fazla Amazon AWS CloudTrail günlük kaynağınız varsa, ilk günlük kaynağını awscloudtrail1olarak, ikinci günlük kaynağını awscloudtrail2olarak ve üçüncü günlük kaynağını awscloudtrail3olarak tanımlamak isteyebilirsiniz.
Kimlik doğrulama yöntemi
Erişim Anahtarı Tanıtıcısı/Gizli Anahtar
Herhangi bir yerden kullanılabilecek standart kimlik doğrulaması.
Güvenlik kimlik bilgilerini yapılandırma hakkında daha fazla bilgi için bkz. AWS kullanıcı hesabınıza ilişkin güvenlik kimlik bilgilerini yapılandırma.
EC2 Yönetim Ortamı IAM Rolü
Yönetilen anasisteminiz bir AWS EC2 yönetim ortamında çalışıyorsa, bu seçeneği belirlediğinizde kimlik doğrulama için eşgörünüme atanmış eşgörünüm meta verilerinden IAM Rolü kullanılır. Anahtar gerekmez. Bu yöntem, yalnızca bir AWS EC2 kapsayıcısı içinde çalışan yönetilen anasistemler için çalışır.
Erişim Anahtarı

The Access Key ID that was generated when you configured the security credentials for your AWS user account.

Access Key ID/Secret Key (Anahtar Tanıtıcısı/Güvenlik Anahtarı Anahtarı) ya da Insay IAM Role(IAM Rolü Varsay) seçeneğini belirlediyseniz, Access Key parametresi
Gizli Anahtar

AWS kullanıcı hesabınıza ilişkin güvenlik kimlik bilgilerini yapılandırdığınızda oluşturulan Gizli Anahtar.

Erişim Anahtarı Tanıtıcısı/Gizli Anahtarı ya da İAM Rolünün üstlenilmesiseçeneğini belirlediyseniz, Gizli Anahtar parametresi görüntülenir.
IAM Rolünün Varsay Bir Erişim Anahtarı ya da EC2 eşgörünüm IAM Rolü ile kimlik doğrulaması yaparak bu seçeneği etkinleştirin. Daha sonra, erişim için bir IAM Rolünün geçici olarak varolduğunu tahmin edebilirsiniz.
Rol ARN ' i varsay Varsayma rolünün tam ARN ' si. arn: ile başlamalı ve başında ya da sonunda boşluk ya da ARN içinde boşluk bulunamaz.

IAM Role varsayseçeneğini etkinleştirdiyseniz, Rin Role ARN (Rol ARN) parametresinin görüntülendiğini varsayalım.
Rol Oturumu Adını Varsay Varsayma rolünün oturum adı. Varsayılan değer QRadarAWSSession' dir. Değiştirmenize gerek yoksa, varsayılan olarak bırakın. Bu parametre yalnızca üst ve küçük harfli alfasayısal karakterler, altçizgi karakterleri ya da şu karakterlerden herhangi birini içerebilir: =,.@-

IAM Rolünün üstlenilsinözelliğini etkinleştirdiyseniz, Rol Oturumu Adının Varsay parametresi görüntülenir.
Rol Dış Kimliğini Varsay Başka bir hesapta bir rol üstlenmeniz gerekebileceğini içeren bir tanıtıcı. Bu değeri, rolün ait olduğu hesabın yöneticisinden elde edin.

Bu değer, geçiş tümcesi, GUID ya da hesap numarası gibi herhangi bir dizgi olabilir.

Daha fazla bilgi için bkz. Üçüncü bir kişiye AWS kaynaklarınıza erişim izni verirken bir dış tanıtıcı nasıl kullanılır? (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html).

IAM Role varsayseçeneğini etkinleştirdiyseniz, Extain Role External ID (Rol Dış Tanıtıcısı Olun) parametresi görüntülenir.
Olay Biçimi

AWS Cloud Trail JSON

AWS Ağ Güvenlik Duvarı

AWS VPC Akış Günlükleri

Apache Parquet
İpucu: Apache Parquet ' in seçilmesi, Apache Parquet dosyalarını JSON olaylarına dönüştürür.

Cisco Şemsiye CSV

SATıRı

W3C
Bölge Adı SQS Kuyruğunu ya da AWS S3 saklama kabının içinde olduğu bölge.

Örnek: us-east-1, eu-west-1, ap-northeast-3
Ağ geçidi günlük kaynağı olarak kullan Toplanan olayların QRadar Trafik Analizi motoru üzerinden akması ve QRadar için bir ya da daha fazla günlük kaynağının otomatik olarak algılaması için bu seçeneği belirleyin.
İleri Düzey Seçenekleri Göster Olay verilerini uyarlamak istiyorsanız bu seçeneği belirleyin.
Dosya Kalıbı

Bu seçenek, İleri Düzey Seçenekleri Göster seçeneğini Evet olarak ayarladığınızda kullanılabilir.

Çekmek istediğiniz dosyalarla eşleşen dosya örüntüyle ilgili bir regex yazın; örneğin, .*?\.json\.gz.
Yerel Dizin

Bu seçenek, İleri Düzey Seçenekleri Göster seçeneğini Evet olarak ayarladığınızda kullanılabilir.

Hedef Olay Toplayıcısı 'nda yerel dizin. AWS S3 REST API iletişim kuralının olayları alma girişiminde bulunmadan önce bu dizinin var olması gerekir.
S3 Uç Noktası URL 'si

Bu seçenek, İleri Düzey Seçenekleri Göster seçeneğini Evet olarak ayarladığınızda kullanılabilir.

AWS S3 REST API 'sini sorgulamak için kullanılan uç nokta URL 'si.

Uç nokta URL ' niz varsayılan tipten farklıysa, uç noktanızı yazın. Varsayılan değer https://s3.amazonaws.com' dir.
S3 Yol Stili Erişim Kullan

S3 istekleri yol stili erişimi kullanma isteklerine neden olur.

Bu yöntem AWStarafından kullanımdan kaldırılmıştır. Ancak, diğer S3 uyumlu API ' leri kullandığınızda bu gerekli olabilir. Örneğin, bir saklama kabı adı nokta (.) içerdiğinde, https://s3.region.amazonaws.com/bucket-name/key-name yol biçemi otomatik olarak kullanılır. Bu nedenle, bu seçenek gerekli değildir, ancak kullanılabilir.
Yetkili Sunucu Kullan

QRadar , bir yetkili sunucu kullanarak Amazon Web Service 'e erişirse, Yetkili Sunucu Kullanseçeneğini etkinleştirin.

Yetkili sunucu kimlik doğrulaması gerektiriyorsa, Yetkili Sunucu, Yetkili Sunucu Kapısı, Yetkili Sunucu Kullanıcı Adıve Yetkili Sunucu Parolası alanlarını yapılandırın.

Yetkili sunucu kimlik doğrulaması gerektirmiyorsa, Yetkili Sunucu IP ya da Anasistem Adı alanını yapılandırın.
Yineleme

Yeni verileri taramak için ne sıklıkla bir anket yapılır.

SSQS olay toplama yöntemini kullanıyorsanız, SQS Event Notifications en az 10 (saniye) değerini alabilir. SQS Kuyruğu yoklaması daha sık gerçekleşebileceği için, daha düşük bir değer kullanılabilir.

Dizin Öneki olay toplama yöntemini kullanıyorsanız, Belirli bir Öneki Kullan seçeneği en az 60 (saniye) ya da 1Mdeğerine sahiptir. Her listBucket isteği bir AWS S3 saklama kabı için, saklama kabının sahibi olduğu hesaba ilişkin olarak, daha küçük bir yineleme değeri, maliyeti yükselten bir maliyetle birlikte gelir.

Yeni veriler için anketin ne sıklıkta yapıldığını belirlemek için bir zaman aralığı yazın. Zaman aralığı değerleri saat (H), dakika (M) ya da gün (D) cinsinden içerebilir. Örneğin, 2H = 2 saat, 15M = 15 dakika, 30 = saniye.
EPS Daraltma Akış ardışık düzeni için gönderilen saniye başına olay sayısı üst sınırı. Varsayılan değer 5000 'dir.

EPS Daraltma değerinin gelen hızdan daha yüksek olduğundan emin olun ya da veri işleme geri düşebilir.

Aşağıdaki tabloda, Dizin Öneki olay toplama yöntemini kullanarak denetleme olaylarını toplamak için kullanılan belirli parametre değerleri açıklanmaktadır:

Tablo 2. Amazon AWS S3 REST API iletişim kuralı günlük kaynağına özgü değiştirgeler Dizin Öneki yöntemi ile
Parametre Açıklama
S3 Veri Toplama Yöntemi Belirli Bir Öneki Kullanseçeneğini belirleyin.
Saklama Kabı Adı

Günlük dosyalarının depolandığı AWS S3 kovasının adı.
Dizin Öneki

AWS S3 kabının üzerindeki kök dizin yeri CloudTrail günlüklerinin alındığı yerden alınır; örneğin, AWSLogs/<AccountNumber>/CloudTrail/<RegionName>/.

Bir kabın kök dizininden dosya çekmek için, Dizin Öneki dosya yolunda bir eğik çizgi (/) kullanmanız gerekir.

Not:
  • Dizin Öneki değerinin değiştirilmesi, kalıcı olan dosya imleyicisini temizler. Yeni önekle eşleşen tüm dosyalar sonraki çekmede karşıdan yüklenir.
  • Saklama kabının kökünden veri toplamak için yalnızca iletme eğik çizgi kullanılmadıkça, Dizin Öneki dosya yolu eğik çizgiyle (/) başlayamaz.
  • Klasörleri belirtmek için Dizin Öneki dosya yolu kullanılırsa, dosya yolunu eğik çizgiyle başlatmamalısınız (örneğin, onun yerine folder1/folder2 kullanın).

Aşağıdaki tabloda, SQS olay toplama yöntemini kullanarak denetleme olaylarını toplamak için belirli değerler gerektiren parametreler açıklanmaktadır:

Tablo 3. Amazon AWS S3 REST API iletişim kuralı, SQS yöntemi ile belirli parametrelere özgü parametreleri günlüğe kaydet
Parametre Açıklama
S3 Veri Toplama Yöntemi SQS Event Notificationsseçeneğini belirleyin.
SQS Kuyruğu URL 'si The full URL that begins with https://, for the SQS Queue that is set up to receive notifications for ObjectCreated events from S3.