连接到 Amazon CloudWatch 数据源

将 Amazon CloudWatch 数据源连接到平台，以使应用程序和仪表板能够收集和分析 Amazon CloudWatch 安全数据。 Universal Data Insights 连接器支持跨安全产品进行联合搜索。

在开始之前

与 AWS 管理员协作以获取有权查询 CloudWatch 数据源的用户帐户。

如果集群与数据源目标之间存在防火墙，请使用 IBM® Security Edge Gateway 来托管容器。 Edge Gateway 必须是 V1.6 或更高版本。有关更多信息，请参阅设置边缘网关。

关于此任务

通过 Amazon CloudWatch，您可以在单个服务中设置对来自所有 Amazon 系统，应用程序和 Amazon Web Services (AWS) 的日志的集中访问。

支持 Amazon GuardDuty 日志和 VPC 流日志的数据源连接。

结构化威胁信息 eXpression (STIX) 是组织用于交换网络威胁情报的语言和序列化格式。 Amazon CloudWatch 连接器使用 STIX 图案化来查询 Amazon CloudWatch 数据，并将结果作为 STIX 对象返回。有关 Amazon CloudWatch 数据模式如何映射到 STIX的更多信息，请参阅 Amazon CloudWatch STIX 映射 (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_cloud_watch_logs_supported_stix.md)。

程序

转至菜单 > 连接 > 数据源。
在数据源选项卡上，单击连接数据源。
选择数据源类型。
配置与数据源的连接。
1. 在数据源名称字段中，分配用于唯一标识数据源连接的名称。
  可以为某个数据源创建多个连接实例，因此最好能按名称将这些实例清晰地区分开。仅允许使用字母数字字符和以下特殊字符： - . _
2. 在数据源描述字段中，编写描述以指示数据源连接的用途。
  您可以为某个数据源创建多个连接实例，因此按描述清晰地指示每个连接的目的非常有用。仅允许使用字母数字字符和以下特殊字符： - . _
3. 如果集群与数据源目标之间存在防火墙，请使用 Edge Gateway 来托管容器。在边缘网关 (可选) 字段中，指定要使用的 Edge Gateway 。
  选择 Edge Gateway 以托管连接器。 Edge Gateway 上新部署的数据源连接的状态最多可能需要 5 分钟才能显示为已连接。
4. 在区域字段中，指定数据源的 CloudWatch 区域。从 AWS 一般参考指南 (https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) 中的 "服务端点" 表的 "区域" 列中选择区域代码。
5. 在日志组名字段中，指定要连接到的 CloudWatch 日志的日志组名。如果未指定日志组名称，那么将连接所有可用的日志组。
  此字段是可选项。日志组名的值必须使用特定 JSON 格式：
```
{"<service_type>": "<service_log_group_name>"}
```
  例如：
```
{"vpcflow": "vpcflow_log_group_name"}
```
  要从多种服务类型获取日志，可以采用以逗号分隔的 JSON 格式指定服务类型及其关联的日志组名称。例如：
```
{"vpcflow": "vpcflow_log_group_name", "guardduty": "guardduty_log_group_name"}
```
设置查询参数以控制针对数据源的搜索查询的行为。
1. 在并发搜索限制字段中，设置可以与数据源建立的并发连接数。连接数量缺省限制为 4。此值不能小于 1 并且不能大于 100。
2. 在查询搜索超时限制字段中，设置在数据源上运行查询的时间限制 (以分钟为单位)。缺省时间限制为 30。该值设置为零时，表示没有超时。此值不能小于 1 并且不能大于 120。
3. 在结果大小限制字段中，设置搜索查询返回的最大条目数或对象数。缺省结果大小限制为 10,000。该值不得小于 1 且不得大于 500,000。
4. 在查询时间范围字段中，设置搜索的时间范围 (以分钟为单位) ，表示为最后的 X 分钟。缺省值为 5 分钟。该值不得小于 1，并且不得大于 10,000。
重要信息: 如果增加并发搜索限制和结果大小限制，那么可以将更多的数据发送到数据源，这将增加对数据源的压力。增大查询时间范围还会增加数据量。
可选: 如果需要定制 STIX 属性映射，请单击定制属性映射并编辑 JSON blob 以将新属性或现有属性映射到其关联的目标数据源字段。
配置身份和访问权。
1. 单击添加配置。
2. 在配置名称字段中，输入唯一名称以描述访问配置，并将其与您可能设置的此数据源连接的其他访问配置区分开。仅允许使用字母数字字符和以下特殊字符: - . _
3. 在配置描述字段中，输入唯一描述以描述访问配置，并将其与您可能设置的此数据源连接的其他访问配置区分开。仅允许使用字母数字字符和以下特殊字符: - . _
4. 单击编辑访问权，然后选择哪些用户可以连接到数据源和访问权类型。
5. 建立 AWS 认证以启用对 AWS 搜索 API 的访问。
  - 要建立基于 AWS 密钥的认证，请输入 AWS 访问密钥标识和 AWS 访问密钥参数的值。
  - 要建立基于 AWS 角色的认证，请输入 AWS 访问密钥标识， AWS 访问密钥和 AWS IAM 角色参数的值。
  有关 AWS 认证的更多信息，请参阅配置 AWS 认证。
6. 如果 CloudWatch 配置了自签名安全套接字层 (SSL) 证书，请添加连接证书。
  
  要确认您是否具有自签名证书，可以在 Web 中搜索“ssl decode”，然后复制该证书并将其粘贴到证书解码器中。如果公共名称字段中的值是本地的，例如 yourlocalhost.yourlocaldomain，那么表示自签名证书。
  
  复制证书详细信息并将其粘贴到所提供的空间中。
7. 单击添加。
8. 要保存配置并建立连接，请单击完成。
您可以在“数据源设置”页面的“连接”下看到已添加的数据源连接配置。卡片上的消息指示与数据源的连接。
添加数据源时，可能需要几分钟时间才能将数据源显示为已连接。
提示: 连接数据源后，检索数据可能需要最多 30 秒。在返回完整数据集之前，数据源可能会显示为不可用。返回数据后，数据源将显示为正在连接，并且将发生轮询机制以验证连接状态。连接状态在每次轮询后 60 秒内有效。

可以为此数据源添加具有不同用户和不同访问许可权的其他连接配置。
要编辑配置，请完成以下步骤:
1. 在数据源选项卡上，选择要编辑的数据源连接。
2. 在 " 配置 " 部分中，单击编辑配置 ()。
3. 编辑身份和访问权参数，然后单击保存。

后续步骤

通过使用 IBM Security Data Explorer 运行查询来测试连接。要使用 Data Explorer，您必须具有已连接的数据源，以便应用程序可以在一组统一的数据源中运行查询和检索结果。搜索结果根据配置的数据源中包含的数据的不同而不同。有关如何在 Data Explorer中构建查询的更多信息，请参阅构建查询。