Conexión a un origen de datos Amazon Athena

Editar en línea

Conecte el origen de datos de Amazon Athena a la plataforma para permitir que las aplicaciones y los paneles de control recopilen y analicen datos de seguridad de Amazon Athena . Los conectores de Universal Data Insights habilitan la búsqueda federada en los productos de seguridad.

Antes de empezar

Colabore con un administrador de AWS para obtener una cuenta de usuario con acceso para consultar el origen de datos de CloudWatch .

Configurar registros de flujo de VPC en Amazon Athena
  1. Habilite los registros de flujo de VPC en Amazon Console.
  2. Configure el servicio de registro de flujo de VPC para guardar registros en el grupo de Amazon S3 . Para obtener más información, consulte Publicación de registros de flujo en Amazon S3 (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html).
  3. Cree la tabla de VPC de Amazon para los registros de flujo de VPC en el servicio Amazon Athena . Para obtener más información, consulte Consulta de registros de flujo de VPC de Amazon (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html).

Configurar Amazon GuardDuty en Amazon Athena

  1. Habilite las características de GuardDuty en Amazon Console.
  2. Configure la característica GuardDuty para exportar resultados en el grupo Amazon S3 . Para obtener más información, consulte Exportar resultados (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html).
  3. Cree una tabla para los resultados de GuardDuty en Amazon Athena. Para obtener más información, consulte Consulta de Amazon GuardDuty Findings (https://docs.aws.amazon.com/athena/latest/ug/querying-guardduty.html).
Configure Amazon Security Lake en Amazon Athena
  1. Habilite e inicie Amazon Security Lake en la consola de Amazon . Para obtener más información, consulte Iniciación a Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html).
  2. Asegúrese de que Amazon Security Lake almacena registros en formato Open Cybersecurity Schema Framework (OCSF). Para obtener más información, consulte Formato OCSF (Open Cybersecurity Schema Framework) (https://schema.ocsf.io/).
  3. El programa cliente debe tener acceso de consulta a las tablas de AWS Lake Formation como suscriptor. La lista siguiente contiene los permisos IAM mínimos para el conector Amazon Athena :
    • "athena:GetQueryEjecución"
    • "athena:GetQueryResultados"
    • "athena:ListWorkGrupos"
    • "athena:StartQueryEjecución"
    • "athena: Ejecución deStopQuery"
    • "glue:GetDatabases"
    • "pegamento:GetTable"
    • "s3:AbortMultipartUpload"
    • "s3:DeleteObject"
    • "s3:GetBucketLocation"
    • "s3:GetObject"
    • "s3:ListBucket",
    • "s3:ListBucketMultipartUploads"
    • "s3:ListMultipartUploadParts"
    • "s3:PutObject"
    • "sts:AssumeRole"
    Para obtener más información, consulte Gestión de suscriptores en Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html).

Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice IBM® Security Edge Gateway para alojar los contenedores. El Edge Gateway debe ser V1.6 o posterior. Para obtener más información, consulte Configuración de Edge Gateway.

Acerca de esta tarea

Amazon Athena utiliza SQL estándar para analizar datos en Amazon S3. Las conexiones de origen de datos para registros de Amazon GuardDuty y registros de flujo de VPC están soportadas.

Información de amenazas estructurada eXpression (STIX) es un lenguaje y formato de serialización que las organizaciones utilizan para intercambiar inteligencia de ciberamenazas. El conector de Amazon Athena utiliza el patrón STIX para consultar datos de Amazon Athena y devuelve los resultados como objetos STIX . Para obtener más información sobre cómo se correlaciona el esquema de datos de Amazon Athena con STIX, consulte Correlación deAmazon Athena STIX (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_athena_supported_stix.md).

Procedimiento

  1. Vaya a Menú > Connections > Orígenes de datos.
  2. En la pestaña Orígenes de datos , pulse Conectar un origen de datos.
  3. Pulse Amazon Athenay, a continuación, pulse Siguiente.
  4. Configure la conexión con el origen de datos.
    1. En el campo Nombre de origen de datos , asigne un nombre para identificar de forma exclusiva la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, de modo que es buena idea distinguirlas por su nombre. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    2. En el campo Descripción de origen de datos , escriba una descripción para indicar la finalidad de la conexión de origen de datos.
      Puede crear varias instancias de conexión a un origen de datos, por lo que es útil indicar claramente el propósito de cada conexión mediante una descripción. Solo están permitidos los caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. Si tiene un cortafuegos entre el clúster y el destino de origen de datos, utilice Edge Gateway para alojar los contenedores. En el campo Pasarela de Edge (opcional) , especifique qué Edge Gateway desea utilizar.
      Seleccione un Edge Gateway para alojar el conector. El estado de las conexiones de origen de datos recién desplegadas en Edge Gateway puede tardar hasta cinco minutos en mostrarse como conectado.
    4. En el campo Región , establezca la región Amazon Athena para el origen de datos. Seleccione el código de región en la columna Región de la tabla Puntos finales de servicio en los Amazon Athena puntos finales y cuotas (https://docs.aws.amazon.com/general/latest/gr/athena.html).
    5. En el campo Amazon S3 Ubicación de grupo , establezca la ubicación del grupo S3 donde se almacenarán los resultados de la consulta.
    6. Si utiliza Amazon Athena con registros de flujo de VPC, especifique el nombre de la base de datos que contiene los registros de flujo de VPC en el campo Nombre de base de datos de registros de flujo de VPC (opcional) .
    7. Si utiliza Amazon Athena con registros de flujo de VPC, especifique el nombre de la tabla que contiene los registros de flujo de VPC en el campo Nombre de tabla de registros de flujo de VPC (opcional) .
    8. Si utiliza Amazon Athena con Amazon GuardDuty, especifique el nombre de la base de datos que contiene los registros de Amazon GuardDuty en el campo Amazon GuardDuty nombre de base de datos (opcional) .
    9. Si utiliza Amazon Athena con Amazon GuardDuty, especifique el nombre de la tabla que contiene los registros de Amazon GuardDuty en el campo Amazon GuardDuty table name (opcional) .
    10. Si utiliza Amazon Athena para consultar los registros de Amazon Security Lake , especifique el nombre de la base de datos de formación de AWS Lake que contiene los registros de seguridad en el campo Nombre de base de datos de registros OCSF (opcional) .
    11. Si utiliza Amazon Athena para consultar los registros de Amazon Security Lake , especifique el nombre de la tabla de formación de AWS Lake que contiene los registros de seguridad en el campo Nombre de tabla de registros OCSF (opcional) .
  5. Configure los parámetros de consulta que controlan el comportamiento de la consulta de búsqueda en el origen de datos.
    1. En el campo Límite de búsqueda simultánea , establezca el número de conexiones simultáneas que se pueden realizar con el origen de datos. El límite predeterminado para el número de conexiones es 4. El valor no debe ser menor que 1 y ni mayor que 100.
    2. En el campo Límite de tiempo de espera de búsqueda de consulta , establezca el límite de tiempo en minutos para el tiempo durante el que se ejecuta la consulta en el origen de datos. El límite de tiempo predeterminado es 30. Si el valor se establece en cero, no hay tiempo de espera. El valor no debe ser inferior a 1 ni superior a 120.
    3. En el campo Límite de tamaño de resultado , establezca el número máximo de entradas u objetos devueltos por la consulta de búsqueda. El límite predeterminado del tamaño del resultado es 10.000. El valor no debe ser menor que 1 y no debe ser mayor que 500.000.
    4. En el campo Rango de tiempo de consulta , establezca el rango de tiempo en minutos para la búsqueda, representado como la última X minutos. El valor predeterminado es 5 minutos. El valor no debe ser inferior a 1 y no debe ser superior a 10.000.
    Importante: Si aumenta el límite de búsqueda simultánea y el límite de tamaño de resultado, se puede enviar una mayor cantidad de datos al origen de datos, lo que aumenta la tensión en el origen de datos. Aumentar el rango de tiempo de consulta también aumenta la cantidad de datos.
  6. Opcional: Si necesita personalizar la correlación de atributos STIX, pulse Personalizar correlación de atributos y edite el blob JSON para correlacionar las propiedades nuevas o existentes con sus campos de origen de datos de destino asociados.
  7. Configure la identidad y el acceso.
    1. Pulse Añadir una configuración.
    2. En el campo Nombre de configuración , especifique un nombre exclusivo para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    3. En el campo Descripción de configuración , especifique una descripción exclusiva para describir la configuración de acceso y distinguirla de las otras configuraciones de acceso para esta conexión de origen de datos que puede configurar. Solo se permiten caracteres alfanuméricos y los siguientes caracteres especiales: - . _
    4. Pulse Editar acceso y elija qué usuarios pueden conectarse al origen de datos y el tipo de acceso.
    5. Establecer autenticación de AWS para habilitar el acceso a la API de búsqueda de AWS .
      • Para establecer una autenticación basada en claves de AWS , especifique valores para los parámetros AWS ID de clave de acceso y AWS clave de acceso secreta .
      • Para establecer una autenticación basada en roles de AWS , especifique valores para los parámetros AWS ID de clave de acceso, AWS clave de acceso secretay AWS Rol de IAM .
      • Para otorgar acceso a los recursos de AWS y establecer una autenticación de Assume Role, especifique un valor para el parámetro ID externo para AWS Assume Role . Para obtener más información, consulte Utilización de un ID externo para el acceso de terceros (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html).
      Para obtener más información sobre la autenticación de AWS , consulte Configuración de la autenticación de AWS.
    6. Pulse Añadir.
    7. Para guardar la configuración y establecer la conexión, pulse Terminado.
    Verá la configuración de conexión de origen de datos que ha añadido bajo Conexiones en la página Valores de origen de datos. Un mensaje en la tarjeta indica conexión con el origen de datos.
    Cuando añade un origen de datos, puede tardar unos minutos antes de que el origen de datos se muestre como conectado.
    Sugerencia: Después de conectar un origen de datos, puede tardar hasta 30 segundos en recuperar los datos. Antes de que se devuelva el conjunto de datos completo, es posible que el origen de datos se muestre como no disponible. Una vez devueltos los datos, el origen de datos se muestra como conectado y se produce un mecanismo de sondeo para validar el estado de conexión. El estado de conexión es válido durante 60 segundos después de cada sondeo.

    Puede añadir otras configuraciones de conexión para este origen de datos que tengan distintos usuarios y distintos permisos de acceso a datos.

  8. Para editar las configuraciones, realice los pasos siguientes:
    1. En el separador Orígenes de datos , seleccione la conexión de origen de datos que desea editar.
    2. En la sección Configuraciones , pulse Editar configuración (Icono Editar configuración).
    3. Edite los parámetros de identidad y acceso y pulse Guardar.

Qué hacer a continuación

Pruebe la conexión ejecutando una consulta con IBM Security Data Explorer. Para utilizar Data Explorer, debe tener orígenes de datos conectados para que la aplicación pueda ejecutar consultas y recuperar resultados en un conjunto unificado de orígenes de datos. Los resultados de la búsqueda varían en función de los datos que incluyen los orígenes de datos configurados. Para obtener más información sobre cómo crear una consulta en Data Explorer, consulte Crear una consulta.