Connexion à une source de données Amazon Athena

Editer en ligne

Connectez la source de données Amazon Athena à la plateforme pour permettre à vos applications et à vos tableaux de bord de collecter et d'analyser les données de sécurité Amazon Athena . Les connecteurs Universal Data Insights permettent la recherche fédérée dans vos produits de sécurité.

Avant de commencer

Collaborez avec un administrateur AWS pour obtenir un compte utilisateur avec accès pour interroger la source de données CloudWatch .

Configuration des journaux de flux VPC dans Amazon Athena
  1. Activez les journaux de flux VPC dans la console Amazon .
  2. Configurez le service de journalisation de flux VPC pour sauvegarder les journaux dans le compartiment Amazon S3 . Pour plus d'informations, voir Publication des journaux de flux dans Amazon S3 (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html).
  3. Créez une table VPC Amazon pour les journaux de flux VPC dans le service Amazon Athena . Pour plus d'informations, voir Querying Amazon VPC Flow Logs (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html).

Configuration de Amazon GuardDuty dans Amazon Athena

  1. Activez les fonctions GuardDuty dans la console Amazon .
  2. Configurez la fonction GuardDuty pour exporter des constatations dans le compartiment Amazon S3 . Pour plus d'informations, voir Exportation de constatations (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html).
  3. Créez un tableau pour les constatations GuardDuty dans Amazon Athena. Pour plus d'informations, voir Demande de constatations Amazon GuardDuty (https://docs.aws.amazon.com/athena/latest/ug/querying-guardduty.html).
Configurez Amazon Security Lake dans Amazon Athena
  1. Activez et démarrez Amazon Security Lake dans Amazon Console. Pour plus d'informations, voir Initiation à Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html).
  2. Assurez-vous que Amazon Security Lake stocke les journaux au format OCSF (Open Cybersecurity Schema Framework). Pour plus d'informations, voir Open Cybersecurity Schema Framework (OCSF) format (https://schema.ocsf.io/).
  3. Le programme client doit disposer d'un accès en interrogation aux tables AWS Lake Formation en tant qu'abonné. La liste suivante contient les droits IAM minimaux pour le connecteur Amazon Athena :
    • "athena:GetQueryExécution"
    • "athena:GetQuery-Résultats"
    • "athena:ListWorkGroupes"
    • "athena:StartQueryExecution"
    • "athena:StopQueryExécution"
    • "glue:GetDatabases"
    • "glue:GetTable"
    • "s3:AbortMultipartUpload"
    • "s3:DeleteObject"
    • "s3:GetBucketLocation"
    • "s3:GetObject"
    • "s3:ListBucket",
    • "s3:ListBucketMultipartUploads"
    • "s3:ListMultipartUploadParts"
    • "s3:PutObject"
    • "sts:AssumeRole"
    Pour plus d'informations, voir Gestion des abonnés dans Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html).

Si vous disposez d'un pare-feu entre votre cluster et la cible de la source de données, utilisez le IBM® Security Edge Gateway pour héberger les conteneurs. Le Edge Gateway doit être V1.6 ou ultérieure. Pour plus d'informations, voir Configuration de la passerelle Edge.

A propos de cette tâche

Amazon Athena utilise le langage SQL standard pour analyser les données dans Amazon S3. Les connexions de source de données pour les journaux Amazon GuardDuty et les journaux de flux VPC sont prises en charge.

STIX (Structured Threat Information eXpression ) est un format de langage et de sérialisation utilisé par les organisations pour échanger des renseignements sur les cybermenaces. Le connecteur Amazon Athena utilise le STIX modèle pour interroger les données Amazon Athena et renvoie les résultats sous forme d'objets STIX . Pour plus d'informations sur la façon dont le schéma de données Amazon Athena est mappé à STIX, voir Amazon Athena STIX Mappage (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_athena_supported_stix.md).

Procédure

  1. Accédez à Menu > Connexions > Sources de données.
  2. Dans l'onglet Sources de données , cliquez sur Connecter une source de données.
  3. Cliquez sur Amazon Athena, puis sur Suivant.
  4. Configurez la connexion à la source de données.
    1. Dans la zone Nom de la source de données , attribuez un nom pour identifier de manière unique la connexion à la source de données.
      Comme vous pouvez créer plusieurs instances de connexion à une source de données, il peut être utile de pouvoir clairement les distinguer par leur nom. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés : - . _
    2. Dans la zone Description de la source de données , écrivez une description pour indiquer l'objectif de la connexion de source de données.
      Vous pouvez créer plusieurs instances de connexion à une source de données. Il est donc judicieux d'indiquer clairement l'objectif de chaque connexion par une description. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés : - . _
    3. Si vous disposez d'un pare-feu entre votre cluster et la cible de la source de données, utilisez le Edge Gateway pour héberger les conteneurs. Dans la zone Passerelle Edge (facultative) , indiquez le Edge Gateway à utiliser.
      Sélectionnez un Edge Gateway pour héberger le connecteur. Le statut des connexions de source de données nouvellement déployées sur le Edge Gateway peut prendre jusqu'à cinq minutes pour s'afficher comme étant connectées.
    4. Dans la zone Région , définissez la région Amazon Athena pour la source de données. Sélectionnez votre code de région dans la colonne Région du tableau des noeuds finaux de service dans les noeuds finaux et quotasAmazon Athena (https://docs.aws.amazon.com/general/latest/gr/athena.html).
    5. Dans la zone Amazon S3 Bucket Location , définissez l'emplacement du compartiment S3 dans lequel les résultats de la requête seront stockés.
    6. Si vous utilisez Amazon Athena avec des journaux de flux VPC, indiquez le nom de la base de données qui contient les journaux de flux VPC dans la zone Nom de la base de données des journaux de flux VPC (facultatif) .
    7. Si vous utilisez Amazon Athena avec des journaux de flux VPC, indiquez le nom de la table qui contient les journaux de flux VPC dans la zone Nom de la table des journaux de flux VPC (facultatif) .
    8. Si vous utilisez Amazon Athena avec Amazon GuardDuty, indiquez le nom de la base de données qui contient les journaux Amazon GuardDuty dans la zone Amazon GuardDuty database name (optional) .
    9. Si vous utilisez Amazon Athena avec Amazon GuardDuty, indiquez le nom de la table qui contient les journaux Amazon GuardDuty dans la zone Nom de la table Amazon GuardDuty (facultatif) .
    10. Si vous utilisez Amazon Athena pour interroger les journaux Amazon Security Lake , indiquez le nom de la base de données de formation AWS Lake qui contient les journaux de sécurité dans la zone Nom de la base de données des journaux OCSF (facultatif) .
    11. Si vous utilisez Amazon Athena pour interroger les journaux Amazon Security Lake , indiquez le nom de la table de formation AWS Lake qui contient les journaux de sécurité dans la zone Nom de la table des journaux OCSF (facultatif) .
  5. Définissez les paramètres de requête pour contrôler le comportement de la requête de recherche sur la source de données.
    1. Dans la zone Limite de recherche simultanée , définissez le nombre de connexions simultanées pouvant être établies avec la source de données. La limite par défaut du nombre de connexions est 4. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 100.
    2. Dans la zone Limite du délai d'attente de la recherche de requête , définissez la limite de temps en minutes pour la durée d'exécution de la requête sur la source de données. La limite de temps par défaut est de 30. Lorsque la valeur est zéro, il n'existe aucun délai d'attente. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 120.
    3. Dans la zone Limite de taille des résultats , définissez le nombre maximal d'entrées ou d'objets renvoyés par la requête de recherche. La limite par défaut est de 10 000 résultats. La valeur ne doit pas être inférieure à 1 ni supérieure à 500 000.
    4. Dans la zone Plage horaire de la requête , définissez la plage horaire en minutes pour la recherche, représentée par les X dernières minutes. La valeur par défaut est de 5 minutes. La valeur ne doit pas être inférieure à 1 et ne doit pas être supérieure à 10 000.
    Important: Si vous augmentez la limite de recherche simultanée et la limite de taille des résultats, une plus grande quantité de données peut être envoyée à la source de données, ce qui augmente la charge sur la source de données. L'augmentation de l'intervalle de temps de la requête augmente également la quantité de données.
  6. Facultatif: Si vous devez personnaliser le mappage d'attributs STIX, cliquez sur Personnaliser le mappage d'attributs et éditez l'objet BLOB JSON pour mapper des propriétés nouvelles ou existantes à leurs zones de source de données cible associées.
  7. Configurez l'identité et l'accès.
    1. Cliquez sur Ajouter une configuration.
    2. Dans la zone Nom de la configuration , entrez un nom unique pour décrire la configuration d'accès et la distinguer des autres configurations d'accès pour cette connexion de source de données que vous pouvez définir. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés: - . _
    3. Dans la zone Description de la configuration , entrez une description unique pour décrire la configuration d'accès et la distinguer des autres configurations d'accès pour cette connexion de source de données que vous pouvez définir. Seuls les caractères alphanumériques et les caractères spéciaux suivants sont autorisés: - . _
    4. Cliquez sur Editer l'accès et choisissez les utilisateurs qui peuvent se connecter à la source de données et le type d'accès.
    5. Etablissez l'authentification AWS pour activer l'accès à l'API de recherche AWS .
      • Pour établir une authentification par clé AWS , entrez des valeurs pour les paramètres AWS Access key id et AWS secret access key .
      • Pour établir une authentification basée sur les rôles AWS , entrez des valeurs pour les paramètres AWS Access key id, AWS secret access keyet AWS IAM Role .
      • Pour accorder l'accès à vos ressources AWS et établir une authentification par rôle de prise en charge, entrez une valeur pour le paramètre ID externe pour AWS Assume Role . Pour plus d'informations, voir Utilisation d'un ID externe pour un accès tiers (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html).
      Pour plus d'informations sur l'authentification AWS , voir Configuration de l'authentification AWS.
    6. Cliquez sur Ajouter.
    7. Pour sauvegarder votre configuration et établir la connexion, cliquez sur Terminé.
    Vous pouvez voir la configuration de la connexion de la source de données que vous avez ajoutée sous Connexions sur la page Paramètres de la source de données. Un message sur la carte indique la connexion à la source de données.
    Lorsque vous ajoutez une source de données, cela peut prendre quelques minutes avant que la source de données ne s'affiche comme étant connectée.
    Astuce: Une fois que vous avez connecté une source de données, l'extraction des données peut prendre jusqu'à 30 secondes. Avant que le jeu de données complet ne soit renvoyé, la source de données peut s'afficher comme non disponible. Une fois les données renvoyées, la source de données s'affiche comme étant connectée et un mécanisme d'interrogation est mis en place pour valider le statut de la connexion. Le statut de connexion est valide pendant 60 secondes après chaque interrogation.

    Vous pouvez ajouter d'autres configurations de connexion pour cette source de données avec utilisateurs et des droits d'accès aux données différents.

  8. Pour éditer vos configurations, procédez comme suit:
    1. Dans l'onglet Sources de données , sélectionnez la connexion de source de données à éditer.
    2. Dans la section Configurations , cliquez sur Editer la configuration (Icône Editer la configuration).
    3. Editez les paramètres d'identité et d'accès et cliquez sur Sauvegarder.

Etape suivante

Testez la connexion en exécutant une requête avec IBM Security Data Explorer. Pour utiliser Data Explorer, vous devez avoir des sources de données connectées afin que l'application puisse exécuter des requêtes et extraire des résultats dans un ensemble unifié de sources de données. Les résultats de la recherche varient en fonction des données stockées dans les sources de données configurées. Pour plus d'informations sur la génération d'une requête dans Data Explorer, voir Génération d'une requête.