Conectando a uma origem de dados do Amazon Athena

Editar on-line

Conecte a origem de dados Amazon Athena à plataforma para permitir que seus aplicativos e painéis coletem e analisem dados de segurança do Amazon Athena . Os conectores Universal Data Insights permitem a procura federada em seus produtos de segurança.

Antes de começar

Colaborar com um administrador do AWS para obter uma conta do usuário com acesso para consultar a origem de dados CloudWatch .

Configurar logs de fluxo do VPC no Amazon Athena
  1. Ative os logs de fluxo do VPC no Amazon Console
  2. Configure o serviço de log de fluxo do VPC para salvar logs no depósito Amazon S3 . Para obter mais informações, consulte Publicando logs de fluxos no Amazon S3 (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html).
  3. Crie a tabela do Amazon VPC para logs de fluxo do VPC no serviço Amazon Athena Para obter mais informações, consulte Consultando Amazon logs de fluxo do VPC (https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html).

Configure Amazon GuardDuty em Amazon Athena

  1. Ative os recursos GuardDuty no Amazon Console.
  2. Configure o recurso GuardDuty para exportar descobertas no depósito Amazon S3 . Para obter mais informações, consulte Descobertas de exportação (https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html).
  3. Crie uma tabela para GuardDuty descobertas em Amazon Athena. Para obter mais informações, consulte Consultando Amazon GuardDuty Descobertas (https://docs.aws.amazon.com/athena/latest/ug/querying-guardduty.html).
Configure Amazon Security Lake em Amazon Athena
  1. Ative e inicie Amazon Security Lake no Amazon Console. Para obter mais informações, consulte Introdução ao Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html)
  2. Assegure-se de que Amazon Security Lake armazene logs no formato Open Cybersecurity Schema Framework (OCSF). Para obter mais informações, consulte Formato do Open Cybersecurity Schema (OCSF) (https://schema.ocsf.io/).
  3. O programa cliente deve ter acesso de consulta às tabelas AWS Lake Formation como um assinante. A lista a seguir contém as permissões mínimas do IAM para o conector Amazon Athena :
    • "athena:GetQueryExecução"
    • "athena: Resultados deGetQuery"
    • "athena:ListWorkGrupos"
    • "athena:StartQueryExecução"
    • "athena:StopQueryExecução"
    • "cola:GetDatabases"
    • "glue:GetTable"
    • "s3:AbortMultipartUpload"
    • "s3:DeleteObject"
    • "s3:GetBucketLocation"
    • "s3:GetObject"
    • "s3:ListBucket",
    • "s3:ListBucketMultipartUploads"
    • "s3:ListMultipartUploadParts"
    • "s3:PutObject"
    • "sts:AssumeRole"
    Para obter mais informações, consulte Gerenciamento de assinantes no Amazon Security Lake (https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html).

Se você tiver um firewall entre o seu cluster e o destino de origem de dados, use o IBM® Security Edge Gateway para hospedar os contêineres O Edge Gateway deve ser V1.6 ou posterior. Para obter mais informações, consulte Configurando o Gateway de Borda

Sobre esta tarefa

Amazon Athena usa SQL padrão para analisar dados no Amazon S3. Conexões de origem de dados para logs do Amazon GuardDuty e logs do VPC Flow são suportadas.

Structured Threat Information eXpression (STIX) é um formato de linguagem e serialização que as organizações usam para trocar inteligência de ameaça cibernética. O conector Amazon Athena usa o padrão STIX para consultar dados Amazon Athena e retorna resultados como objetos STIX . Para obter mais informações sobre como o esquema de dados Amazon Athena é mapeado para STIX, consulte Amazon Athena STIX Mapeamento (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_athena_supported_stix.md).

Procedimento

  1. Vá para Menu > Conexões > Origens de Dados.
  2. Na guia Origens de dados , clique em Conectar uma origem de dados
  3. Clique em Amazon Athena, em seguida, clique em Avançar.
  4. Configure a conexão com a origem de dados
    1. No campo Nome da origem de dados: , designe um nome para identificar exclusivamente a conexão de origem de dados.
      É possível criar várias instâncias de conexão para uma origem de dados para configurá-las claramente por nome. Somente caracteres alfanuméricos e os caracteres especiais a seguir são permitidos: - . _
    2. No campo Descrição da Origem de Dados escreva uma descrição para indicar o propósito da conexão de origem de dados.
      É possível criar várias instâncias de conexão para uma origem de dados, portanto, é útil indicar claramente o propósito de cada conexão por descrição. Somente caracteres alfanuméricos e os caracteres especiais a seguir são permitidos: - . _
    3. Se você tiver um firewall entre o seu cluster e o destino de origem de dados, use o Edge Gateway para hospedar os contêineres No campo Gateway de borda (opcional) , especifique qual Edge Gateway usar.
      Selecione um Edge Gateway para hospedar o conector Pode demorar até cinco minutos para que o status das conexões de origem de dados recém-implementadas no Edge Gateway seja mostrado como sendo conectado
    4. No campo Região , configure a região Amazon Athena para a origem de dados.. Selecione seu código de região na coluna Região da tabela Terminais em Serviço nos Amazon Athena terminais e quotas (https://docs.aws.amazon.com/general/latest/gr/athena.html).
    5. No campo Amazon S3 , configure o local do depósito S3 no qual os resultados da consulta serão armazenados.
    6. Se você estiver usando o Amazon Athena com os logs de fluxo do VPC, especifique o nome do banco de dados que contém os logs de fluxo do VPC no campo Nome do banco de dados do VPC Flow Logs (opcional)
    7. Se você estiver usando o Amazon Athena com logs de fluxos do VPC, especifique o nome da tabela que contém os logs de fluxos do VPC no campo Nome da tabela de logs de fluxo do VPC (opcional)
    8. Se você estiver usando Amazon Athena com Amazon GuardDuty, especifique o nome do banco de dados que contém os logs do Amazon GuardDuty no campo Nome do banco de dados do Amazon GuardDuty (opcional) .
    9. Se você estiver usando Amazon Athena com Amazon GuardDuty, especifique o nome da tabela que contém os logs Amazon GuardDuty no campo Nome da tabela do Amazon GuardDuty (opcional) .
    10. Se você estiver usando Amazon Athena para consultar logs Lago de Segurança Amazon , especifique o nome do banco de dados de formação do AWS Lake que contém os logs de segurança no campo Nome do banco de dados de logs do OCSF (opcional) .
    11. Se você estiver usando o Amazon Athena para consultar logs do Amazon Security Lake , especifique o nome da tabela de formação do AWS Lake que contém os logs de segurança no campo Nome da tabela de logs do OCSF (opcional) .
  5. Configure os parâmetros de consulta para controlar o comportamento da consulta de procura na origem de dados.
    1. No campo Limite de procura simultânea , configure o número de conexões simultâneas que podem ser feitas para a origem de dados.. O limite padrão para o número de conexões é 4. O valor não deve ser inferior a 1 e maior do que 100.
    2. No campo Limite de tempo limite de procura de consulta , configure o limite de tempo em minutos por quanto tempo a consulta é executada na origem de dados O limite de tempo padrão é 30. Quando o valor é configurado como zero, não há tempo limite. O valor não deve ser menor que um e nem maior que 120.
    3. No campo Limite de Tamanho do Resultado , configure o número máximo de entradas ou objetos que são retornadas pela consulta de procura O limite de tamanho do resultado padrão é 10.000. O valor não deve ser menor que 1 e não deve ser maior que 500.000.
    4. No campo Intervalo de tempo de consulta , configure o intervalo de tempo em minutos para a procura representado como os últimos X minutos. O padrão é 5 minutos. O valor não deve ser menor que 1 e não deve ser maior que 10.000.
    Importante: Se você aumentar o limite de procura simultânea e o limite de tamanho do resultado, uma quantia maior de dados poderá ser enviada para a origem de dados, o que aumenta a tensão na origem de dados. Aumentar o intervalo de tempo de consulta também aumenta a quantidade de dados.
  6. Opcional: Se for necessário customizar o mapeamento de atributos STIX, clique em Customizar mapeamento de atributos e edite o blob JSON para mapear propriedades novas ou existentes para seus campos de origem de dados de destino associados.
  7. Configure a identidade e o acesso.
    1. Clique em Incluir uma Configuração.
    2. No campo Nome da Configuração , insira um nome exclusivo para descrever a configuração de acesso e distingui-la das outras configurações de acesso para essa conexão de origem de dados que você pode configurar Apenas caracteres alfanuméricos e os seguintes caracteres especiais são permitidos: - . _
    3. No campo Descrição da configuração , insira uma descrição exclusiva para descrever a configuração de acesso e distingui-la das outras configurações de acesso para essa conexão de origem de dados que você pode configurar Apenas caracteres alfanuméricos e os seguintes caracteres especiais são permitidos: - . _
    4. Clique em Editar acesso e escolha quais usuários podem se conectar à origem de dados e o tipo de acesso
    5. Estabelecer AWS autenticação para permitir o acesso à API de procura AWS .
      • Para estabelecer uma autenticação baseada em chave do AWS , insira valores para os parâmetros AWS Access key id e AWS secret access key .
      • Para estabelecer uma autenticação baseada em função do AWS , insira valores para os parâmetros AWS Access key id, AWS secret access keye AWS IAM Role .
      • Para conceder acesso aos recursos do AWS e estabelecer uma autenticação Assumir Função, insira um valor para o parâmetro External ID for AWS Assume Role . Para obter mais informações, consulte Usando um ID externo para acesso de terceiros (https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html).
      Para obter mais informações sobre a autenticação AWS , consulte Configurando a autenticação AWS.
    6. Clique em Incluir.
    7. Para salvar sua configuração e estabelecer a conexão, Clique em Pronto.
    É possível ver a configuração de conexão de origem de dados que foi incluída em Conexões na página de configurações da origem de dados. Uma mensagem no cartão indica a conexão com a origem de dados.
    Quando você inclui uma origem de dados, pode levar alguns minutos antes que a origem de dados seja mostrada como sendo conectada
    Dica: após a conexão de uma origem de dados, pode levar até 30 segundos para recuperar os dados Antes que o conjunto de dados completo seja retornado, a origem de dados pode ser exibida como indisponível Após os dados serem retornados, a origem de dados é mostrada como conectada e ocorre um mecanismo de pesquisa para validar o status da conexão. O status da conexão é válido por 60 segundos após cada pesquisa.

    É possível incluir outras configurações de conexão para essa origem de dados com diferentes usuários e diferentes permissões de acesso a dados.

  8. Para editar suas configurações, conclua as etapas a seguir:
    1. Na guia Origens de dados , selecione a conexão de origem de dados que deseja editar..
    2. Na seção Configurações , clique em Editar Configuração (Editar ícone de configuração).
    3. Edite os parâmetros de identidade e acesso e clique em Salvar.

O que fazer a seguir

Teste a conexão executando uma consulta com IBM Security Data Explorer. Para usar o Data Explorer, deve-se ter origens de dados conectadas para que o aplicativo possa executar consultas e recuperar resultados em um conjunto unificado de origens de dados. Os resultados da procura variam de acordo com os dados que estão contidos em suas origens de dados configuradas. Para obter mais informações sobre como construir uma consulta no Data Explorer, consulte Construir uma consulta.