Amazon CloudWatch veri kaynağına bağlanma

Çevrimiçi düzenle

Uygulamalarınızın ve gösterge panolarının Amazon CloudWatch güvenlik verilerini toplamasını ve analiz etmesini sağlamak için Amazon CloudWatch veri kaynağını platforma bağlayın. Universal Data Insights bağlayıcıları, güvenlik ürünleriniz genelinde birleşik aramayı etkinleştirir.

Başlamadan önce

CloudWatch veri kaynağını sorgulamak için erişim yetkisi olan bir kullanıcı hesabı elde etmek üzere bir AWS yöneticisiyle işbirliği yapın.

Kümeniz ile veri kaynağı hedefi arasında bir güvenlik duvarınız varsa, kapsayıcıları barındırmak için IBM® Security Edge Gateway kullanın. Edge Gateway , V1.6 ya da sonraki bir yayın düzeyinde olmalıdır. Daha fazla bilgi için Edge Gateway 'i ayarlamabaşlıklı konuya bakın.

Bu görev hakkında

Amazon CloudWatchile, tüm Amazon sistemleriniz, uygulamalarınızdan ve Amazon Web Services (AWS) hizmetlerinden günlüklere merkezi erişim ayarlayabilirsiniz.

Amazon GuardDuty günlükleri ve VPC Akış günlükleri için veri kaynağı bağlantıları desteklenir.

Structured Threat Information eXpression (STIX), kuruluşların siber tehdit istihbaratı alışverişi için kullandığı bir dil ve diziselleştirme biçimidir. Amazon CloudWatch bağlayıcısı, Amazon CloudWatch verilerini sorgulamak için STIX örüntleme özelliğini kullanır ve sonuçları STIX nesneleri olarak döndürür. Amazon CloudWatch veri şemasının STIXile nasıl eşlendiğine ilişkin daha fazla bilgi için bkz. Amazon CloudWatch STIX Eşleme (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/aws_cloud_watch_logs_supported_stix.md).

İşlem

  1. Menu > Connections > Veri dön gerekir girin gerekir sağlar sağlar sağlar girin bu..
  2. Veri Kaynakları sekmesinde Veri kaynağı bağla' yı tıklatın.
  3. Veri kaynağı tipini seçin.
  4. Veri kaynağına bağlantıyı yapılandırın.
    1. Veri kaynağı adı alanında, veri kaynağı bağlantısını benzersiz olarak tanımlamak için bir ad atayın.
      Bir veri kaynağı için birden çok bağlantı örneği oluşturabilirsiniz; böylece, bunları ada göre açık bir şekilde ayırmanız iyi olur. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
    2. Veri kaynağı açıklaması alanında, veri kaynağı bağlantısının amacını belirten bir açıklama yazın.
      Bir veri kaynağına birden çok bağlantı eşgörünümü oluşturabilirsiniz; bu nedenle, her bağlantının amacını açıklamaya göre açıkça belirtmeniz yararlı olur. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
    3. Kümeniz ile veri kaynağı hedefi arasında bir güvenlik duvarınız varsa, kapsayıcıları barındırmak için Edge Gateway kullanın. Edge ağ geçidi (isteğe bağlı) alanında hangi Edge Gateway ' in kullanılacağını belirtin.
      Bağlayıcıyı barındırmak için bir Edge Gateway seçin. Edge Gateway üzerinde yeni devreye alınan veri kaynağı bağlantılarının durumunun bağlı olarak gösterilmesi beş dakika kadar sürebilir.
    4. Bölge alanında veri kaynağı için CloudWatch bölgesini belirtin. AWS Genel Başvuru Kılavuzu ' daki (https://docs.aws.amazon.com/general/latest/gr/cwl_region.html) Hizmet Uç Noktaları tablosunun Bölge sütunundan bölge kodunuzu seçin.
    5. Günlük grubu adları alanında, bağlanmak istediğiniz CloudWatch günlüklerinin günlük grubu adlarını belirtin. Günlük grubu adları belirtilmezse, kullanılabilir tüm günlük grupları bağlanır.
      Bu alan isteğe bağlıdır. Günlük grubu adları değeri belirli bir JSON biçimini kullanmalıdır:
      {"<service_type>": "<service_log_group_name>"}
      Örneğin:
      {"vpcflow": "vpcflow_log_group_name"}
      Birden çok hizmet tipinden günlükleri almak için, hizmet tipleri ve ilişkili günlük grubu adları, virgülle ayrılmış olarak JSON ' da belirtilebilir. Örneğin:
      {"vpcflow": "vpcflow_log_group_name", "guardduty": "guardduty_log_group_name"}
  5. Veri kaynağındaki arama sorgusunun davranışını denetlemek için sorgu değiştirgelerini ayarlayın.
    1. Eşzamanlı arama sınırı alanında, veri kaynağıyla yapılabilecek eşzamanlı bağlantı sayısını ayarlayın. Bağlantı sayısı için varsayılan sınır 4 'tür. Değer 1 'den küçük olmamalı ve 100 'den büyük olmamalıdır.
    2. Sorgu arama zamanaşımı sınırı alanında, sorgunun veri kaynağında ne kadar süreyle çalıştırılacağını dakika cinsinden belirleyin. Varsayılan zaman sınırı 30 'dur. Değer sıfır olarak ayarlandığında, zamanaşımı olmaz. Değer 1 'den küçük olmamalı ve 120 'den büyük olmamalıdır.
    3. Sonuç büyüklüğü sınırı alanında, arama sorgusunun döndürdüğü giriş ya da nesne sayısı üst sınırını belirleyin. Varsayılan sonuç boyutu sınırı 10.000 'dir. Değer 1 'den küçük olmamalı ve 500.000 'den büyük olmamalıdır.
    4. Sorgu zaman aralığı alanında, son X dakika olarak gösterilen, aramanın zaman aralığını dakika cinsinden ayarlayın. Varsayılan değer 5 dakikadır. Değer 1 'den küçük olmamalı ve 10.000 'den büyük olmamalıdır.
    Önemli: Eşzamanlı arama sınırını ve sonuç boyutu sınırını artırırsanız, veri kaynağına daha fazla veri gönderilebilir ve bu da veri kaynağının üzerindeki gerginliğini artırır. Sorgu zaman aralığının artırılması da veri miktarını artırır.
  6. İsteğe bağlı: STIX öznitelik eşlemesini özelleştirmeniz gerekiyorsa, Öznitelik eşlemesini özelleştir seçeneğini tıklatın ve yeni ya da var olan özellikleri ilişkili hedef veri kaynağı alanlarıyla eşlemek için JSON blob 'u düzenleyin.
  7. Kimlik ve erişimi yapılandırın.
    1. Add a Configuration(Yapılandırma Ekle) seçeneğini tıklatın.
    2. Yapılandırma adı alanında, erişim yapılandırmasını tanımlamak ve bu veri kaynağı bağlantısına ilişkin diğer erişim yapılandırmalarından ayırmak için benzersiz bir ad girin. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
    3. Yapılandırma açıklaması alanında, erişim yapılandırmasını tanımlamak ve bu veri kaynağı bağlantısına ilişkin ayarlayabileceğiniz diğer erişim yapılandırmalarından ayırmak için benzersiz bir açıklama girin. Yalnızca alfasayısal karakterlere ve şu özel karakterlere izin verilir: - . _
    4. Erişimi düzenle ' yi tıklatın ve hangi kullanıcıların veri kaynağına ve erişim tipine bağlanabileceğini seçin.
    5. AWS arama API 'sine erişimi etkinleştirmek için AWS kimlik doğrulaması oluşturun.
      • AWS anahtar tabanlı kimlik doğrulaması oluşturmak için AWS Erişim anahtarı tanıtıcısı ve AWS gizli erişim anahtarı parametreleri için değerleri girin.
      • AWS rol tabanlı kimlik doğrulaması oluşturmak için AWS Erişim anahtarı tanıtıcısı, AWS gizli erişim anahtarıve AWS IAM Role parametreleri için değer girin.
      AWS kimlik doğrulamasıyla ilgili ek bilgi için AWS kimlik doğrulamasını yapılandırmabaşlıklı konuya bakın.
    6. CloudWatch , kendinden onaylı bir SSL (Security Sockets Layer; Güvenlik Yuva Katmanı) sertifikasıyla yapılandırıldıysa, bir bağlantı sertifikası ekleyin.

      Kendinden onaylı bir sertifikanız olduğunu onaylamak için, web 'de 'ssl decode' arayabilir, ardından sertifikanızı kopyalayıp bir Sertifika Decoder 'a yapıştırabilirsiniz. Ortak Ad alanındaki değer yerel ise (örneğin, yourlocalhost.yourlocaldomain), kendinden onaylı bir sertifikayı gösterir.

      Sertifika ayrıntılarını kopyalayın ve sağlanan alana yapıştırın.

    7. Ekledüğmesini tıklatın.
    8. Yapılandırmanızı kaydetmek ve bağlantı kurmak için Bittidüğmesini tıklatın.
    Veri kaynağı ayarları sayfasında Connections altında eklediğiniz veri kaynağı bağlantı yapılandırmasını görebilirsiniz. Karttaki bir ileti veri kaynağıyla bağlantıyı gösteriyor.
    Bir veri kaynağı eklediğinizde, veri kaynağının bağlı olduğunu girişi yerine yerine birkaç dakika sürebilir.
    İpucu: Bir veri kaynağını bağladıktan sonra, verilerin alınması 30 saniye sürebilir. Tam veri kümesi döndürülmeden önce veri kaynağı kullanılamıyor olarak görüntülenebilir. Veriler döndürüldükten sonra, veri kaynağı bağlı olarak gösterilir ve bağlantı durumunu doğrulamak için bir yoklama mekanizması ortaya çıkar. Bağlantı durumu, her yoklamadan sonra 60 saniye geçerlidir.

    Bu veri kaynağı için farklı kullanıcıları ve farklı veri erişimi izinleri olan başka bağlantı yapılandırmaları ekleyebilirsiniz.

  8. Yapılanışlarınızı düzenlemek için aşağıdaki adımları izleyin:
    1. Veri Kaynakları sekmesinde düzenlemek istediğiniz veri kaynağı bağlantısını seçin.
    2. Yapılandırmalar bölümünde Yapılandırmayı Düzenle (Yapılandırma simgesini düzenle) seçeneğini tıklatın.
    3. Kimlik ve erişim parametrelerini düzenleyin ve Kaydetdüğmesini tıklatın.

Sonra ne yapılmalı

IBM Security Data Explorerile bir sorgu çalıştırarak bağlantıyı test edin. Data Explorer' i kullanmak için, uygulamanın sorguları çalıştırabilmesi ve sonuçları landığını biçimli-) bir veri kaynakları kümesi üzerinden alabilmesi için bağlı veri kaynaklarınız olmalıdır. Arama sonuçları, yapılandırılan veri kaynaklarınızda bulunan verilere bağlı olarak değişir. Data Exploreriçinde sorgu oluşturma hakkında daha fazla bilgi için bkz. Sorgu oluşturma.