Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Consulta directa de los datos de Amazon Security Lake en Service OpenSearch
En esta sección, se explica el proceso de creación y configuración de una integración de fuentes de datos en Amazon OpenSearch Service, lo que le permitirá consultar y analizar de forma eficiente los datos almacenados en Security Lake.
En las páginas siguientes, aprenderá a configurar una fuente de datos de consulta directa de Security Lake, a analizar los requisitos previos necesarios y a seguir los step-by-step procedimientos utilizando el. Consola de administración de AWS
**Topics**
+ [
# Creación de una integración de fuentes de datos de Amazon Security Lake en OpenSearch Service
](direct-query-security-lake-creating.md)
+ [
# Configuración y consulta de una fuente de datos de Security Lake en OpenSearch los paneles
](direct-query-security-lake-configure.md)
+ [
## Precios
](#direct-query-security-lake-pricing)
+ [
## Limitaciones
](#direct-query-security-lake-limitations)
+ [
## Recomendaciones
](#direct-query-security-lake-recommendations)
+ [
## Cuotas
](#direct-query-security-lake-quotas)
+ [
## Compatible Regiones de AWS
](#direct-query-security-lake-regions)
# Creación de una integración de fuentes de datos de Amazon Security Lake en OpenSearch Service
Puede usar Amazon OpenSearch Serverless para consultar directamente los datos de seguridad en Amazon Security Lake. Para ello, debe crear una fuente de datos que le permita utilizar funciones OpenSearch sin ETL en los datos de Security Lake. Al crear un origen de datos, puede buscar directamente los datos almacenados en Security Lake, obtener información sobre ellos y analizarlos. Puede acelerar el rendimiento de sus consultas y utilizar OpenSearch análisis avanzados en determinados conjuntos de datos de Security Lake mediante la indexación bajo demanda.
**Topics**
+ [
## Requisitos previos
](#direct-query-s3security-lake-prereq)
+ [
## Procedimiento
](#direct-query-security-lake-create)
+ [
## Siguientes pasos
](#direct-query-security-lake-next-steps)
+ [
## Recursos adicionales
](#direct-query-security-lake-additional-resources)
## Requisitos previos
Antes de comenzar, asegúrese de que ha revisado la siguiente documentación:
+ [Limitaciones](direct-query-security-lake-overview.md#direct-query-security-lake-limitations)
+ [Recomendaciones](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations)
+ [Cuotas](direct-query-security-lake-overview.md#direct-query-security-lake-quotas)
Antes de poder crear un origen de datos, haga lo siguiente en Security Lake:
+ **Habilitar Security Hub**. Configure Security Lake para recopilar registros en el mismo lugar Región de AWS que su OpenSearch recurso. Para obtener instrucciones, consulte [Introducción a Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) en la guía del usuario de Amazon Security Lake.
+ **Configure los permisos de Security Lake**. Asegúrese de haber aceptado los permisos de los roles vinculados al servicio para la administración de recursos y de que la consola no muestre ningún problema en la página **Problemas**. Para obtener más información, consulte [Rol vinculado al servicio para Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/using-service-linked-roles.html) en la guía del usuario de Amazon Security Lake.
+ **Comparta los orígenes de datos de Security Lake**. Al acceder OpenSearch desde la misma cuenta que Security Lake, asegúrese de que no aparezca ningún mensaje para registrar sus depósitos de Security Lake con Lake Formation en la consola de Security Lake. Para el OpenSearch acceso entre cuentas, configure un suscriptor de consultas de Lake Formation en la consola de Security Lake. Utilice la cuenta asociada a su OpenSearch recurso como suscriptor. Para obtener más información, consulte [Administración de suscriptores en Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/create-query-subscriber-procedures.html) en la guía del usuario de Amazon Security Lake.
Además, también debe tener los siguientes recursos en su Cuenta de AWS:
+ **(Opcional) Un rol de IAM creado manualmente.** Puede usar este rol para administrar el acceso al origen de datos. Como alternativa, puede hacer que OpenSearch Service cree un rol para usted automáticamente con los permisos necesarios. Si decide utilizar un rol de IAM creado manualmente, siga las instrucciones que se indican en [Permisos necesarios para los roles de IAM creados manualmente](#direct-query-security-lake-additional-resources-required-permissions).
## Procedimiento
Puede configurar un origen de datos para que se conecte a una base de datos de Security Lake desde la Consola de administración de AWS.
### Para configurar una fuente de datos mediante el Consola de administración de AWS
1. Ve a la consola OpenSearch de Amazon Service en[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. En el panel de navegación de la izquierda, vaya a **Administración central** y seleccione **Orígenes de datos conectados**.
1. Elija **Conectar**.
1. Elija **Security Lake** como tipo de origen de datos.
1. Elija **Siguiente**.
1. En **Detalles de la conexión de datos**, escriba un nombre y una descripción opcional.
1. En **Configuración del permiso de acceso de IAM**, elija cómo administrar el acceso a su origen de datos.
1. Si desea crear automáticamente un rol para este origen de datos, siga estos pasos:
1. Seleccione **Crear un nuevo rol**.
1. Ingrese un nombre para el rol de IAM.
1. Seleccione una o más AWS Glue tablas para definir qué datos se pueden consultar.
1. Si desea utilizar un rol existente que usted administra, siga estos pasos:
1. Seleccione **Usar un rol existente**.
1. Seleccione un rol existente en el menú desplegable.
**nota**
Cuando utilice su propio rol, debe asegurarse de que tiene todos los permisos requeridos. Para ello, adjunte las políticas necesarias desde la consola de IAM. Para obtener más información, consulte [Permisos necesarios para los roles de IAM creados manualmente](#direct-query-security-lake-additional-resources-required-permissions).
1. (Opcional) En **Etiquetas**, agregue etiquetas al origen de datos.
1. Elija **Siguiente**.
1. En **Configurar OpenSearch**, elija cómo desea OpenSearch configurarlo.
1. Revise los nombres de los recursos y la configuración de retención de datos predeterminados.
Si utilizas la configuración predeterminada, se crea una nueva OpenSearch aplicación y un espacio de trabajo de Essentials sin coste adicional. OpenSearch le permite analizar varias fuentes de datos. Incluye espacios de trabajo, que proporcionan experiencias personalizadas para casos de uso populares. Los espacios de trabajo admiten el control de acceso, lo que le permite crear espacios privados para sus casos de uso y compartirlos solo con sus colaboradores.
1. Use ajustes personalizados:
1. Elija **Personalizar**.
1. Edite el nombre de la colección y la configuración de retención de datos según sea necesario.
1. Seleccione la OpenSearch aplicación y el espacio de trabajo que desee utilizar.
1. Elija **Siguiente**.
1. Revise sus opciones y seleccione **Editar** si necesita hacer algún cambio.
1. Seleccione **Conector** para configurar el origen de datos. Permanezca en esta página mientras se crea el origen de datos. Cuando esté listo, accederá a la página de detalles del origen de datos.
## Siguientes pasos
### Visite los OpenSearch paneles y cree un panel
Después de crear una fuente de datos, OpenSearch Service le proporciona una URL de OpenSearch Dashboards. Puede utilizar esto para consultar los datos mediante SQL o PPL. La integración de Security Lake incluye plantillas de consulta preempaquetadas para SQL y PPL para que pueda empezar a analizar sus registros.
Para obtener más información, consulte [Configuración y consulta de una fuente de datos de Security Lake en OpenSearch los paneles](direct-query-security-lake-configure.md).
## Recursos adicionales
### Permisos necesarios para los roles de IAM creados manualmente
Al crear un origen de datos, se elige un rol de IAM para administrar el acceso a los datos. Tiene dos opciones:
1. Crear un nuevo rol de IAM automáticamente
1. Utilizar un rol de IAM creado manualmente
Si utiliza un rol creado manualmente, debe asociar los permisos correctos al rol. Los permisos deben permitir el acceso a la fuente de datos específica y permitir que el OpenSearch Servicio asuma la función para que el OpenSearch Servicio pueda acceder a sus datos e interactuar con ellos de forma segura. Además, conceda LakeFormation permisos al rol para cualquier base de datos y tablas que desee consultar. Otorgue `DESCRIBE` permisos al rol en SecurityLake las bases de datos que desee consultar desde la conexión de consulta directa. Otorgue al menos los permisos `SELECT and DESCRIBE` al rol de origen de datos para las tablas de la base de datos.
El siguiente ejemplo de política muestra los permisos con privilegios mínimos necesarios para crear y administrar un origen de datos. Si tiene permisos más generales, como la política `AdminstratorAccess`, estos engloban los permisos con privilegios mínimos de la política de ejemplo.
En el siguiente ejemplo de política, *placeholder text * sustitúyalo por su propia información.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonOpenSearchDirectQueryServerlessAccess",
"Effect": "Allow",
"Action": [
"aoss:APIAccessAll",
"aoss:DashboardsAccessAll"
],
"Resource": "arn:aws:aoss:us-east-1:111122223333:collection/collectionname/*"
},
{
"Sid": "AmazonOpenSearchDirectQueryGlueAccess",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTableVersions",
"glue:GetTables",
"glue:SearchTables",
"glue:BatchGetPartition"
],
"Resource": [
"arn:aws:glue:us-east-1:111122223333:table/databasename/*",
"arn:aws:glue:us-east-1:111122223333:database/databasename",
"arn:aws:glue:us-east-1:111122223333:catalog",
"arn:aws:glue:us-east-1:111122223333:database/default"
]
},
{
"Sid": "AmazonOpenSearchDirectQueryLakeFormationAccess",
"Effect": "Allow",
"Action": [
"lakeformation:GetDataAccess"
],
"Resource": [
"*"
]
}
]
}
```
------
El rol debe tener la siguiente política de confianza, que especifica el ID de destino.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "directquery.opensearchservice.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Para obtener instrucciones sobre cómo crear los roles, consulte [Creación de un rol mediante políticas de confianza personalizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
De forma predeterminada, el rol solo tiene acceso a los índices de orígenes de datos de consulta directa. Si bien puede configurar el rol para limitar o conceder el acceso a su origen de datos, se recomienda no ajustar el acceso de este rol. **Si elimina el origen de datos, se eliminará este rol**. Esto eliminará el acceso de los demás usuarios si están asignados al rol.
### Consulta de datos de Security Lake que están cifrados con una clave administrada por el cliente
Si el depósito de Security Lake asociado a la conexión de datos se cifra mediante cifrado del lado del servidor y gestionado por un cliente AWS KMS key, debe añadir la función de LakeFormation servicio a la política de claves. Esto permite que el servicio acceda a los datos de sus consultas y los lea.
En el siguiente ejemplo de política, sustitúyalo *placeholder text * por su propia información.
```
{
"Sid": "Allow LakeFormation to access the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/aws-service-role/lakeformation.amazonaws.com/AWSServiceRoleForLakeFormationDataAccess"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
# Configuración y consulta de una fuente de datos de Security Lake en OpenSearch los paneles
Ahora que ha creado su fuente de datos, puede configurarla en OpenSearch los paneles.
En esta sección, se explican varios casos de uso de la fuente de datos en los OpenSearch paneles de control antes de realizar consultas en los datos. Para empezar, debe navegar hasta su fuente de datos en los OpenSearch paneles. En el menú de navegación izquierdo, en **Administración**, elija **Origen de datos**. A continuación, seleccione el nombre de la fuente de datos que creó anteriormente en la consola de OpenSearch servicio.
## Consulte las tablas de Security Lake de Discover
Si ha creado tablas basadas en sus registros de Security Lake, ahora puede consultarlas directamente desde OpenSearch Discover. Esto le permite acceder y analizar sin problemas los datos almacenados en Security Lake, directamente desde la conocida interfaz Discover. Al consultar Security Lake directamente desde Discover, puede evitar la necesidad de extraer, transformar y cargar manualmente los datos en un índice de búsqueda independiente. Para empezar rápidamente a analizar sus registros, Discover incluye un conjunto de consultas guardadas de PPL y SQL.
Comience por seleccionar el origen de datos que ha configurado. Seleccione la base de datos y la tabla asociadas que desee consultar y, a continuación, utilice la barra de búsqueda para escribir consultas en las tablas. Para saber qué sentencias, comandos y limitaciones son compatibles con la integración de Security Lake, consulte [Comandos SQL y PPL compatibles](direct-query-supported-commands.md).
Para aprovechar las consultas prediseñadas que están disponibles para Security Lake, vaya a **...** en la parte superior derecha de Discover, seleccione **Abrir consulta** y, a continuación, seleccione **Plantillas**. Hay muchas consultas prediseñadas disponibles para los orígenes de registros compatibles con Security Lake. Busque las plantillas que coincidan con su caso de uso, copie la consulta para utilizarla en la barra de búsqueda y sustituya los campos con plantillas (como región y acción) por su propia información.
## Acelere los datos de Discover
Para mejorar el rendimiento y agilizar las consultas y los análisis posteriores OpenSearch, puede incorporar los resultados de la consulta de Discover en una vista OpenSearch indexada.
**Cómo crear una vista indexada**
1. En Discover, elija **Crear vista indexada**.
1. En el editor de consultas, escriba la consulta que prefiera. Puede crear una nueva consulta aquí o utilizar una existente de sus búsquedas anteriores.
1. Especifique un nombre para la nueva vista indexada. Elija un nombre descriptivo que lo ayude a identificar la vista más tarde.
1. Configure los ajustes de retención de datos para la vista indexada. Puede especificar durante cuánto tiempo deben mantenerse los datos en el índice, lo que le permite equilibrar el rendimiento con los costos de almacenamiento.
1. Cree la vista indexada. Una vez creada, la vista indexada estará disponible para realizar consultas y análisis más rápidos.
Si ya ha creado vistas indexadas, puede acceder a ellas desde Discover.
**Cómo usar una vista indexada existente**
1. En Discover, elija **Seleccionar vista indexada** para ver una lista de las vistas indexadas existentes de Security Lake.
1. Elija la vista indexada que desea usar. Esto aplicará la vista a la consulta actual, lo que podría acelerar considerablemente la recuperación y el análisis de los datos.
## Crear una vista de panel para el origen de datos
Al utilizar OpenSearch Service, puede analizar los tipos de AWS registro más populares mediante plantillas de panel prediseñadas. Para Security Lake, hay plantillas para registros de VPC y WAF. CloudTrail Estas plantillas le permiten crear un panel de control adaptado a sus datos específicos. Incluyen consultas y paneles prediseñados que están diseñados para ese tipo de registro específico. Esto le permite empezar a analizar rápidamente estas populares fuentes de AWS registro, sin tener que compilarlo todo desde cero.
**nota**
Los Dashboards utilizan vistas indexadas, que ingieren datos de Security Lake y contribuyen a la computación directa de consultas y colecciones.
Siga estos pasos para crear un panel con una de estas plantillas prediseñadas, de modo que pueda empezar a explorar y analizar sus datos de inmediato.
**Cómo crear un panel**
1. Ve a la consola OpenSearch de Amazon Service en[https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. En el panel de navegación izquierdo, seleccione **Administración central** y, a continuación, **Orígenes de datos conectados**.
1. Seleccione el origen de datos para abrir la página de detalles.
1. Elija **Crear panel**.
1. Elija el tipo de panel que desea crear.
1. Introduzca un nombre para su panel de control.
1. Escriba una descripción opcional para el panel de control.
1. Selecciona una o más tablas de AWS Glue para verlas en tu panel de control.
1. Elija la frecuencia con la que quiere actualizar los datos del panel.
1. Elige qué OpenSearch espacio de trabajo quieres usar.
1. Seleccione **Crear un espacio de trabajo** para crear un espacio de trabajo nuevo.
1. Para usar un espacio de trabajo existente, seleccione **Seleccionar espacio de trabajo existente**.
1. Escriba un nombre para su espacio de trabajo.
1. Elija **Crear panel**.
## Resolución de problemas
Puede haber casos en los que los resultados no devuelvan los resultados esperados. Si tiene algún problema, asegúrese de seguir las [Recomendaciones](direct-query-security-lake-overview.md#direct-query-security-lake-recommendations).
## Precios
Amazon OpenSearch Service ofrece precios por unidad de OpenSearch cómputo (OCU) para las consultas directas de Security Lake. Al realizar consultas directas, se te cobrará OCUs por hora, que se indicará como tipo de uso de DirectQuery OCU en tu factura. Amazon Security Lake también te cobrará otros cargos.
Las consultas directas son de dos tipos: consultas de vista indexada e interactivas.
+ Las *consultas interactivas* se utilizan para rellenar el selector de datos y realizar análisis de sus datos en Security Lake. OpenSearch El servicio gestiona cada consulta con un trabajo preajustado independiente, sin necesidad de mantener una sesión prolongada.
+ *Las consultas de vistas indexadas* utilizan el procesamiento para mantener las vistas indexadas en Service. OpenSearch Estas consultas suelen tardar más porque ingieren una cantidad de datos variable en un índice con nombre. En el caso de las fuentes de datos conectadas a Security Lake, los datos indexados se almacenan en una colección OpenSearch sin servidor, en la que se cobra por los datos indexados (indexingOCU), los datos buscados (SearchOCU) y los datos almacenados en GB.
Para obtener más información, consulta las secciones Direct Query y Serverless de [Amazon OpenSearch Service Pricing](https://aws.amazon.com/opensearch-service/pricing/).
## Limitaciones
Las siguientes limitaciones se aplican a las consultas directas en Security Lake:
+ La integración de consultas directas con Security Lake solo está disponible en las colecciones OpenSearch de servicios y en la interfaz OpenSearch de usuario.
+ OpenSearch Las colecciones sin servidor tienen limitaciones de carga útil de red de 100 MiB.
+ La administración de las tablas de Security Lake se realiza en Lake Formation.
+ Security Lake solo admite vistas materializadas como vistas indexadas. No se admiten índices de cobertura.
+ AWS CloudFormation las plantillas aún no son compatibles.
+ OpenSearch Las sentencias SQL y OpenSearch PPL tienen limitaciones diferentes cuando se trabaja con OpenSearch índices en comparación con el uso de consultas directas. Direct Query admite comandos avanzados JOINs, como subconsultas y búsquedas, mientras que la compatibilidad con estos comandos en los OpenSearch índices es limitada o inexistente. Para obtener más información, consulte [Comandos SQL y PPL compatibles](direct-query-supported-commands.md).
## Recomendaciones
Se recomienda lo siguiente cuando se utilizan consultas directas en Security Lake:
+ Compruebe el estado de Security Lake y asegúrese de que funcione sin problemas. Para ver los pasos detallados de solución de problemas, consulte [Solución de problemas del estado del lago de datos](https://docs.aws.amazon.com/security-lake/latest/userguide/securitylake-data-lake-troubleshoot.html) en la Guía del usuario de Amazon Security Lake.
+ Compruebe el acceso a su consulta:
+ Si realiza consultas en Security Lake desde una cuenta diferente a la cuenta de administrador delegado de Security Lake, [configure un suscriptor con acceso de consulta en Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-query-access.html).
+ Si realiza consultas en Security Lake desde la misma cuenta, compruebe si hay algún mensaje en Security Lake sobre el registro de los buckets de S3 gestionados. LakeFormation
+ Explore las plantillas de consulta y los paneles prediseñados para iniciar su análisis con rapidez.
+ Familiarícese con Open Cybersecurity Schema Framework (OCSF) y Security Lake:
+ [Revise los ejemplos de mapeo de esquemas de las AWS fuentes en el repositorio de OCSF GitHub ](https://github.com/ocsf/examples/tree/main/mappings/markdown/AWS/v1.1.0/CloudTrail)
+ Aprenda a realizar consultas de Security Lake de forma eficaz consultando [las consultas de Security Lake para la versión 2 del AWS código fuente (OCSF 1.1.0)](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-query-examples2.html)
+ Mejore el rendimiento de las consultas mediante el uso de particiones: `accountid`, `region` y `time_dt`.
+ Familiarícese con la sintaxis de SQL, que Security Lake admite para realizar consultas. Para obtener más información, consulte [Comandos y funciones de OpenSearch SQL compatibles](supported-directquery-sql.md).
+ Aplica límites a tus consultas para asegurarte de no recuperar demasiados datos.
## Cuotas
| Description (Descripción) | Valor | ¿El límite es flexible? | Notas |
| --- | --- | --- | --- |
| Límite de TPS a nivel de cuenta en las consultas directas APIs | 3 TPS | Sí | |
| Número máximo de orígenes de datos | 20 | Sí | El límite es por. Cuenta de AWS |
| Número máximo de índices o vistas materializadas que se actualizan automáticamente | 30 | Sí | Se aplica un límite por origen de datos. Solo incluye índices y vistas materializadas (MVs) con la actualización automática establecida en true. |
| Máximo de consultas simultáneas | 30 | Sí | El límite se aplica a las consultas en estado pendiente o en ejecución. Incluye consultas interactivas (por ejemplo, comandos de recuperación de datos como `SELECT`) y consultas de índice (por ejemplo, operaciones como `CREATE`, `ALTER` y `DROP`). |
| OCU simultáneas máximas por consulta | 512 | Sí | OpenSearch Unidades de cómputo (OCU). El límite se basa en 15 ejecutores y 1 controlador, cada uno con 16 vCPU y 32 GB de memoria. Representa la potencia de procesamiento simultáneo. |
| Tiempo máximo de ejecución de consulta en minutos | 30 | No | Se aplica solo a consultas interactivas (por ejemplo, comandos de recuperación de datos como SELECT). En el caso de las consultas REFRESH, el límite es de 6 horas. |
| Periodo para purgar una consulta obsoleta IDs | 90 días | Sí | Este es el período de tiempo después del cual el OpenSearch Servicio purga los metadatos de las consultas de las entradas más antiguas. Por ejemplo, se llama GetDirectQuery o GetDirectQueryResult se produce un error en el caso de consultas de más de 90 días. |
## Compatible Regiones de AWS
Regiones de AWS Se admite lo siguiente para las consultas directas en Security Lake:
+ Asia-Pacífico (Mumbai)
+ Asia-Pacífico (Singapur)
+ Asia-Pacífico (Sídney)
+ Asia-Pacífico (Tokio)
+ Canadá (centro)
+ Europa (Fráncfort)
+ Europa (Irlanda)
+ Europa (Estocolmo)
+ Este de EE. UU. (Norte de Virginia)
+ Este de EE. UU. (Ohio)
+ Oeste de EE. UU. (Oregón)
+ Europa (París)
+ Europa (Londres)
+ América del Sur (São Paulo)