Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation d'un pipeline d' OpenSearch ingestion avec Amazon Security Lake
<a name="configure-client-security-lake"></a>

Vous pouvez utiliser le [plug-in source S3](https://opensearch.org/docs/latest/data-prepper/pipelines/configuration/sources/s3/) pour intégrer les données d'[Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) dans votre pipeline OpenSearch d'ingestion. Security Lake centralise automatiquement les données de sécurité provenant des AWS environnements, des environnements sur site et des fournisseurs de SaaS dans un lac de données spécialement conçu à cet effet. Vous pouvez créer un abonnement qui réplique les données de Security Lake vers votre pipeline d' OpenSearch ingestion, qui les écrit ensuite dans votre domaine de OpenSearch service ou votre collection OpenSearch Serverless.

Pour configurer votre pipeline afin qu'il lise depuis Security Lake, utilisez le plan préconfiguré de Security Lake. Le plan inclut une configuration par défaut pour l'ingestion de fichiers parquet OCSF (Open Cybersecurity Schema Framework) à partir de Security Lake. Pour de plus amples informations, veuillez consulter [Travailler avec des plans](pipeline-blueprint.md).

**Topics**
+ [

# Utilisation d'un pipeline d' OpenSearch ingestion avec Amazon Security Lake comme source
](configure-client-source-security-lake.md)
+ [

# Utilisation d'un pipeline d' OpenSearch ingestion avec Amazon Security Lake comme récepteur
](configure-client-sink-security-lake.md)

# Utilisation d'un pipeline d' OpenSearch ingestion avec Amazon Security Lake comme source
<a name="configure-client-source-security-lake"></a>

Vous pouvez utiliser le plug-in source Amazon S3 dans votre pipeline OpenSearch d'ingestion pour ingérer des données depuis Amazon Security Lake. Security Lake centralise automatiquement les données de sécurité provenant des AWS environnements, des systèmes sur site et des fournisseurs de SaaS dans un lac de données spécialement conçu à cet effet.

Amazon Security Lake possède les attributs de métadonnées suivants au sein d'un pipeline :
+ `bucket_name`: nom du compartiment Amazon S3 créé par Security Lake pour stocker les données de sécurité.
+ `path_prefix`: nom de source personnalisé défini dans la politique de rôle IAM de Security Lake.
+ `region`: l' Région AWS endroit où se trouve le bucket Security Lake S3.
+ `accountID`: Compte AWS ID sous lequel Security Lake est activé.
+ `sts_role_arn`: ARN du rôle IAM destiné à être utilisé avec Security Lake.

## Conditions préalables
<a name="sl-prereqs"></a>

Avant de créer votre pipeline OpenSearch d'ingestion, effectuez les étapes suivantes :
+ [Activez Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html#enable-service).
+ [Créez un abonné](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-data-access.html#create-subscriber-data-access) dans Security Lake.
  + Choisissez les sources que vous souhaitez intégrer à votre pipeline.
  + Pour les **informations d'identification de l'abonné**, ajoutez l'ID de l' Compte AWS endroit où vous souhaitez créer le pipeline. Pour l'ID externe, spécifiez`OpenSearchIngestion-{accountid}`.
  + Pour la **méthode d'accès aux données**, choisissez **S3**.
  + Pour les **détails des notifications**, choisissez la **file d'attente SQS.**

Lorsque vous créez un abonné, Security Lake crée automatiquement deux politiques d'autorisation intégrées, l'une pour S3 et l'autre pour SQS. Les politiques prennent le format suivant : `AmazonSecurityLake-amzn-s3-demo-bucket-S3` et`AmazonSecurityLake-AWS Demo-SQS`. Pour permettre à votre pipeline d'accéder aux sources d'abonnés, vous devez associer les autorisations requises à votre rôle de pipeline.

## Configurer le rôle du pipeline
<a name="sl-pipeline-role"></a>

Créez une nouvelle politique d'autorisations dans IAM qui combine uniquement les autorisations requises issues des deux politiques créées automatiquement par Security Lake. L'exemple de politique suivant montre le minimum de privilèges requis pour qu'un pipeline d' OpenSearch ingestion puisse lire des données provenant de plusieurs sources de Security Lake :

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/LAMBDA_EXECUTION/1.0/*",
            "arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/S3_DATA/1.0/*",
            "arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/VPC_FLOW/1.0/*",
            "arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/ROUTE53/1.0/*",
            "arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/SH_FINDINGS/1.0/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "sqs:ReceiveMessage",
            "sqs:DeleteMessage"
         ],
         "Resource":[
            "arn:aws:sqs:us-east-1:111122223333:AmazonSecurityLake-abcde-Main-Queue"
         ]
      }
   ]
}
```

------

**Important**  
Security Lake ne gère pas la politique des rôles du pipeline à votre place. Si vous ajoutez ou supprimez des sources de votre abonnement Security Lake, vous devez mettre à jour la politique manuellement. Security Lake crée des partitions pour chaque source de journal. Vous devez donc ajouter ou supprimer manuellement des autorisations dans le rôle de pipeline.

Vous devez associer ces autorisations au rôle IAM que vous spécifiez dans l'`sts_role_arn`option de configuration du plugin source S3, sous`sqs`.

```
version: "2"
source:
  s3:
    ...
    sqs:
      queue_url: "https://sqs.us-east-1amazonaws.com/account-id/AmazonSecurityLake-amzn-s3-demo-bucket-Main-Queue"
    aws:
      ...
processor:
  ...
sink:
  - opensearch:
      ...
```

## Création du pipeline
<a name="sl-pipeline"></a>

Après avoir ajouté les autorisations au rôle de pipeline, utilisez le plan préconfiguré de Security Lake pour créer le pipeline. Pour de plus amples informations, veuillez consulter [Travailler avec des plans](pipeline-blueprint.md).

Vous devez spécifier l'`queue_url`option dans la configuration `s3` source, à savoir l'URL de la file d'attente Amazon SQS à partir de laquelle effectuer la lecture. Pour formater l'URL, recherchez le point de **terminaison d'abonnement** dans la configuration de l'abonné et `arn:aws:` remplacez-le par`https://`. Par exemple, `https://sqs.us-east-1amazonaws.com/account-id/AmazonSecurityLake-AWS Demo-Main-Queue`.

L'ARN `sts_role_arn` que vous spécifiez dans la configuration de la source S3 doit être l'ARN du rôle de pipeline.

# Utilisation d'un pipeline d' OpenSearch ingestion avec Amazon Security Lake comme récepteur
<a name="configure-client-sink-security-lake"></a>

Utilisez le plug-in Amazon S3 sink dans OpenSearch Ingestion pour envoyer des données depuis n'importe quelle source prise en charge vers Amazon Security Lake. Security Lake collecte et stocke les données de sécurité provenant AWS des environnements sur site et des fournisseurs de SaaS dans un lac de données dédié.

Pour configurer votre pipeline afin d'écrire les données des journaux dans Security Lake, utilisez le modèle préconfiguré des **journaux de trafic du pare-feu**. Le plan inclut une configuration par défaut pour récupérer les journaux de sécurité bruts ou d'autres données stockées dans un compartiment Amazon S3, traiter les enregistrements et les normaliser. Il mappe ensuite les données à l'Open Cybersecurity Schema Framework (OCSF) et envoie les données conformes à l'OCSF transformées à Security Lake.

Le pipeline possède les attributs de métadonnées suivants :
+ `bucket_name`: nom du compartiment Amazon S3 créé par Security Lake pour stocker les données de sécurité.
+ `path_prefix`: nom de source personnalisé défini dans la politique de rôle IAM de Security Lake.
+ `region`: l' Région AWS endroit où se trouve le bucket Security Lake S3.
+ `accountID`: Compte AWS ID sous lequel Security Lake est activé.
+ `sts_role_arn`: ARN du rôle IAM destiné à être utilisé avec Security Lake.

## Conditions préalables
<a name="configure-clients-lambda-prereqs"></a>

Avant de créer un pipeline pour envoyer des données à Security Lake, effectuez les étapes suivantes :
+ **Activer et configurer Amazon Security Lake** : configurez Amazon Security Lake pour centraliser les données de sécurité provenant de différentes sources. Pour obtenir des instructions, consultez la section [Activation de Security Lake à l'aide de la console](https://docs.aws.amazon.com/security-lake/latest/userguide/get-started-console.html).

  Lorsque vous sélectionnez une source, choisissez **Ingérer des AWS sources spécifiques** et sélectionnez une ou plusieurs sources de journaux et d'événements que vous souhaitez ingérer.
+ **Configurer les autorisations** : configurez le rôle de pipeline avec les autorisations requises pour écrire des données dans Security Lake. Pour plus d'informations, consultez la section [Rôle du pipeline](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-security-overview.html#pipeline-security-sink).

### Création du pipeline
<a name="create-opensearch-ingestion-pipeline"></a>

Utilisez le plan préconfiguré de Security Lake pour créer le pipeline. Pour plus d'informations, consultez la section [Utilisation de plans pour créer un pipeline](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-blueprint.html).