Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Interrogazioni Security Lake per la versione AWS sorgente 1 (OCSF 1.0.0-rc.2)
<a name="subscriber-query-examples1"></a>

La sezione seguente fornisce indicazioni sull'interrogazione dei dati da Security Lake e include alcuni esempi di query per fonti supportate nativamente AWS per la versione di origine 1.AWS Queste query sono progettate per recuperare dati in uno specifico.Regione AWS Questi esempi utilizzano us-east-1 (Stati Uniti orientali (Virginia settentrionale)). Inoltre, le query di esempio utilizzano un `LIMIT 25` parametro che restituisce fino a 25 record. È possibile omettere questo parametro o modificarlo in base alle proprie preferenze. Per altri esempi, consulta la directory delle [query GitHub OCSF di Amazon Security Lake](https://github.com/awslabs/aws-security-analytics-bootstrap/tree/main/AWSSecurityAnalyticsBootstrap/amazon_security_lake_queries).

Le seguenti query includono filtri basati sul tempo utilizzati `eventDay` per garantire che la query rientri nelle impostazioni di conservazione configurate. Per ulteriori informazioni, consulta [Querying data with retention settings](subscriber-query-examples.md#security-lake-retention-setting-query-data). 

Ad esempio, se i dati più vecchi di 60 giorni sono scaduti, le query devono includere vincoli di tempo per impedire l'accesso ai dati scaduti. Per un periodo di conservazione di 60 giorni, includi la seguente clausola nella tua query:

```
...
WHERE eventDay BETWEEN cast(date_format(current_date - INTERVAL '59' day, '%Y%m%d') AS varchar) 
                   AND cast(date_format(current_date, '%Y%m%d') AS varchar)
...
```

Questa clausola utilizza 59 giorni (anziché 60) per evitare sovrapposizioni di dati o orari tra Amazon S3 e Apache Iceberg.

## Tabella dei sorgenti dei log
<a name="log-source-table"></a>

Quando si interrogano i dati di Security Lake, è necessario includere il nome della tabella Lake Formation in cui risiedono i dati.

```
SELECT *
   FROM amazon_security_lake_glue_db_{{DB_Region}}.amazon_security_lake_table_{{DB_Region}}_{{SECURITY_LAKE_TABLE}}
   WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
   LIMIT {{25}}
```

I valori comuni per la tabella delle sorgenti dei log includono quanto segue:
+ `cloud_trail_mgmt_1_0`— eventi AWS CloudTrail di gestione
+ `lambda_execution_1_0`— eventi CloudTrail relativi ai dati per Lambda
+ `s3_data_1_0`— eventi CloudTrail relativi ai dati per S3
+ `route53_1_0`— Registri delle query del resolver Amazon Route 53
+ `sh_findings_1_0`AWS Security Hub CSPM— risultati
+ `vpc_flow_1_0`— Registri di flusso di Amazon Virtual Private Cloud (Amazon VPC)

**Esempio: tutti i risultati CSPM di Security Hub nella tabella della regione `sh_findings_1_0` us-east-1**

```
SELECT *
   FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{sh_findings_1_0}}
   WHERE eventDay BETWEEN cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '0' day, '%Y%m%d%H') as varchar)
   LIMIT {{25}}
```

## Regione del database
<a name="database-region"></a>

Quando si interrogano i dati di Security Lake, è necessario includere il nome della regione del database da cui si eseguono le query sui dati. Per un elenco completo delle regioni di database in cui Security Lake è attualmente disponibile, consulta [Amazon Security Lake endpoints](https://docs.aws.amazon.com/general/latest/gr/securitylake.html).

**Esempio: elenca AWS CloudTrail l'attività dall'IP di origine**

L'esempio seguente elenca tutte le CloudTrail attività dell'IP di origine {{192.0.2.1}} che sono state registrate dopo {{20230301}} (1° marzo 2023), nella tabella {{cloud\_trail\_mgmt\_1\_0}} del {{us-east-1}}`DB_Region`.

```
SELECT *
    FROM amazon_security_lake_glue_db_{{us_east_1}}.amazon_security_lake_table_{{us_east_1}}_{{cloud_trail_mgmt_1_0}}
    WHERE eventDay > '20230301' AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT {{25}}
```

## Data della partizione
<a name="partition-date"></a>

Partizionando i dati, è possibile limitare la quantità di dati analizzati da ciascuna query, migliorando così le prestazioni e riducendo i costi. Security Lake implementa il partizionamento tramite, e parametri. `eventDay` `region` `accountid` `eventDay`le partizioni utilizzano il formato. `YYYYMMDD`

Questo è un esempio di query che utilizza la `eventDay` partizione:

```
SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay > '{{20230301}}'
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
```

I valori comuni `eventDay` includono quanto segue:

**Eventi verificatisi nell'ultimo anno**  
`> cast(date_format(current_timestamp - INTERVAL '1' year, '%Y%m%d%H') as varchar)`

**Eventi verificatisi nell'ultimo mese**  
`> cast(date_format(current_timestamp - INTERVAL '1' month, '%Y%m%d%H') as varchar)`

**Eventi verificatisi negli ultimi 30 giorni**  
`> cast(date_format(current_timestamp - INTERVAL '30' day, '%Y%m%d%H') as varchar)`

**Eventi verificatisi nelle ultime 12 ore**  
`> cast(date_format(current_timestamp - INTERVAL '12' hour, '%Y%m%d%H') as varchar)`

**Eventi che si sono verificati negli ultimi 5 minuti**  
`> cast(date_format(current_timestamp - INTERVAL '5' minute, '%Y%m%d%H') as varchar)`

**Eventi avvenuti tra 7 e 14 giorni fa**  
`BETWEEN cast(date_format(current_timestamp - INTERVAL '14' day, '%Y%m%d%H') as varchar) and cast(date_format(current_timestamp - INTERVAL '7' day, '%Y%m%d%H') as varchar)`

**Eventi che si verificano a partire da una data specifica**  
`>= '20230301'`

**Esempio: elenco di tutte le CloudTrail attività dall'IP `192.0.2.1` di origine a partire dal 1° marzo 2023 o dopo tale data nella tabella `cloud_trail_mgmt_1_0`**

```
SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay >= '{{20230301}}'
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT 25
```

**Esempio: elenco di tutte le CloudTrail attività dall'IP di origine `192.0.2.1` negli ultimi 30 giorni nella tabella `cloud_trail_mgmt_1_0`**

```
SELECT *
    FROM amazon_security_lake_glue_db_us_east_1.amazon_security_lake_table_us_east_1_cloud_trail_mgmt_1_0
    WHERE eventDay > cast(date_format(current_timestamp - INTERVAL '{{30}}' day, '%Y%m%d%H') as varchar) 
    AND src_endpoint.ip = '192.0.2.1'
    ORDER BY time desc
    LIMIT 25
```