As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando um pipeline OpenSearch de ingestão com o Amazon Security Lake
Você pode usar o [plug-in de origem do S3](https://opensearch.org/docs/latest/data-prepper/pipelines/configuration/sources/s3/) para ingerir dados do [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) em seu pipeline de OpenSearch ingestão. O Security Lake centraliza automaticamente os dados de segurança de AWS ambientes, ambientes locais e provedores de SaaS em um data lake específico. Você pode criar uma assinatura que replica os dados do Security Lake para o pipeline de OpenSearch ingestão e, em seguida, os grava no domínio do OpenSearch Service ou na coleção OpenSearch Serverless.
Para configurar seu pipeline para ler a partir do Security Lake, use o esquema pré-configurado do Security Lake. O esquema inclui uma configuração padrão para ingerir arquivos de parquet do Open Cybersecurity Schema Framework (OCSF) do Security Lake. Para obter mais informações, consulte [Trabalhar com esquemas](pipeline-blueprint.md).
**Topics**
+ [Usando um pipeline OpenSearch de ingestão com o Amazon Security Lake como fonte](configure-client-source-security-lake.md)
+ [Usando um pipeline OpenSearch de ingestão com o Amazon Security Lake como coletor](configure-client-sink-security-lake.md)
# Usando um pipeline OpenSearch de ingestão com o Amazon Security Lake como fonte
Você pode usar o plug-in de origem do Amazon S3 em seu pipeline de OpenSearch ingestão para ingerir dados do Amazon Security Lake. O Security Lake centraliza automaticamente os dados de segurança de ambientes da AWS , sistemas on-premises e provedores de SaaS em um data lake específico.
O Amazon Security Lake tem os seguintes atributos de metadados em um pipeline:
+ `bucket_name`: o nome do bucket do Amazon S3 criado pelo Security Lake para armazenar dados de segurança.
+ `path_prefix`: o nome da origem personalizada definido na política de perfil do IAM do Security Lake.
+ `region`: Região da AWS Onde está localizado o bucket do Security Lake S3.
+ `accountID`: O Conta da AWS ID no qual o Security Lake está ativado.
+ `sts_role_arn`: o ARN do perfil do IAM a ser usado com o Security Lake.
## Pré-requisitos
Antes de criar seu pipeline OpenSearch de ingestão, execute as seguintes etapas:
+ [Habilitar o Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html#enable-service).
+ [Criar um assinante](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-data-access.html#create-subscriber-data-access) no Security Lake.
+ Escolha as fontes que você deseja ingerir em seu pipeline.
+ Para **credenciais de assinante**, adicione o ID do Conta da AWS local em que você pretende criar o pipeline. Para o ID externo, especifique `OpenSearchIngestion-{accountid}`.
+ Em **Método de acesso a dados**, escolha **S3**.
+ Para **Detalhes de notificação**, escolha **SQS queue**.
Quando você cria um assinante, o Security Lake cria automaticamente duas políticas de permissões em linha: uma para o S3 e outra para SQS. As políticas têm o seguinte formato: `AmazonSecurityLake-amzn-s3-demo-bucket-S3` e `AmazonSecurityLake-AWS Demo-SQS`. Para permitir que seu pipeline acesse as origens de assinantes, você deve associar as permissões necessárias à sua função do pipeline.
## Configurar o perfil do pipeline
Crie uma nova política de permissões no IAM que combine somente as permissões necessárias das duas políticas que o Security Lake criou automaticamente. O exemplo de política a seguir mostra o menor privilégio necessário para que um pipeline de OpenSearch ingestão leia dados de várias fontes do Security Lake:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"s3:GetObject"
],
"Resource":[
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/LAMBDA_EXECUTION/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/S3_DATA/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/VPC_FLOW/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/ROUTE53/1.0/*",
"arn:aws:s3:::aws-security-data-lake-us-east-1-abcde/aws/SH_FINDINGS/1.0/*"
]
},
{
"Effect":"Allow",
"Action":[
"sqs:ReceiveMessage",
"sqs:DeleteMessage"
],
"Resource":[
"arn:aws:sqs:us-east-1:111122223333:AmazonSecurityLake-abcde-Main-Queue"
]
}
]
}
```
------
**Importante**
O Security Lake não gerencia a política de função do pipeline para você. Se você adicionar ou remover fontes da sua assinatura do Security Lake, deverá atualizar a política manualmente. O Security Lake cria partições para cada fonte de log, então você precisa adicionar ou remover manualmente as permissões na função de pipeline.
Você deve anexar essas permissões ao perfil do IAM que você especifica na opção `sts_role_arn` na configuração do plug-in de origem do S3, em `sqs`.
```
version: "2"
source:
s3:
...
sqs:
queue_url: "https://sqs.us-east-1amazonaws.com/account-id/AmazonSecurityLake-amzn-s3-demo-bucket-Main-Queue"
aws:
...
processor:
...
sink:
- opensearch:
...
```
## Criar o pipeline
Depois de adicionar as permissões ao perfil do pipeline, use o esquema pré-configurado do Security Lake para criar o pipeline. Para saber mais, consulte [Trabalhar com esquemas](pipeline-blueprint.md).
Você deve especificar a opção `queue_url` na configuração de origem do `s3`, que é o URL da fila do Amazon SQS para leitura. Para formatar o URL, localize o **endpoint da assinatura** na configuração do assinante e altere `arn:aws:` para `https://`. Por exemplo, .`https://sqs.us-east-1amazonaws.com/account-id/AmazonSecurityLake-AWS Demo-Main-Queue`
O `sts_role_arn` que você especifica na configuração de origem do S3 deve ser o ARN da função do pipeline.
# Usando um pipeline OpenSearch de ingestão com o Amazon Security Lake como coletor
Use o plug-in de coletor do Amazon S3 na OpenSearch Ingestão para enviar dados de qualquer fonte compatível para o Amazon Security Lake. O Security Lake coleta e armazena dados de segurança de AWS ambientes locais e provedores de SaaS em um data lake dedicado.
Para configurar o pipeline para gravar dados de log no Security Lake, use o esquema pré-configurado de **Logs de tráfego de firewall**. O esquema inclui uma configuração padrão para recuperar logs de segurança brutos ou outros dados armazenados em um bucket do Amazon S3, processar os registros e normalizá-los. Em seguida, mapeia os dados para o Open Cybersecurity Schema Framework (OCSF) e envia os dados conformes com OCSF transformados para o Security Lake.
O pipeline tem os seguintes atributos de metadados:
+ `bucket_name`: o nome do bucket do Amazon S3 criado pelo Security Lake para armazenar dados de segurança.
+ `path_prefix`: o nome da origem personalizada definido na política de perfil do IAM do Security Lake.
+ `region`: Região da AWS Onde está localizado o bucket do Security Lake S3.
+ `accountID`: O Conta da AWS ID no qual o Security Lake está ativado.
+ `sts_role_arn`: o ARN do perfil do IAM a ser usado com o Security Lake.
## Pré-requisitos
Antes de criar um pipeline para enviar dados para o Security Lake, realize as seguintes etapas:
+ **Habilitar e configurar o Amazon Security Lake**: configure o Amazon Security Lake para centralizar dados de segurança de várias origens. Para obter instruções, consulte [Habilitar o Security Lake usando o console](https://docs.aws.amazon.com/security-lake/latest/userguide/get-started-console.html).
Ao selecionar uma origem, escolha **Ingerir origens específicas da AWS ** e selecione uma ou mais origens de log e eventos que você deseja ingerir.
+ **Configurar permissões**: configure o perfil do pipeline com as permissões necessárias para gravar dados no Security Lake. Para saber mais, consulte [Perfil do pipeline](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-security-overview.html#pipeline-security-sink).
### Criar o pipeline
Use o esquema pré-configurado do Security Lake para criar o pipeline. Para saber mais, consulte [Usar ewsquemas para criar um pipeline](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/pipeline-blueprint.html).