La integración New Relic Infrastructure incluye una integración para AWS Security Lake, lo que le permite enviar sus datos log de seguridad a New Relic.
Recopile y envíe telemetry data a New Relic desde Security Lake utilizando nuestra integración. Puede utilizar esta integración para monitor sus servicios, consultar datos entrantes y crear un panel para observar todo de un vistazo.
Activar la integración Para habilitar esta integración, configure un reenviador de registros S3. Le sugerimos utilizar nuestra aplicación de reenvío Serverless para mayor facilidad y conveniencia, pero también puede configurar la suya propia.
Sugerencia Tiene dos opciones para la configuración de monitoreo de Security Lake. Puede consolidar varias regiones para evitar repetir pasos, o puede configurarlo por región. Para obtener más detalles, consulte administrar varias regiones .
Requisitos previos Antes de habilitar esta integración, primero asegúrese de completar estos pasos para Security Lake:
Complete los pasos mencionados en la guía de introducción a Amazon Security Lake. Complete los requisitos previos para configurar un suscriptor con acceso a datos siguiendo los pasos de la guía para suscriptores de Security Lake . Pasos de configuración A continuación se ofrece una descripción general de los pasos que seguirá:
Cree un suscriptor de Security Lake .Instale nuestro reenviador de registros dedicado de Amazon Security Lake .Encuentre y utilice sus datos log .Crear un suscriptor de Security Lake Navegue hasta la característica Security Lake en su consola AWS . Seleccione Subscribers y seleccione Create Subscriber . Asigne un nombre al suscriptor y seleccione una región. Seleccione qué fuentes log y eventos desea enviar a New Relic. Complete los detalles restantes como se describe a continuación: Campo
Valor
Data access method
T3
Account ID
Inserte el AWS
account ID
donde planea instalar la aplicación Serverless proporcionada por New Relic.
External ID
Inserta tu New Relic
AccountID
. Para obtener más información, consulte
ID externo
Notification details
Cola SQS
Seleccione Create . Desde la página Subscriber details , copie sus ARN de AWS role ID y Subscription endpoint . Los necesitarás para el siguiente paso. Instale nuestro reenviador de registros de Amazon Security Lake Para instalar el reenviador de registros:
Abra el AWS Serverless Application Repository en su browser.
Busque newrelic y marque
Show apps that create custom IAM roles or resource policies
para encontrar el newrelic-securitylake-s3-processor-LogForwarder.
Haga clic en los detalles newrelic-securitylake-s3-processor-LogForwarder y haga clic en
Deploy
.
Copie y pegue el ARN AWS role ID del paso anterior en el campo SecurityLakeSubscriberRoleArn .
Copie y pegue el ARN Subscription endpoint del paso anterior en el campo SecurityLakeSubscriberRoleArn .
Ingrese el ExternalID que agregó en el paso anterior.
Ingrese su
clave de licencia en el campo NRLicenseKey .
Confirme y seleccione
Deploy
.
Para obtener más detalles sobre esto, consulte nuestros documentos sobre el reenviador de registros de Amazon Security Lake .
Buscar y utilizar datos log Para encontrar su registro en New Relic, vaya a one.newrelic.com > All capabilities > LogsAttributes en product.name, y luego elija la fuente log que desee.
Actualmente se admiten las siguientes fuentes log :
Sugerencia Amazon Security Lake utiliza el esquema OCSF para su registro.
Estos son los atributos que puede encontrar en el registro de Security Lake:
Registro de flujo de VPC Consulta Amazon VPC log para ver los datos del siguiente atributo:
Nombre
Descripción
Tipo de datos
activity_id
ID de actividad
entero
activity_name
nombre de la actividad
cadena
aws.invoked_function_arn
ARN de la función de reenvío log invocada
cadena
aws.s3_bucket_name
nombre del depósito de S3 desde donde se reenvió el log
cadena
aws.s3_key
registro clave del evento de seguridad del logde flujo
cadena
category_name
nombre de la categoría del log
cadena
category_uid
ID única de la categoría
entero
class_name
nombre de la clase log
cadena
class_uid
ID única de la clase
entero
cloud.account_uid
Cuenta AWS donde se originó el log de flujo
cadena
cloud.provider
muestra el nombre del proveedor de la nube, en este caso AWS
cadena
cloud.region
Región AWS donde se originó el log de flujo
cadena
cloud.zone
Zona AWS donde se originó el log de flujo
cadena
connection_info.boundary
límite del logde flujo
cadena
connection_info.boundary_id
ID del límite
entero
connection_info.direction
muestra si la conexión fue entrante o saliente
cadena
connection_info.direction_id
ID de la dirección
entero
connection_info.protocol_num
número de protocolo del flujo
entero
connection_info.protocol_ver
versión del protocolo
cadena
connection_info.tcp_flags
Banderas TCP
entero
dst_endpoint.instance_uid
ID de la instancia del destino
cadena
dst_endpoint.interface_uid
ID de interfaz del destino
cadena
dst_endpoint.intermediate_ips
direcciones IP intermedias del destino
cadena
dst_endpoint.ip
Dirección IP del destino
cadena
dst_endpoint.port
puerto de destino
entero
dst_endpoint.subnet_uid
ID de subred del destino
cadena
dst_endpoint.svc_name
nombre del servicio del destino
cadena
dst_endpoint.vpc_uid
ID de VPC del destino
cadena
end_time
hora de finalización del flujo
entero
logtype
define el tipo de registro
cadena
metadata.product.feature.name
nombre de la característica donde se originó el log
cadena
metadata.product.name
nombre del producto donde se originó el log
cadena
metadata.product.vendor_name
nombre del proveedor del log; en este caso AWS
cadena
metadata.product.version
nombre de la versión del producto
cadena
metadata.profiles
nombres de los perfiles
cadena
metadata.version
versión de metadatos
cadena
newrelic.source
fuente del log en New Relic
cadena
plugin.type
tipo de complemento utilizado
cadena
plugin.version
versión del complemento utilizado
cadena
severity
nivel de gravedad del hallazgo del log
cadena
severity_id
ID del nivel de gravedad
entero
src_endpoint.instance_uid
ID de la instancia de la fuente
cadena
src_endpoint.interface_uid
ID de interfaz de la fuente
cadena
src_endpoint.intermediate_ips
direcciones IP intermedias de la fuente
cadena
src_endpoint.ip
Dirección IP de la fuente
cadena
src_endpoint.port
puerto de origen
entero
src_endpoint.subnet_uid
ID de subred de la fuente
cadena
src_endpoint.svc_name
nombre del servicio de la fuente
cadena
src_endpoint.vpc_uid
ID de VPC de la fuente
cadena
start_time
hora de inicio
entero
time
hora de inicio
entero
timestamp
Hora en que el log llega a New Relic
entero
traffic.bytes
cantidad de bytes que se envían o reciben
entero
traffic.packets
cantidad de paquetes que se envían o reciben
entero
type_name
nombre del tipo de evento
cadena
type_uid
ID del tipo de evento
entero
unmapped
no hay datos analizados no asignados a un campo
cadena
NubeTrail Consulta CloudTrail log para ver los datos del siguiente atributo:
Nombre
Descripción
Tipo de datos
activity_id
ID de actividad
entero
activity_name
nombre de la actividad
cadena
api.operation
funcionamiento de la actividad API
cadena
api.request.uid
ID única de la solicitud API
cadena
api.response.error
respuesta de error de la solicitud de API
cadena
api.response.message
mensaje de la respuesta API
cadena
api.service.name
nombre del servicio donde se originó la solicitud
cadena
api.version
Versión API
cadena
aws.invoked_function_arn
ARN de la función de reenvío log invocada
cadena
aws.s3_bucket_name
nombre del depósito de S3 desde donde se reenvió el log
cadena
aws.s3_key
registro clave del evento de seguridad del logde flujo
cadena
category_name
nombre de la categoría del log
cadena
category_uid
ID única de la categoría
entero
class_name
nombre de la clase log
cadena
class_uid
ID única de la clase
entero
cloud.provider
muestra el nombre del proveedor de la nube, en este caso AWS
cadena
cloud.region
Región AWS donde se originó el log de flujo
cadena
http_request.user_agent
agente de usuario de la solicitud HTTP
cadena
identity.idp.name
Nombre de IDP del solicitante
cadena
identity.invoked_by
nombre de la característica que invoca la solicitud
cadena
identity.session.created_time
tiempo de creación de sesión
entero
identity.session.issuer
ARN del emisor
cadena
identity.session.mfa
MFA habilitado
booleano
identity.user.account_uid
Cuenta AWS del usuario
cadena
identity.user.credential_uid
identificación de credencial del usuario
cadena
identity.user.name
nombre del usuario
cadena
identity.user.type
tipo de usuario
cadena
identity.user.uid
ID del usuario
cadena
identity.user.uuid
ARN del usuario
cadena
logtype
define el tipo de registro
cadena
metadata.product.feature.name
nombre de la característica donde se originó el log
cadena
metadata.product.name
nombre del producto donde se originó el log
cadena
metadata.product.vendor_name
nombre del proveedor del log; en este caso AWS
cadena
metadata.product.version
nombre de la versión del producto
cadena
metadata.profiles
nombres de los perfiles
cadena
metadata.version
versión de metadatos
cadena
newrelic.source
fuente del log en New Relic
cadena
plugin.type
tipo de complemento utilizado
cadena
plugin.version
versión del complemento utilizado
cadena
ref_event_uid
ID única para evento de referencia
cadena
resources
recursos
cadena
severity
nivel de gravedad del hallazgo del log
cadena
severity_id
ID del nivel de gravedad
entero
src_endpoint.domain
dominio de la fuente
cadena
src_endpoint.ip
Dirección IP de la fuente
cadena
src_endpoint.uid
ID única de la fuente
cadena
time
hora de inicio
entero
timestamp
Hora en que el log llega a New Relic
entero
type_name
nombre del tipo de evento
cadena
type_uid
ID del tipo de evento
entero
unmapped
no hay datos analizados no asignados a un campo
cadena
Registro del centro de seguridad Consulta Security Hub log para ver los datos del siguiente atributo:
Nombre
Descripción
Tipo de datos
activity_id
ID de actividad
entero
activity_name
nombre de la actividad
cadena
answers
respuestas
cadena
aws.invoked_function_arn
ARN de la función de reenvío log invocada
cadena
aws.s3_bucket_name
nombre del depósito de S3 desde donde se reenvió el log
cadena
aws.s3_key
registro clave del evento de seguridad del logde flujo
cadena
category_name
nombre de la categoría del log
cadena
category_uid
ID única de la categoría
entero
class_name
nombre de la clase log
cadena
class_uid
ID única de la clase
entero
cloud.account_uid
ID de la cuenta de AWS
cadena
cloud.provider
muestra el nombre del proveedor de la nube, en este caso AWS
cadena
cloud.region
Región AWS donde se originó el log de flujo
cadena
connection_info.direction
dirección de la conexión
cadena
connection_info.direction_id
ID de la dirección de la conexión
entero
connection_info.protocol_name
protocolo de conexión
cadena
dst_endpoint.instance_uid
ID de destino de la instancia
cadena
dst_endpoint.interface_uid
ID de interfaz de destino
cadena
logtype
define el tipo de registro
cadena
metadata.product.feature.name
nombre de la característica donde se originó el log
cadena
metadata.product.name
nombre del producto donde se originó el log
cadena
metadata.product.vendor_name
nombre del proveedor del log; en este caso AWS
cadena
metadata.product.version
nombre de la versión del producto
cadena
metadata.profiles
nombres de los perfiles
cadena
metadata.version
versión de metadatos
cadena
newrelic.source
fuente del log en New Relic
cadena
plugin.type
tipo de complemento utilizado
cadena
plugin.version
versión del complemento utilizado
cadena
query.class
clase de consulta
cadena
query.hostname
consultar nombre de host
cadena
query.type
Tipo de consulta
cadena
rcode
código de respuesta
cadena
rcode
ID del código de respuesta
entero
severity
nivel de gravedad del hallazgo del log
cadena
severity_id
ID del nivel de gravedad
entero
src_endpoint.instance_uid
ID de la instancia de la fuente
cadena
src_endpoint.ip
Dirección IP de la fuente
cadena
src_endpoint.port
puerto de origen
entero
src_endpoint.vpc_uid
ID de VPC de la fuente
cadena
time
hora de inicio
entero
timestamp
Hora en que el log llega a New Relic
entero
type_name
nombre del tipo de evento
cadena
type_uid
ID del tipo de evento
entero
unmapped
no hay datos analizados no asignados a un campo
cadena
Registro de consultas de resolución de ruta 53 Consulta Route 53 log para ver los datos del siguiente atributo:
Nombre
Descripción
Tipo de datos
activity_id
ID de actividad
entero
activity_name
nombre de la actividad
cadena
aws.invoked_function_arn
ARN de la función de reenvío log invocada
cadena
aws.s3_bucket_name
nombre del depósito de S3 desde donde se reenvió el log
cadena
aws.s3_key
registro clave del evento de seguridad del logde flujo
cadena
category_name
nombre de la categoría del log
cadena
category_uid
ID única de la categoría
entero
class_name
nombre de la clase log
cadena
class_uid
ID única de la clase
entero
cloud.account_uid
ID de la cuenta de AWS
cadena
cloud.provider
muestra el nombre del proveedor de la nube, en este caso AWS
cadena
cloud.region
Región AWS donde se originó el log de flujo
cadena
compliance.requirements
requisitos de conformidad
cadena
compliance.status
estado de cumplimiento
cadena
compliance.status_detail
detalles sobre el estado de cumplimiento
cadena
confidence
confianza
cadena
finding.created_time
momento de creación del hallazgo
entero
finding.desc
descripción del hallazgo
cadena
finding.first_seen_time
momento en que se vio el hallazgo por primera vez
entero
finding.last_seen_time
Hora en la que se vio el hallazgo por última vez.
entero
finding.first_seen_time
momento en que se vio el hallazgo por primera vez
cadena
finding.modified_time
momento en que se modificó el hallazgo
entero
finding.related_events
evento relacionado con el hallazgo
cadena
finding.remediation.desc
información sobre la remediación del hallazgo
cadena
finding.remediation.kb_articles
Artículos de la base de conocimientos sobre la corrección de los hallazgos.
cadena
finding.src_url
URL de la fuente del hallazgo
cadena
finding.title
título del hallazgo
cadena
finding.types
lista de tipos relacionados con el hallazgo
cadena
finding.uid
ARN del hallazgo
cadena
logtype
define el tipo de registro
cadena
malware
malware
cadena
metadata.product.feature.name
nombre de la característica donde se originó el log
cadena
metadata.product.name
nombre del producto donde se originó el log
cadena
metadata.product.vendor_name
nombre del proveedor del log; en este caso AWS
cadena
metadata.product.version
nombre de la versión del producto
cadena
metadata.profiles
nombres de los perfiles
cadena
metadata.version
versión de metadatos
cadena
newrelic.source
fuente del log en New Relic
cadena
plugin.type
tipo de complemento utilizado
cadena
plugin.version
versión del complemento utilizado
cadena
process.created_time
tiempo de creación del proceso
cadena
process.file.name
nombre del archivo del proceso
cadena
process.file.path
ruta del archivo de proceso
cadena
process.file.type_id
ID de tipo de archivo de proceso
entero
process.name
nombre del proceso
cadena
process.parent_process.pid
ID de proceso del proceso padre
cadena
process.pid
identificacion de proceso
cadena
process.terminated_time
tiempo de terminación del proceso
cadena
resources
recursos
cadena
severity
nivel de gravedad del hallazgo del log
cadena
severity_id
ID del nivel de gravedad
entero
state
estado del hallazgo
cadena
state_id
identificación estatal del hallazgo
cadena
time
hora de inicio
entero
timestamp
Hora en que el log llega a New Relic
entero
type_name
nombre del tipo de evento
cadena
type_uid
ID del tipo de evento
entero
unmapped
no hay datos analizados no asignados a un campo
cadena
vulnerabilities
vulnerabilidades
cadena
Cómo utilizar tus datos Para saber más sobre cómo utilizar sus datos, consulte comprender los datos de integración .
Alerta Puede configurar alertas para que le notifique los cambios importantes. Por ejemplo, se puede configurar una alerta para notificar a las partes relevantes sobre errores críticos o fatales.
Obtenga más información sobre cómo crear alertas .
Otra integración AWS Lea más sobre la integración New Relic AWS :