A integração New Relic Infrastructure inclui uma integração para AWS Security Lake, permitindo que você envie seus dados log de segurança para a New Relic.
Colete e envie dados de telemetria para New Relic do Security Lake usando nossa integração. Você pode usar esta integração para monitor seus serviços, consultar dados recebidos e construir um painel para observar tudo rapidamente.
Ativar integração Para viabilizar essa integração, configure um S3 alocador de logs. Sugerimos usar nosso aplicativo de encaminhamento Serverless para maior facilidade e conveniência, mas você também pode definir o seu próprio.
Dica Você tem duas opções para configuração de monitoramento do Security Lake. Você pode consolidar várias regiões para evitar a repetição de etapas ou pode configurá-lo por região. Para obter mais detalhes, consulte gerenciamento de diversas regiões .
Pré-requisitos Antes de habilitar essa integração, primeiro certifique-se de que estas etapas sejam concluídas para o Security Lake:
Conclua as etapas mencionadas no Guia de conceitos básicos do Amazon Security Lake. Conclua os pré-requisitos para configurar um assinante com acesso a dados seguindo as etapas no guia do assinante do Security Lake . Etapas de configuração Esta é uma visão geral das etapas que você executará:
Crie um assinante do Security Lake .Instale nosso Amazon Security Lake dedicado direcionador de logs .Encontre e use seus dados log .Crie um assinante do Security Lake Navegue até o recurso Security Lake em seu console AWS .
Selecione Subscribers e selecione Create Subscriber .
Dê um nome ao assinante e selecione uma região.
Selecione quais fontes log e eventos você deseja enviar para o New Relic.
Preencha os detalhes restantes conforme descrito abaixo:
Campo
Valor
Data access method
S3
Account ID
Insira o AWS account ID onde você planeja instalar o aplicativo Serverless fornecido pela New Relic.
External ID
Insira sua New Relic AccountID. Para obter mais informações, consulte ID externo
Notification details
Fila SQS
Selecione Create .
Na página Subscriber details , copie seus ARNs AWS role ID e Subscription endpoint . Você precisará deles para a próxima etapa.
Instale nosso Amazon Security Lake direcionador de logs Para instalar o direcionador de logs:
Abra o repositório do aplicativoAWS Serverless em seu navegador.
Pesquise newrelic e marque
Show apps that create custom IAM roles or resource policies
para encontrar newrelic-securitylake-s3-processor-LogForwarder.
Clique nos detalhes newrelic-securitylake-s3-processor-LogForwarder e clique em
Deploy
.
Copie/cole o ARN AWS role ID da etapa anterior no campo SecurityLakeSubscriberRoleArn .
Copie/cole o ARN Subscription endpoint da etapa anterior no campo SecurityLakeSubscriberRoleArn .
Insira o ExternalID que você adicionou na etapa anterior.
Insira seu
chave de licença no campo NRLicenseKey .
Confirme e selecione
Deploy
.
Para obter mais detalhes sobre isso, consulte nossos documentos do Amazon Security Lake direcionador de logs .
Encontre e use dados log Para encontrar seu logon no New Relic, vá para one.newrelic.com > All capabilities > LogsAttributes como product.name e escolha a origem log desejada.
As seguintes fontes de log são atualmente suportadas:
Aqui estão alguns atributos que você pode encontrar no log do Security Lake:
Registro de fluxo de VPC Consulte o registro Amazon VPC para visualizar os dados do seguinte atributo:
Nome
Descrição
Tipo de dados
activity_id
ID da atividade
inteiro
activity_name
nome da atividade
corda
aws.invoked_function_arn
ARN da função de encaminhamento de log invocada
corda
aws.s3_bucket_name
nome do bucket S3 de onde o log foi encaminhado
corda
aws.s3_key
registro de chave do evento de segurança do log de fluxo
corda
category_name
nome da categoria do log
corda
category_uid
ID único da categoria
inteiro
class_name
nome da classe de log
corda
class_uid
ID único da turma
inteiro
cloud.account_uid
Conta da AWS onde o log de fluxo foi originado
corda
cloud.provider
mostra o nome do provedor de nuvem - neste caso AWS
corda
cloud.region
Região da AWS onde o log de fluxo se originou
corda
cloud.zone
Zona AWS onde o log de fluxo se originou
corda
connection_info.boundary
limite do log de fluxo
corda
connection_info.boundary_id
ID do limite
inteiro
connection_info.direction
mostra se a conexão foi de entrada ou saída
corda
connection_info.direction_id
ID da direção
inteiro
connection_info.protocol_num
número do protocolo do fluxo
inteiro
connection_info.protocol_ver
versão do protocolo
corda
connection_info.tcp_flags
Sinalizadores TCP
inteiro
dst_endpoint.instance_uid
ID da instância do destino
corda
dst_endpoint.interface_uid
ID da interface do destino
corda
dst_endpoint.intermediate_ips
endereços IP intermediários do destino
corda
dst_endpoint.ip
Endereço IP do destino
corda
dst_endpoint.port
porto do destino
inteiro
dst_endpoint.subnet_uid
ID da sub-rede do destino
corda
dst_endpoint.svc_name
nome do serviço do destino
corda
dst_endpoint.vpc_uid
ID VPC do destino
corda
end_time
Hora final do fluxo
inteiro
logtype
define o tipo de log
corda
metadata.product.feature.name
nome do recurso onde o log foi originado
corda
metadata.product.name
nome do produto onde o log foi originado
corda
metadata.product.vendor_name
nome do fornecedor do log; nesse caso AWS
corda
metadata.product.version
nome da versão do produto
corda
metadata.profiles
nomes dos perfis
corda
metadata.version
versão de metadados
corda
newrelic.source
fonte do log no New Relic
corda
plugin.type
tipo de plug-in usado
corda
plugin.version
versão do plug-in usada
corda
severity
nível de gravidade da descoberta do log
corda
severity_id
ID do nível de gravidade
inteiro
src_endpoint.instance_uid
ID da instância da origem
corda
src_endpoint.interface_uid
ID da interface da origem
corda
src_endpoint.intermediate_ips
endereços IP intermediários da origem
corda
src_endpoint.ip
Endereço IP da fonte
corda
src_endpoint.port
porto da fonte
inteiro
src_endpoint.subnet_uid
ID de sub-rede da origem
corda
src_endpoint.svc_name
nome do serviço da fonte
corda
src_endpoint.vpc_uid
ID VPC da origem
corda
start_time
hora de início
inteiro
time
hora de início
inteiro
timestamp
hora do log chegar à New Relic
inteiro
traffic.bytes
quantidade de bytes enviados ou recebidos
inteiro
traffic.packets
quantidade de pacotes sendo enviados ou recebidos
inteiro
type_name
nome do tipo de evento
corda
type_uid
ID do tipo de evento
inteiro
unmapped
não aplique dados não mapeados para um campo
corda
CloudTrail Consulte o registro CloudTrail para visualizar os dados do seguinte atributo:
Nome
Descrição
Tipo de dados
activity_id
ID da atividade
inteiro
activity_name
nome da atividade
corda
api.operation
operação da atividade da API
corda
api.request.uid
ID único da solicitação API
corda
api.response.error
resposta de erro da solicitação da API
corda
api.response.message
mensagem da resposta da API
corda
api.service.name
nome do serviço onde a solicitação foi originada
corda
api.version
Versão da API
corda
aws.invoked_function_arn
ARN da função de encaminhamento de log invocada
corda
aws.s3_bucket_name
nome do bucket S3 de onde o log foi encaminhado
corda
aws.s3_key
registro de chave do evento de segurança do log de fluxo
corda
category_name
nome da categoria do log
corda
category_uid
ID único da categoria
inteiro
class_name
nome da classe de log
corda
class_uid
ID único da turma
inteiro
cloud.provider
mostra o nome do provedor de nuvem - neste caso AWS
corda
cloud.region
Região da AWS onde o log de fluxo se originou
corda
http_request.user_agent
agente do usuário da solicitação HTTP
corda
identity.idp.name
Nome do IDP do solicitante
corda
identity.invoked_by
nome do recurso que invoca a solicitação
corda
identity.session.created_time
hora de criação da sessão
inteiro
identity.session.issuer
ARN do emissor
corda
identity.session.mfa
MFA ativado
boleano
identity.user.account_uid
Conta AWS do usuário
corda
identity.user.credential_uid
ID da credencial do usuário
corda
identity.user.name
nome do usuário
corda
identity.user.type
tipo de usuário
corda
identity.user.uid
ID do usuário
corda
identity.user.uuid
ARN do usuário
corda
logtype
define o tipo de log
corda
metadata.product.feature.name
nome do recurso onde o log foi originado
corda
metadata.product.name
nome do produto onde o log foi originado
corda
metadata.product.vendor_name
nome do fornecedor do log; nesse caso AWS
corda
metadata.product.version
nome da versão do produto
corda
metadata.profiles
nomes dos perfis
corda
metadata.version
versão de metadados
corda
newrelic.source
fonte do log no New Relic
corda
plugin.type
tipo de plug-in usado
corda
plugin.version
versão do plug-in usada
corda
ref_event_uid
ID único para evento de referência
corda
resources
recursos
corda
severity
nível de gravidade da descoberta do log
corda
severity_id
ID do nível de gravidade
inteiro
src_endpoint.domain
domínio da fonte
corda
src_endpoint.ip
Endereço IP da fonte
corda
src_endpoint.uid
ID único da fonte
corda
time
hora de início
inteiro
timestamp
hora do log chegar à New Relic
inteiro
type_name
nome do tipo de evento
corda
type_uid
ID do tipo de evento
inteiro
unmapped
não aplique dados não mapeados para um campo
corda
Registro do Hub de Segurança Consulte o registro Security Hub para visualizar os dados do seguinte atributo:
Nome
Descrição
Tipo de dados
activity_id
ID da atividade
inteiro
activity_name
nome da atividade
corda
answers
respostas
corda
aws.invoked_function_arn
ARN da função de encaminhamento de log invocada
corda
aws.s3_bucket_name
nome do bucket S3 de onde o log foi encaminhado
corda
aws.s3_key
registro de chave do evento de segurança do log de fluxo
corda
category_name
nome da categoria do log
corda
category_uid
ID único da categoria
inteiro
class_name
nome da classe de log
corda
class_uid
ID único da turma
inteiro
cloud.account_uid
ID da conta AWS
corda
cloud.provider
mostra o nome do provedor de nuvem - neste caso AWS
corda
cloud.region
Região da AWS onde o log de fluxo se originou
corda
connection_info.direction
direção da conexão
corda
connection_info.direction_id
ID para a direção da conexão
inteiro
connection_info.protocol_name
protocolo da conexão
corda
dst_endpoint.instance_uid
ID da instância de destino
corda
dst_endpoint.interface_uid
ID da interface de destino
corda
logtype
define o tipo de log
corda
metadata.product.feature.name
nome do recurso onde o log foi originado
corda
metadata.product.name
nome do produto onde o log foi originado
corda
metadata.product.vendor_name
nome do fornecedor do log; nesse caso AWS
corda
metadata.product.version
nome da versão do produto
corda
metadata.profiles
nomes dos perfis
corda
metadata.version
versão de metadados
corda
newrelic.source
fonte do log no New Relic
corda
plugin.type
tipo de plug-in usado
corda
plugin.version
versão do plug-in usada
corda
query.class
classe de consulta
corda
query.hostname
consulta nome do host
corda
query.type
Tipo de consulta
corda
rcode
Código de resposta
corda
rcode
ID do código de resposta
inteiro
severity
nível de gravidade da descoberta do log
corda
severity_id
ID do nível de gravidade
inteiro
src_endpoint.instance_uid
ID da instância da origem
corda
src_endpoint.ip
Endereço IP da fonte
corda
src_endpoint.port
porto da fonte
inteiro
src_endpoint.vpc_uid
ID VPC da origem
corda
time
hora de início
inteiro
timestamp
hora do log chegar à New Relic
inteiro
type_name
nome do tipo de evento
corda
type_uid
ID do tipo de evento
inteiro
unmapped
não aplique dados não mapeados para um campo
corda
Registro de consulta do Route 53 Resolver Consulte o registro Route 53 para visualizar os dados do seguinte atributo:
Nome
Descrição
Tipo de dados
activity_id
ID da atividade
inteiro
activity_name
nome da atividade
corda
aws.invoked_function_arn
ARN da função de encaminhamento de log invocada
corda
aws.s3_bucket_name
nome do bucket S3 de onde o log foi encaminhado
corda
aws.s3_key
registro de chave do evento de segurança do log de fluxo
corda
category_name
nome da categoria do log
corda
category_uid
ID único da categoria
inteiro
class_name
nome da classe de log
corda
class_uid
ID único da turma
inteiro
cloud.account_uid
ID da conta AWS
corda
cloud.provider
mostra o nome do provedor de nuvem - neste caso AWS
corda
cloud.region
Região da AWS onde o log de fluxo se originou
corda
compliance.requirements
requisitos de conformidade
corda
compliance.status
status de conformidade
corda
compliance.status_detail
detalhes sobre o status de conformidade
corda
confidence
confiança
corda
finding.created_time
hora de criação da descoberta
inteiro
finding.desc
descrição do achado
corda
finding.first_seen_time
momento em que a descoberta foi vista pela primeira vez
inteiro
finding.last_seen_time
momento em que a descoberta foi vista pela última vez
inteiro
finding.first_seen_time
momento em que a descoberta foi vista pela primeira vez
corda
finding.modified_time
momento em que a descoberta foi modificada
inteiro
finding.related_events
evento relacionado ao achado
corda
finding.remediation.desc
informações sobre a remediação da descoberta
corda
finding.remediation.kb_articles
artigos da base de conhecimento sobre a correção das descobertas
corda
finding.src_url
URL para a origem da descoberta
corda
finding.title
título da descoberta
corda
finding.types
lista de tipos relativos à descoberta
corda
finding.uid
ARN da descoberta
corda
logtype
define o tipo de log
corda
malware
malware
corda
metadata.product.feature.name
nome do recurso onde o log foi originado
corda
metadata.product.name
nome do produto onde o log foi originado
corda
metadata.product.vendor_name
nome do fornecedor do log; nesse caso AWS
corda
metadata.product.version
nome da versão do produto
corda
metadata.profiles
nomes dos perfis
corda
metadata.version
versão de metadados
corda
newrelic.source
fonte do log no New Relic
corda
plugin.type
tipo de plug-in usado
corda
plugin.version
versão do plug-in usada
corda
process.created_time
tempo de criação do processo
corda
process.file.name
nome do arquivo do processo
corda
process.file.path
caminho do arquivo de processo
corda
process.file.type_id
ID do tipo de arquivo de processo
inteiro
process.name
nome do processo
corda
process.parent_process.pid
ID do processo pai
corda
process.pid
ID do processo
corda
process.terminated_time
tempo de encerramento do processo
corda
resources
recursos
corda
severity
nível de gravidade da descoberta do log
corda
severity_id
ID do nível de gravidade
inteiro
state
estado da descoberta
corda
state_id
ID do estado da descoberta
corda
time
hora de início
inteiro
timestamp
hora do log chegar à New Relic
inteiro
type_name
nome do tipo de evento
corda
type_uid
ID do tipo de evento
inteiro
unmapped
não aplique dados não mapeados para um campo
corda
vulnerabilities
vulnerabilities
corda
Como usar seus dados Para saber mais sobre como usar seus dados, consulte entender os dados de integração .
alerta Você pode configurar alertas para notificá-lo sobre alterações importantes. Por exemplo, um alerta pode ser configurado para notificar as partes relevantes sobre erros críticos ou fatais.
Saiba mais sobre como criar alertas .
Outra integração AWS Leia mais sobre a integração New Relic AWS :
