亚马逊安全数据湖是一项服务,该服务将整个组织内安全数据的来源、聚合、标准化和数据管理自动化到账户中存储的安全数据湖中。安全数据湖有助于让您的首选安全分析解决方案广泛访问组织的安全数据,以支持威胁检测、调查和事件响应等应用场景。
Security Lake 可以自动将来自 AWS 环境、SaaS 提供商、本地和云端来源的安全数据集中到您账户中存储的一个专门构建的数据湖中。可以使用安全数据湖来分析安全数据,更全面地了解整个组织的安全性,并改善对您的工作负载、应用程序和数据的保护。与安全相关的数据包括服务和应用程序日志、安全警报和威胁情报(例如已知的恶意 IP 地址),这些数据是检测、调查和修复安全事故的基础。安全最佳实践需要有效的日志和安全事件数据管理流程。安全数据湖会自动执行此流程并促进解决方案执行流分析检测、时间序列分析、用户和实体行为分析(UEBA)、安全编排和修复(SOAR)以及事件响应。
Open Cybersecurity Schema Framework(OCSF)是用于安全日志和事件的协作式开源架构。它包含与供应商无关的数据分类,减少了跨各种产品、服务和开源工具标准化安全日志和事件数据的需求。
安全数据湖可自动收集以下服务的日志:
它还可以通过 AWS Security Hub 收集以下服务的安全调查发现:
此外,您可以添加来自第三方安全解决方案、其他云端来源的数据以及您自己的支持 OCSF 的自定义数据。此数据包括来自内部应用程序或网络基础设施的日志,且此日志已转换为 OCSF 格式。
有,Security Lake 的任何新账户均可通过 AWS Free Tier 免费试用该服务 15 天。 在免费试用期间,您可以使用所有功能。
Amazon OpenSearch Service 与 Amazon Security Lake 的集成让体验变得更简单,用户可以直接在 Amazon OpenSearch Service 中,搜索、分析存储在 Security Lake 中的数据并从中获取洞察。您可以通过两种方式集成 Security Lake 和 OpenSearch Service:按需数据访问和持续摄取。按需选项非常适合不频繁访问的海量日志源,让用户无需预付摄取费用即可分析数据。与之相比,持续摄取方法适用于实时分析,可以提供对 AWS Security Hub 调查发现和 AWS CloudTrail 管理事件等高价值安全数据来源的更快访问。
安全数据湖可自动从云端、本地和自定义来源采集、聚合、标准化和管理与安全相关的数据,将其导入存储在您的 AWS 账户中的安全数据湖。安全数据湖采用 OCSF,这是一种开放标准。通过对 OCSF 的支持,该服务可以对来自 AWS 和各种企业安全来源的安全数据进行标准化处理并组合这些安全数据。AWS CloudTrail Lake 是一个托管式审计和安全湖。它允许您聚合、不可改变地存储和查询来自 AWS(CloudTrail 事件、来自 AWS Config 的配置项目、来自 AWS Audit Manager 的审计证据)和外部来源(本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器)的审计和安全日志。然后,可以将这些数据存储在 CloudTrail Lake 事件数据存储中,最多可存储 7 年,无需支付额外费用,并且可以使用 CloudTrail Lake 内置的 SQL 查询引擎调查这些数据。
要开始使用该集成,您首先需要在 AWS 环境中拥有现成的 Security Lake 设置。这将提供对企业安全数据的集中存储和访问。
配置 Security Lake 后,您就可以启用与 Amazon OpenSearch Service 的集成。为此,请前往 AWS 管理控制台中的 Security Lake 控制台,为您计划用于 Amazon OpenSearch 的账户创建订阅用户。接下来,前往 Amazon OpenSearch Service 控制台为 Security Lake 配置数据来源。此过程包括配置必要的权限和访问控制,使 OpenSearch Service 能够安全地访问和查询 Security Lake 中的数据。
之后,您可以浏览通过 OCSF 提供的预构建查询和集成,快速开始在 OpenSearch Service 控制面板中使用常见的安全分析用例。您还可以选择将特定数据集从 Security Lake 向 OpenSearch 服务配置按需索引,以满足高级分析和可视化需求。
完成集成后,您便可以利用控制面板提供的强大搜索、分析和可视化功能,开始直接从控制面板查询和分析安全数据。您还可以根据自己特定的安全需求和工作流程,在 OpenSearch Service 中自定义控制面板和其他监控功能。
启用 CloudTrail 是通过任何 AWS 服务收集 CloudTrail 管理事件日志并将其传送到客户 S3 存储桶的先决条件。例如,要将 CloudTrail 管理事件日志传送到 Amazon CloudWatch Logs,需要先创建跟踪。由于 Security Lake 在组织级别将 CloudTrail 管理事件传送到客户拥有的 S3 存储桶,因此它需要在 CloudTrail 中进行组织跟踪,同时激活管理事件。
安全数据湖可以通过 AWS Security Hub 集成接收来自 50 个解决方案的安全检测结果。有关详细信息,请参阅 AWS Security Hub 合作伙伴。 此外,将有越来越多的技术解决方案可提供 OCSF 格式的数据,并与亚马逊安全数据湖集成。有关详细信息,请参阅 Amazon Security Lake 合作伙伴。
首次打开安全数据湖控制台时,选择“入门”,然后选择“启用”。安全数据湖使用服务相关角色,该角色包括允许安全数据湖从源收集数据并向订阅用户授予访问权限的权限和信任策略。最佳实践是在所有支持的 AWS 区域中启用安全数据湖。这让安全数据湖可以收集和保留与未经授权或异常活动相关的数据,即使在您未主动使用的区域中也是如此。如果未在所有支持的区域中启用安全数据湖,则将削弱其收集全球服务数据的能力。
汇总区域是聚合来自其他指定区域的安全日志和事件的区域。启用安全数据湖时,您可以指定一个或多个汇总区域,以协助您遵循区域合规性要求。
有关 Security Lake 区域可用性,请参阅 Amazon Security Lake 端点页面。