Questions fréquentes sur Amazon Security Lake

Questions d’ordre général

Amazon Security Lake est un service qui automatise le sourcing, l'agrégation, la normalisation et la gestion des données de sécurité de l'ensemble de votre organisation dans un lac de données de sécurité stocké dans votre compte. Un lac de données de sécurité vous permet de rendre les données de sécurité de votre organisation largement accessibles à vos solutions d'analytique de sécurité préférées pour alimenter les cas d'utilisation tels que la détection des menaces, les enquêtes et la réponse aux incidents.

Security Lake centralise automatiquement les données de sécurité provenant des environnements AWS, des fournisseurs SaaS, des sites et des sources cloud dans un lac de données spécialement conçu et stocké dans votre compte. Utilisez Security Lake pour analyser les données de sécurité, mieux comprendre la sécurité dans l'ensemble de l'organisation et améliorer la protection de vos charges de travail, de vos applications et de vos données. Les données liées à la sécurité incluent les journaux de service et d'application, les alertes de sécurité et les renseignements sur les menaces (comme les adresses IP malveillantes connues), qui constituent la source de vérité pour la détection, l'enquête et la résolution des incidents de sécurité. Les bonnes pratiques de sécurité requièrent un processus efficace de la gestion des données des événements de sécurité et des journaux. Security Lake automatise ce processus et facilite les solutions qui effectuent les détections d'analytique de streaming, l'analytique des séries temporelles, l'analyse du comportement des utilisateurs et des identités (UEBA, User and Entity Behaviour Analytics), l'orchestration et la réponse de la sécurité (SOAR, Security Orchestration and Response) et la réponse aux incidents.

L'Open Cybersecurity Schema Framework (OCSF) est un schéma open source collaboratif pour les journaux et les événements de sécurité. Il inclut une taxonomie des données indépendante des fournisseurs qui réduit la nécessité de normaliser les données de journaux et d'événements de sécurité à travers une variété de produits, de services et d'outils open source.

Security Lake collecte automatiquement les journaux des services suivants :

  • AWS CloudTrail
  • Amazon Virtual Private Cloud (VPC)
  • Amazon Route 53
  • Amazon Simple Storage Service (S3)
  • AWS Lambda
  • Amazon Elastic Kubernetes Service (EKS) 
  • AWS Web Application Firewall (WAF)

Il collecte également les résultats de sécurité via AWS Security Hub pour les services suivants :

  • AWS Config
  • AWS Firewall Manager
  • Amazon GuardDuty
  • AWS Health
  • Analyseur d'accès à la gestion des identités et des accès (IAM) AWS
  • Amazon Inspector
  • Amazon Macie
  • Gestionnaire de correctifs d'AWS Systems Manager

En outre, vous pouvez ajouter des données provenant de solutions de sécurité tierces, d'autres sources cloud et vos propres données personnalisées qui prennent en charge l'OCSF. Ces données comprennent les journaux des applications internes ou de l'infrastructure réseau que vous avez convertis au format OCSF.

Oui, vous pouvez essayer le service gratuitement pendant 15 jours avec n’importe quel nouveau compte Security Lake dans le cadre de l’offre gratuite d’AWS. Vous avez accès à l'ensemble des fonctionnalités pendant l'essai gratuit.

L’intégration entre Amazon OpenSearch Service et Amazon Security Lake offre une expérience rationalisée pour effectuer des recherches directes, obtenir des informations et analyser les données stockées dans Security Lake, le tout au sein d’Amazon OpenSearch Service. Vous pouvez intégrer Security Lake et OpenSearch Service de deux manières : l’accès aux données à la demande et l’ingestion continue. L’option à la demande est idéale pour les sources de journaux volumineuses auxquelles l’accès est peu fréquent, car elle permet aux utilisateurs d’analyser les données sans frais d’ingestion initiaux. La méthode d’ingestion continue convient également à l’analyse en temps réel et fournit un accès plus rapide à des sources de sécurité de grande valeur, telles que les résultats d’AWS Security Hub et les événements de gestion AWS CloudTrail.

Security Lake automatise l'approvisionnement, l'agrégation, la normalisation et la gestion des données liées à la sécurité provenant du cloud, sur site et de sources personnalisées dans un lac de données de sécurité stocké sur votre compte AWS. Security Lake a adopté l'OCSF, un standard ouvert. Avec la prise en charge du format OCSF, le service peut normaliser et combiner les données de sécurité provenant d'AWS et d'un large éventail de sources de données de sécurité professionnelles. AWS CloudTrail Lake,est un lac de sécurité et d'audit géré. Il vous permet d'agréger, de stocker de manière immuable et d'interroger les journaux d'audit et de sécurité provenant d'AWS (événements CloudTrail, éléments de configuration d'AWS Config, preuves d'audit d'AWS Audit Manager) et de sources externes (applications internes ou SaaS hébergées sur site ou dans le cloud, machines virtuelles ou conteneurs). Ces données peuvent ensuite être stockées pendant 7 ans au maximum dans un magasin de données d'événements CloudTrail Lake, sans frais supplémentaires, et analysées à l'aide du moteur de requêtes SQL intégré de CloudTrail Lake.

Pour commencer, vous devez d’abord disposer d’une configuration Security Lake existante dans votre environnement AWS. Cela permettra de centraliser le stockage et l’accès aux données de sécurité de votre entreprise.

Une fois Security Lake configuré, vous pouvez activer l’intégration avec Amazon OpenSearch Service. Pour ce faire, accédez à la console Security Lake dans la console de gestion AWS et créez un abonné pour le compte que vous comptez utiliser pour Amazon OpenSearch. Accédez ensuite à la console Amazon OpenSearch Service et configurez une source de données pour Security Lake. Ce processus implique la configuration des autorisations et des contrôles d’accès nécessaires pour permettre à OpenSearch Service de consulter et d’interroger en toute sécurité les données de votre Security Lake.

Vous pouvez ensuite explorer les requêtes et intégrations prédéfinies disponibles via OCSF pour démarrer rapidement dans les tableaux de bord d’OpenSearch Service avec des cas d’utilisation courants en matière d’analytique de sécurité. Vous avez également la possibilité de configurer l’indexation à la demande d’ensembles de données spécifiques de votre Security Lake dans OpenSearch Service pour des besoins analytiques et de visualisation avancés.

Une fois l’intégration configurée, vous pouvez commencer à interroger et à analyser vos données de sécurité directement depuis le tableau de bord, en tirant parti des puissantes fonctionnalités de recherche, d’analytique et de visualisation qu’il fournit. Vous pouvez également personnaliser les tableaux de bord et autres fonctionnalités de surveillance dans OpenSearch Service en fonction de vos exigences de sécurité et de vos flux de travail spécifiques.

L'activation de CloudTrail est une condition préalable à la collecte et à la diffusion des journaux d'événements de gestion CloudTrail vers les compartiments S3 des clients via n'importe quel service AWS. Par exemple, pour transmettre les journaux d'événements de gestion CloudTrail à Amazon CloudWatch logs, il faut d'abord créer une piste. Étant donné que Security Lake transmet les événements de gestion CloudTrail de l’organisation à un compartiment S3 appartenant au client, il est nécessaire de disposer d’un journal de suivi d’organisation dans CloudTrail dans lequel les événements de gestion sont activés.

Security Lake peut recevoir les résultats de sécurité de 50 solutions via l'intégration d'AWS Security Hub. Pour en savoir plus, consultez les partenaires AWS Security Hub. Il existe également un nombre croissant de solutions capables de fournir des données au format OCSF et qui sont intégrées à Amazon Security Lake. Pour en savoir plus, consultez les partenaires Amazon Security Lake.

Lorsque vous ouvrez la console Security Lake pour la première fois, choisissez Get Started, puis sélectionnez Activer. Amazon Security Lake utilise un rôle lié aux services qui inclut la politique d'autorisations et d'approbation permettant à Amazon Security Lake de collecter des données à partir de vos sources et d'accorder un accès aux abonnés. Il est recommandé d'activer Amazon Security Lake dans toutes les Régions AWS prises en charge. Cela permet à Security Lake de collecter et de conserver des données liées à des activités non autorisées ou inhabituelles, même dans les régions que vous n'utilisez pas activement. Si Amazon Security Lake n'est pas activé dans toutes les Régions prises en charge, sa capacité à collecter des données qui impliquent des services globaux est réduite.

Une Région rollup est une Région AWS qui agrège les journaux et les événements de sécurité à partir d'autres Régions spécifiées. Lorsque vous activez Amazon Security Lake, vous pouvez spécifier une ou plusieurs Régions rollup, ce qui peut vous aider à respecter les exigences de la Région en matière de conformité.

Pour en savoir plus sur la disponibilité régionale de Security Lake, consultez la page des points de terminaison Amazon Security Lake.